FAQ

Få svar på de oftest stillede spørgsmål i GDPR.

Generelt om databeskyttelse

GDPR bliver relevant for dig, når din virksomhed behandler personoplysninger, f.eks. om kunder eller ansatte.

Læs mere om GDPR her

Få hjælp til at finde ud af om du må behandle personoplysninger i trin 2: Spørg dig selv "hvorfor"

Databeskyttelsesforordningen beskytter oplysninger om en person, der er identificeret eller identificerbar. Det kan f.eks. være medarbejdere, kunder, passagerer, en leverandørs medarbejdere og besøgende på hjemmesiden.

Når en oplysning kan knyttes til en person, er det en ”personoplysning”. Det gælder også selvom koblingen kun kan ske ved hjælp af oplysninger fra andre kilder, og selv om disse kilder er utilgængelige for jeres virksomhed, f.eks. navnet på indehaveren af en pc med en bestemt IP-adresse (som i udgangspunktet kun er tilgængeligt for teleselskabet).

Personoplysninger er f.eks. navn, e-mailadresse, CPR-nr., kundenummer, fagforeningsmedlemsskab, portrætfoto, civilstatus, IP-adresse, lokationsdata, medarbejderevalueringer, forbrugshistorik og produktkøb.

Når personoplysninger er ”følsomme” omtales de i databeskyttelsesforordningen som ”særlige kategorier af personoplysninger”. For disse kategorier af oplysninger gælder der andre og mere restriktive regler for, hvornår oplysningerne må behandles. Følsomme personoplysninger er oplysninger om: 

  • race eller etnisk oprindelse
  • politisk, religiøs eller filosofisk overbevisning
  • fagforeningsmæssigt tilhørsforhold
  • genetiske data
  • biometriske data til identificering af den registrerede person
  • helbredsoplysninger
  • seksuelle forhold eller oplysninger om seksuel orientering

CPR-numre og oplysninger om straffedomme og lovovertrædelser er hører ikke til kategorien ”særlige kategorier af oplysninger”, men er underlagt andre særregler.

Læs mere om personoplysninger her

Lyt til en episode om personoplysninger i Datatilsynets podcast om GDPR

Få et hurtigt overblik over typer af personoplysninger her

Få hjælp til at skabe dit GDPR-overblik i trin 1: Skab overblik

En behandling af personoplysninger kan have mange former. Begrebet er så bredt defineret, at du som regel vil “behandle personoplysninger”, så snart du kommer i kontakt med personoplysninger om andre.

Det kan f.eks. være, hvis du indsamler navn, e-mail og tlf.nr om en kunde, eller hvis du opbevarer oplysninger om en ansat.

Læs mere behandling af personoplysninger her

Få hjælp til at skabe overblik over dine behandlinger i trin 1: Skab overblik

GDPR gælder, når du behandler personoplysninger. Betegnelsen ”personfølsomme oplysninger” findes ikke i databeskyttelsesreglerne.

Databeskyttelsesforordningen opdeler personoplysninger i tre typer:

  • Personoplysninger (ikke-følsomme oplysninger)
  • Særlige kategorier af personoplysninger (følsomme oplysninger) 
  • Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger

GDPR gælder, uanset hvilken type af personoplysninger du håndterer.

Hvis du håndterer personoplysninger, hvor det er dig, der bestemmer, hvad der skal ske med dem, er du dataansvarlig. Det gælder også, selvom du får andre til at håndtere oplysningerne på vegne af dig, f.eks. en IT-leverandør.

Som dataansvarlig har du ansvaret for, at behandlingen af personoplysninger lever op til GDPR.

Det er som udgangspunkt virksomheden – og ikke den enkelte ansatte - som stilles til ansvar, hvis GDPR ikke overholdes.

Den dataansvarlige kan antage en databehandler til at indsamle eller behandle personoplysninger på sine vegne. F.eks. vil en hosting-leverandør, en cloud-leverandør og en udbyder af ekstern lønadministration ofte være databehandlere.

Læs mere om dataansvar i trin 7: Du er også ansvarlig når du deler

Læs mere om forskellen på en dataansvarlig og en databehandler her

Er du dataansvarlig, kan du finde yderligere hjælp til at overholde GDPR med Privacykompasset

At du skal have et behandlingsgrundlag betyder groft sagt, at GDPR skal sige, at du gerne må håndtere (behandle) personoplysninger.  

