Myter om GDPR

Nej - samtykke er et af flere retlige grundlag for at behandle personoplysninger. Grundlaget kan fx også været at opfylde en kontrakt eller en retlig forpligtelse. Læs mere om retlige grundlag her.

Nej, det vil normalt være helt i orden at have en liste over folks fødselsdage - Datatilsynet har faktisk selv sådan en liste på intranettet! Men hvis en kollega ikke ønsker fx sin fødselsdato delt med andre, skal man lave en ny vurdering ift. delingen af denne persons oplysninger.

Nej, ikke altid - man kan fx ikke bare bede Skattestyrelsen om at slette, hvad de har registreret om en. Dataansvarlige skal ifølge GDPR slette personoplysninger, når ét af disse forhold gør sig gældende:

1. Det er ikke længere nødvendigt for dig at have oplysningerne om den registrerede af hensyn til de formål, hvormed du indsamlede oplysningerne.
2. Du har baseret din behandling på et samtykke, og den registrerede trækker nu sit samtykke tilbage, og du har samtidig ikke en anden hjemmel for behandlingen.
3. Du behandler oplysningerne ulovligt (uden hjemmel i databeskyttelsesforordningens kapitel II)
4. Du er forpligtet til at slette oplysningerne som følge af EU-lovgivning eller national lovgivning i en medlemsstat.
5. Du er forpligtet til at slette oplysningerne som konsekvens af, at den registrerede udøver sin ret til indsigelse.
6. Du er udbyder af en informationssamfundstjeneste (f.eks. et socialt netværk), og du har baseret din behandling af personoplysninger om en registreret på et samtykke givet af den registreredes forældremyndighedsindehavere, og den registrerede tilbagekalder nu selv samtykket efter at være fyldt 13 år.

Læs mere om retten til sletning her.

Nej, i udgangspunktet bliver man ikke godkendt eller får tilladelse af os. I nogle meget få tilfælde skal man indhente Datatilsynets tilladelse til behandling af personoplysninger, men normalt er det den enkelte dataansvarliges opgave at sørge for at leve op til reglerne i GDPR.

Det er ganske rigtigt en dårlig idé at registrere, hvilke medarbejdere der er muslimer eller ikke kan tåle skaldyr. Men der er intet galt i at spørge, om der er noget, folk ikke spiser - så kan det dække over både tro, helbred og det, at man virkelig bare ikke bryder sig om sild. 

Nej, som udgangspunkt er det helt fint at dele deltagerlister ud til deltagerne. Man skal bare huske oplysningspligten og fx fortælle deltagerne ved tilmeldingen, at man vil dele deres oplysninger med de andre deltagere - så har man også mulighed for at sige fra, hvis man ikke ønsker at optræde på sådan en liste.

Nej, det behøver man ikke - GDPR gør sig ikke gældende i rent private sammenhænge.

Nej, GDPR bliver håndhævet på flere måder. Fysiske tilsynsbesøg er en af dem, men en klage til Datatilsynet eller et brud på persondatasikkerheden kan også i nogle tilfælde udløse en sanktion - fx forbud, påbud eller indstilling til bøde.

Nej, man skal lave en databehandleraftale, når aftalen mellem de to parter først og fremmest drejer sig om behandling (indsamling, opbevaring, sletning mv.) af personoplysninger. Men hvis der bliver behandlet personoplysninger i forbindelse med fx en håndværksydelse, er det normalt ikke nødvendigt med en databehandleraftale. Læs mere og se flere eksempler her.

Nej, det er ikke tilstrækkeligt bare at henvise til sin privatlivspolitik. Ifølge GDPR skal du nemlig give kunden en gratis kopi af de personoplysninger, som du måtte behandle om hende, samt en række oplysninger om behandlingen, bl.a. hvordan og hvorfor du behandler dem. Læs mere om dine forpligtelser som dataansvarlig her.

Nej, i mange tilfælde bør man som dataansvarlig også orientere de registrerede - dvs. fx de kunder eller borgere, hvis oplysninger kan være kommet i de forkerte hænder. Læs mere om underretning af de registrerede i tilsynets vejledning om håndtering af brud på persondatasikkerheden her.

Nej, databeskyttelsesforordningen indeholder ingen facitlister for, hvornår man skal slette personoplysninger - slettefrister afhænger altid af en konkret vurdering. Der kan dog være anden lovgivning (fx forvaltningsloven eller bogføringsloven), der angiver, hvor længe en bestemt type oplysning som minimum skal gemmes. Du kan læse mere om sletning og slettefrister her.

Nej, Datatilsynet i Danmark kan ikke selv udstede bøder. I de tilfælde, hvor vi vurderer, at en bøde er en passende sanktion for overtrædelse af reglerne om databeskyttelse, kommer vi med en politianmeldelse og en indstilling til bøde. Herefter går politiet videre med sagen, som normalt vil blive afgjort ved en domstol.

Nej, for selvom ovenstående overvejelser kan være gode at gøre sig, er formålet med GDPR at beskytte borgernes oplysninger. Det betyder, at en risikovurdering primært skal tage sig af den registreredes (altså borgerens, kundens mv.) sikkerhed – ikke virksomhedens. Det kunne fx være risikoen for, at personoplysninger bliver delt med uvedkommende. Det kan du lære mere om på denne emneside og i denne podcastepisode. 

Ikke som det første, nej. Når du gerne vil bruge dine rettigheder og fx bede en virksomhed slette nogle oplysninger om dig, bør du nemlig som udgangspunkt først kontakte virksomheden og anmode om, at oplysningerne bliver slettet. Imødekommer virksomheden ikke din anmodning, kan du klage til os - læs mere om at klage her.

Nej, det er ikke helt rigtigt. Generelt bør følsomme oplysninger om fx helbred ikke sendes pr. sms, fordi det ikke er en sikker kommunikationsform. Men hensynet til databeskyttelse kan i en helt konkret sag veje mindre end hensynet til fx den udsatte borgers liv og helbred. I nogle særlige tilfælde må kravene til databeskyttelse i GDPR derfor vige for mere tungtvejende hensyn til borgeren, fx baseret på socialfaglige eller lægelige skøn. Afvigelsen fra reglerne i GDPR skal dog ske på baggrund af en konkret vurdering, og overvejelserne skal være dokumenteret. Læs mere i denne artikel, hvor jurist og it-sikkerhedsspecialist i Datatilsynet Allan Frank forklarer om afvejningen af hensynet til borgerens samlede rettigheder.

Jo, det vil normalt være helt i orden at have en vagtplan hængende i frokoststuen, hvor det kun er virksomhedens egne medarbejdere, der færdes.

Nej, Datatilsynet har hverken adgang til al data om borgere i Danmark eller til alle databehandleraftaler. Datatilsynets opgave er at rådgive og vejlede om reglerne for databeskyttelse, at behandle klager over overtrædelse af reglerne, og at gennemføre tilsyn hos myndigheder og virksomheder. Med andre ord er det Datatilsynets opgave at føre tilsyn med, at dem, der behandler personoplysninger, gør det i overensstemmelse med de databeskyttelsesretlige regler.

Nej, Datatilsynet udformer ikke nogen love – heller ikke angående databeskyttelse. Datatilsynets opgave er at rådgive og vejlede om de vedtagne regler for databeskyttelse, at behandle klager fra borgere om brud på reglerne og at gennemføre tilsyn med, at reglerne overholdes – ikke at lave reglerne. Reglerne for databeskyttelse i Danmark udgøres bl.a. af GDPR, som er vedtaget i EU af Parlamentet og Rådet, og af den danske databeskyttelseslov, der er vedtaget af Folketinget og supplerer GDPR.

Nej, når en virksomhed indhenter dit samtykke til at behandle dine oplysninger til et bestemt formål, må de kun bruge dine oplysninger til det formål. Hvis virksomheden senere ønsker at behandle dine oplysninger til et andet formål, kan de ikke bare genbruge dit tidligere samtykke - det gælder nemlig kun til det først angivne formål, og derfor skal de indhente dit samtykke på ny til det nye formål. Læs mere om samtykke og de andre behandlingsgrundlag her.

Jo, GDPR gælder for behandling af alle typer personoplysninger – både almindelige personoplysninger, som fx navn, adresse og tlf.nr, og følsomme personoplysninger, som fx helbredsoplysninger, etnisk oprindelse og politisk overbevisning. Begrebet personoplysning er ret bredt defineret og omfatter enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Hvis man som organisation behandler sådanne typer af oplysninger, skal man sikre sig, at man gør det i overensstemmelse med GDPR.

Læs mere om, hvornår du behandler personoplysninger her og giv vores podcastafsnit om personoplysninger et (gen)lyt her.  

Jo, det må man som udgangspunkt gerne. En afgørende overvejelse i en sådan situation er, om formålet med at behandle oplysningerne til at sende jubilæumsinvitationer ud falder inden for foreningens ”almindelige aktiviteter”. Det betyder, at de er i overensstemmelse med det oprindelige og ikke mindst legitime formål, som oplysningerne blev indsamlet under, da de pågældende medlemmerne meldte sig ind i foreningen. Det vil som udgangspunkt heller ikke være i de tidligere medlemmers interesse, hvis foreningen undlod at behandle deres oplysninger og ikke sendte dem en invitation.