Læs mere om, hvornår du har lov til at behandle personoplysninger i trin 2: Spørg dig selv "hvorfor"

Indhentelse og videregivelse

Hvis du som dataansvarlig videregiver personoplysninger til en tredjepart, f.eks. et andet koncernselskab, en offentlig myndighed, en faglig organisation eller øvrige virksomheder, der selv bliver dataansvarlige for de modtagne oplysninger, skal du have en ”god grund” (et behandlingsgrundlag) for at videregive oplysningerne.  

Ligeledes skal modtageren have en ”god grund” (et behandlingsgrundlag) til at indsamle og behandle oplysningerne.

Læs mere om, hvad det vil sige at have en ”god grund” – altså et behandlingsgrundlag – i trin 2: Spørg dig selv ”hvorfor”

 

Ja.

Det vil særligt være tilfældet, hvis anden lovgivning siger, at du skal videregive personoplysninger til en offentlig myndighed. Det kan f.eks. være i forbindelse med indberetning af løn- og ferieoplysninger til SKAT eller i forbindelse med en ansøgning om sygedagpengerefusion.

Lyt til en episode om behandling af oplysninger om ansatte i Datatilsynets podcast om GDPR

Det er som regel ikke i strid med GDPR, hvis du sender eller modtager oplysninger til kunden via e-mail, da forsendelsen i langt de fleste tilfælde vil være tilstrækkeligt sikker.

At forsendelsen er tilstrækkeligt sikker betyder, at e-mailsystemet sender krypteret (fx TLS 1.2), og kunden kan modtage krypteret (TLS 1.2).

Se en video om kryptering her

Få hjælp til mere IT-sikkerhed i trin 6: Husk sikkerheden

Ja. Det kan du gøre, fordi det er nødvendigt af hensyn til opfyldelse af en kontrakt. Du skal derfor ikke have samtykke fra kunden.

Ja. Det kan du gøre, fordi det er nødvendigt for at kunne opfylde af en kontrakt. Du skal derfor ikke have samtykke fra kunden.

Ja, hvis du har fået samtykke fra ansøgerne. I så fald kan du opbevare ansøgningerne i et kortere tidsrum, f.eks. 6 måneder.

Du skal sikre dig, at din ansatte er indforstået med, at der offentliggøres billeder eller videoer med den pågældende. I forhold til billeder, herunder portrætbilleder, som let kan udskiftes, kan du sikre dig det ved, at du beder den ansatte om samtykke til offentliggørelsen.

Det samme gør sig imidlertid ikke altid gældende i forhold til videoer, herunder rekrutterings- og markedsføringsvideoer, som det er omkostningsfuldt for dig at producere. Derfor skal du sikre dig på en anden måde, at din ansatte er indforstået med, at der offentliggøres videoer af den pågældende, og at vedkommende kender konsekvenserne ved at deltage, f.eks. at materiale ikke uden videre kan slettes eller redigeres, fordi det vil være omkostningsfuldt. I praksis kan du gøre dette ved, at du på et personalemøde eller på et intranet gør opmærksom på, at du som arbejdsgiver planlægger f.eks. at lave en reklame- eller rekrutteringsvideo, og at de ansatte, som gerne vil medvirke, kan henvende sig til dig. Samtidig skal du gøre opmærksom på, at man som ansat ikke sådan uden videre kan fortryde igen, fordi det er omkostningsfuldt at producere videoen.

Uanset, at du har valgt denne fremgangsmåde kan der være tilfælde, hvor du skal imødekomme en (tidligere) ansats ønske om sletning.

Du må bede kunden om vedkommendes CPR-nummer, hvis der mellem dig og din kunde er et løbende mellemværende, f.eks. et abonnement, medlemskab eller lignende - eller hvis loven siger det.

Nej. Transportøren vil selv være ansvarlig for oplysningerne. Transportøren vil altså være dataansvarlig og ikke databehandler, og derfor skal du ikke indgå en databehandleraftale.

Læs mere om rollerne som dataansvarlig og databehandler her

Sletning

Samtykke

Hvis et samtykke tilbagekaldes skal du stoppe med at håndtere, herunder også opbevare, de personoplysninger, som du har fået samtykke til at håndtere.  

Læs om samtykke her

Et samtykke gælder som hovedregel indtil det trækkes tilbage. Kun hvis du slet ikke har gjort brug af et samtykke i en længere periode, f.eks. 2 år, bør du bede om samtykke på ny.

Så skal du udlevere en kopi af de personoplysninger, som du håndterer om vedkommende, og en række yderligere information om din håndtering af oplysninger.

Læs mere om dine kunders rettigheder, og hvordan du bedst sikrer dem, i trin 5: Sørg for at have gode procedurer

Oplysningspligt

Du må gerne have din persondatapolitik liggende i bunden af din hjemmeside.

Du skal dog gøre noget aktivt for at give kunder og/eller ansatte den information, som fremgår af din persondatapolitik. Det kan du f.eks. gøre ved at have et direkte link til persondatapolitikken alle de steder, hvor dine kunder/ansatte kan afgive oplysninger til dig. Det kan være, i forbindelse med udfyldelse af formularer på din hjemmeside, f.eks. når de tilmelder sig dit nyhedsbrev eller i forbindelse med online køb. Det vil også være oplagt at indsætte linket til din persondatapolitik i din e-mailsignatur.

Læs mere om, hvad en persondatapolitik er, og hvordan du laver den i trin 4: Oplys om at du behandler personoplysninger

Find endnu mere vejledning her

Nyhedsbreve og markedsføring

Du kan sende nyhedsbreve eller anden form for markedsføring til kunder, som har givet sit samtykke hertil.

Du skal være opmærksom på, at der i tillæg til GDPR gælder andre regler for markedsføring, f.eks. markedsføringsloven. Du kan læse mere om markedsføringsloven på Forbrugerombudsmandens hjemmeside.

 

IT-leverandørforhold

Ja, der er ikke noget krav om, at det er dig, der skal lave databehandleraftalen.   

Det vigtigste er, at databehandleraftalen overholder kravene til en databehandleraftale. Forhør dig eventuelt hos din brancheforening, om de har set nærmere på databehandleraftalen.

Hør om kravene til en databehandleraftale her

Elektroniske enheder (PC, tablet, telefon mv.)

Du skal sikre dig, at uvedkommende ikke kan få adgang til oplysningerne, der er på de elektroniske enheder. Du bør derfor nulstille eller kryptere udstyret, så oplysningerne ikke kan tilgås af uvedkommende.

Se en video om kryptering her

Selvom din virksomhed opkøber elektroniske enheder, gælder GDPR stadigvæk, hvis enhederne indeholder personoplysninger.

Brugte elektroniske enheder, som indeholder personoplysninger, skal nulstilles, så der ikke sker en behandling af personoplysninger i strid med loven.

IT-sikkerhed

Hvis en ansat trykker på et usikkert link, skal du undersøge, om der er risiko for, at uvedkommende har fået adgang til jeres systemer og derved potentielt til personoplysninger.

Læs om falske mails og sms'er - phishing og smishing her

Du skal starte med at forsøge at begrænse skaden, f.eks. ved at kontakte den forkerte modtager og bede pågældende om at slette e-mailen.

Da du har sendt personoplysninger til en uvedkommende, er der er tale om et brud på persondatasikkerheden. Bruddet skal anmeldes til Datatilsynet indenfor 72 timer. 

Det er altid en god idé at overveje, om måden du behandler personoplysninger på kan gøres på en mere sikker måde, så oplysningerne beskyttes bedre.

Find råd til at undgå simple sikkerhedsbrud her

Hør vores podcast om brud på persondatasikkerheden her

Du kan anmelde et brud på persondatasikkerheden her

Ja.

Et brud på persondatasikkerheden kan f.eks. være, hvis du sender personoplysninger til en forkert modtager.

Hvis du er i tvivl om der er tale om et brud på persondatasikkerheden, så kan du ringe til Datatilsynet og få en generel vejledning.

Hør Datatilsynets podcast-episode om brud på persondatasikkerheden her

Du kan anmelde et brud på persondatasikkerheden her