Nej, reglerne for databeskyttelse stiller ikke specifikt krav om, at man skal have en persondatapolitik. Men en persondatapolitik kan være nyttig at have alligevel, fordi den kan hjælpe den dataansvarlige med at leve op til nogle af de principper og krav, som GDPR stiller. Fx kan en god persondatapolitik bidrage til at øge den generelle gennemsigtighed af, hvordan brugerenes oplysninger behandles.

Du kan høre meget mere om, hvordan man laver en god persondatapolitik i denne episode af Datatilsynets podcast om GDPR.

Jo, det må de gerne - det er ikke en følsom oplysning at gå på efterskole, og skiltene tjener et sagligt formål.

Nej, selv om billedet er taget i børnehaven, er det forælderen, der har lagt billedet op på sin egen profil, og derfor er det forælderen, der er ansvarlig for behandlingen af personoplysninger. Læs mere og se en kort film om, hvad man skal tænke over, hvis man vil offentliggøre billeder på nettet.

Datatilsynet har udgivet flere podcasts omhandlende deling af billeder på internettet. Her kan du høre, hvad man som barn eller ung skal være opmærksom på ved deling af billeder, og her kan du høre mere om deling af billeder på forældreintranet o.l.

Datatilsynet har derudover udarbejdet en tjekliste til vuggestuer, børnehaver og skolers brug af billeder og videoer. Tjeklisten for vuggestuer og børnehaver kan findes her, og tjeklisten for skoler kan findes her.

Denne myte er lidt databeskyttelses-nørdet og drejer sig om en betegnelse for personoplysninger, vi ofte støder på, men som kan være en smule misvisende; nemlig "personfølsomme oplysninger". Betegnelsen kan give anledning til misforståelser, fordi det er uklart, hvilken type af personoplysninger der er tale om. Reglerne om databeskyttelse skelner nemlig overordnet set to mellem kategorier af personoplysninger - almindelige personoplysninger (fx navn og adresse) og følsomme personoplysninger (fx oplysninger om helbred, tro, seksualitet o.l.). Begge typer er omfattet af reglerne, men det er vigtigt at kunne skelne imellem dem, fordi kategorien af personoplysninger har betydning for, hvordan man skal behandle oplysningerne. Læs mere om personoplysninger her og giv vores podcastafsnit om emnet et (gen)lyt her.

Nej, det står reglerne ikke i vejen for - læs evt. mere i dette svar til Folketingets Retsudvalg.

Nej, så længe oplysningerne er nødvendige for psykologens arbejde, er det en rigtig god idé at registrere dem i systemet, som jo er beregnet til netop det - også af hensyn til bl.a. kommunens journaliseringspligt.

Nej, skoler kan sagtens fortsætte traditionen med klasse- og årgangsbilleder. Myndigheder må nemlig gerne behandle billeder, når det er nødvendigt for udførelsen af deres opgaver, og brug af gruppe- og klassebilleder har altid haft en grundlæggende betydning for skoler.

Jo, det kan man sagtens! Det er fuldstændig sagligt, fordi det tjener det formål, at slagteren kan levere det rigtige produkt til den rigtige kunde.

Nej, reglerne i databeskyttelsesforordningen gælder også dataansvarlige fra resten af verden, som fx sælger varer eller ydelser til EU-borgere.

Det kommer an på bruddet. Hvis personoplysninger f.eks. har været eksponeret for uvedkommende, så kan uvedkommende stadig være i besiddelse af dem, selv om bruddet er standset – reelt til evig tid. Risikoen kan derfor bestå, og der kan være krav om at underrette de registrerede. Afhængig af hvilke personoplysninger, der er tale om, kan det også være nødvendigt fremover at tage hensyn til denne mulighed for, at uvedkommende i al fremtid er i besiddelse af personoplysningerne.

Læs mere om pligten til at anmelde og underrette de registrerede i tilfælde af et brud mv. i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden. Du kan også høre Datatilsynets podcast-episode om sikkerhedsbrud.

Jo, det må man som udgangspunkt gerne. Oplysninger om navn og adresse er som udgangspunkt hverken følsomme eller fortrolige personoplysninger, og derfor vil risikoen for den registrerede (den der videregives oplysninger om) som regel være forholdsvist lille, hvorfor e-mailen ikke behøver at være krypteret. Man skal dog være opmærksom på, at en kombination af navn og adresse kan være en fortrolig oplysning, f.eks. hvis personen har navne- og adressebeskyttelse i cpr-registeret.

Her kan du læse mere om sikker transmission og her kan du læse mere om sikker transmission med valideret afsender, modtager mv.

Jo, i sådan et tilfælde skal I stadig være opmærksomme på GDPR. Reglerne for databeskyttelse finder nemlig anvendelse, da der stadig er tale om personoplysninger. Selv om oplysninger som et navn eller en adresse er erstattet af en kode, fx AB123, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning. Det er tilfældet, så længe der er nogen, der kan gøre oplysningerne læsbare og identificere de personer, det drejer sig om. Dette kaldes ofte pseudonymiserede oplysninger, og sådanne oplysninger er omfattet af databeskyttelsesreglerne. Oplysninger er kun anonyme, og derved ikke beskyttet af databeskyttelsesreglerne, hvis ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger – og hvis anonymiseringen er uigenkaldelig.

Læs mere om anonymisering og pseudonymisering af personoplysninger på Datatilsynets side Hvad er personoplysninger?

Nej, reglerne for databeskyttelse fastsætter ikke en specifik slettefrist. Man skal opbevare oplysningerne så længe, der er et behov for det - men ikke længere. Datatilsynet har i flere konkrete sager udtalt, at hensynet til at kunne dokumentere historikken i en personalesag måtte anses for et sagligt formål. Det kan også følge af anden lovgivning, at oplysninger skal opbevares i et vist tidsrum - fx i forhold til lønoplysninger, hvor der er skatteretlige regler, som arbejdsgiveren skal overholde i forhold til indberetning - eller (for offentlige arbejdsgivere) notat- og journaliseringspligten, som begrænser sletning af oplysninger i personalesager.

Læs mere i Datatilsynets vejledning om databeskyttelse i forbindelse med ansættelsesforhold eller hør podcast-episoden ”Sletning – hvornår og hvordan”.

Nej, GDPR er også vigtig for dig som borger – det er nemlig dine oplysninger, der er omdrejningspunktet for reglerne. Og selv om du som borger har færre forpligtelser end virksomhederne, har du en række vigtige rettigheder. Dem kan du læse mere om på siden "Hvad er dine rettigheder?"

Nej, det er langt fra alle, der er forpligtet til at have en databeskyttelsesrådgiver (DPO). Private virksomheder skal fx kun have en DPO, hvis de lever op til en række betingelser. Til gengæld skal alle offentlige myndigheder have en DPO. Og så kan man selvfølgelig altid vælge at udpege en DPO helt frivilligt. Du kan læse mere om DPO'ens rolle, finde Datatilsynets vejledning og høre Datatilsynets podcastepisode her.

Jo, det må du gerne. En helt almindelig stak visitkort er faktisk slet ikke omfattet af reglerne. Hvis du fx fører oplysningerne ind i en database eller sætter kortene ind i en mappe, så det bliver et helt lille register, vil det være omfattet af reglerne i databeskyttelsesforordningen. Men selv da vil det - på grund af oplysningernes karakter og det overordnede formål med visitkort - normalt være helt i orden.

Nej, databeskyttelsesreglerne handler kun om, hvornår fx en organisation kan og må behandle personoplysninger. Reglerne fastslår ikke, hvornår en offentlig myndighed, privat virksomhed e.l. har krav på at få oplysninger om dig. Det kan dog sagtens følge af anden lovgivning, at du har pligt til at udlevere oplysninger om dig selv.

Jo, reglerne for databeskyttelse gælder for alle de personoplysninger, man som dataansvarlig behandler - også alle dem, der fx ligger på gamle fildrev og nederst i mail-boksen.

Nej, sådan hænger det ikke helt sammen. Men hvis du har lidt et økonomisk tab ved en behandling, der er sket i strid med reglerne for databeskyttelse, kan du i nogle tilfælde have ret til erstatning. Det kan fx være, at dine oplysninger er blevet behandlet ukorrekt i forbindelse med kreditoplysning, e-handel eller i en ansættelsessituation. Hvis du mener, at du har krav på erstatning, skal du indbringe sagen for domstolene.

Det er ikke sandsynligheden for misbrug, der er bestemmende for, hvornår du skal underrette, men derimod risikoen. En vurdering af risikoen kræver, at du også tager hensyn til de potentielle (værst tænkelige) konsekvenser, hvis personoplysninger alligevel er blevet tilgået og udnyttes af uvedkommende. Hvis dette kan have en meget voldsom konsekvens for dem, det går ud over, kan risikoen også være høj. Endvidere skal du kunne dokumentere, på hvilken baggrund du vurderer sandsynligheden til at være lav. Du kan læse mere om pligten til at anmelde og underrette de registrerede i tilfælde af et brud mv. i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden. Du kan også høre Datatilsynets podcast-episode om sikkerhedsbrud.

Nej, det er den dataansvarliges ansvar at reglerne overholdes. DPO’ens funktion er at rådgive den dataansvarlige om databeskyttelsesreglerne, herunder også om eventuelle databehandleraftaler. DPO’ens bidrag kan sagtens være relevant i udarbejdelsen af eksempelvis databehandleraftaler, men det endelige ansvar for at overholde reglerne for databeskyttelse bæres af den dataansvarlige. Du kan læse mere om DPO'ens funktion i Datatilsynets vejledning om databeskyttelsesrådgivere.

Nej, databeskyttelsesreglerne gælder for behandling af personoplysninger, uanset størrelsen af den organisation eller virksomhed, der foretager behandlingen.

Læs mere om foreninger og GDPR på Datatilsynets side om foreninger.

 Jo, som udgangspunkt kan man sagtens have navne stående på dørtelefonen. Dette gælder også, hvis det sker på boligforeningens foranledning.

Nej, databeskyttelsesreglerne er ikke i vejen for, at man ved oplæsning allehelgensaften mindes de døde, da oplæsningen sker som led en gudstjeneste og er en gammel kristen tradition.

Nej, selvom man endnu ikke har et fuldt overblik, skal man overholde tidsfristen for anmeldelsen af brud på persondatasikkerheden. Det betyder, at man skal anmelde sikkerhedsbruddet uden unødig forsinkelse og senest 72 timer efter, man er blev bekendt med sagen. Finder man efter anmeldelsen af sikkerhedsbruddet frem til flere oplysninger, er det helt i orden at eftersende dem.

Læs mere om pligten til at anmelde og underrette de registrerede i tilfælde af et brud mv. i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden. Du kan også høre Datatilsynets podcast-episode om sikkerhedsbrud.

Jo, der er faktisk noget at gøre ved det! Du har nemlig i visse tilfælde ret til at få slettet søgeresultater om dig.

Du kan læse mere om, hvordan du kan henvende dig til den søgemaskine, du vil have et søgeresultat slettet fra - og få flere informationer om rettigheder og pligter i relation til søgemaskiner.

Nej, det må man ikke. Normalt må man kun videregive den slags billeder til politiet - og i særlige tilfælde til andre erhvervsdrivende i et lukket system efter Datatilsynets tilladelse. Hvis man vil lægge sådan et billede på Facebook, skal man have den formodede tyvs udtrykkelige samtykke, og det kan i sagens natur være lidt svært at få fat i. Læs mere om reglerne for optagelser og overvågning her.

Nej - vi besvarer mange tusind spørgsmål på telefonen hvert år, og vores vejledningsindsats handler i udgangspunktet om at hjælpe folk med at få svar på deres spørgsmål. Det vigtigste for os er jo, at reglerne bliver overholdt, og derfor skal man trygt kunne ringe til os og få hjælp til at forstå reglerne. Og vi arbejder på at blive endnu bedre til at give svar, der er så konkrete som muligt, og hjælpe folk videre i processen.

Hvis personoplysninger har været tilgængelige for uvedkommende, så har der været uautoriseret adgang – uanset om denne adgang har været anvendt eller ej. Dermed har der også været en risiko (en potentiel fare) for de registrerede. Der har dermed også været et sikkerhedsbrud. Om Datatilsynet og de registrerede skal underrettes eller ej, afhænger derimod af en risikovurdering. Læs mere om pligten til at anmelde og underrette de registrerede i tilfælde af et brud mv. i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden: Du kan også høre Datatilsynets podcast-episode om sikkerhedsbrud.

Nej, reglerne for databeskyttelse står som udgangspunkt ikke i vejen for at ønske sine medarbejdere og samarbejdspartnere en glædelig jul. Man bør dog undlade at skrive fortrolige og følsomme oplysninger i julehilsenen, og hvis julehilsenen skulle have karakter af markedsføring, skal man sikre sig, at man overholder reglerne for det.

Jo, du kan faktisk godt selv gøre et par ting, uden at det bliver alt for kompliceret. Du kan f.eks. starte med at ændre nogle få indstillinger på din smartphone og på den måde passe bedre på dine oplysninger.

Se denne video og bliv klogere på, hvordan du gør (videoen åbner i et nyt vindue).

Uanset om man er en lille virksomhed eller en global koncern, står det kunderne frit for at klage til Datatilsynet, og en klage kan udløse alle de samme sanktioner som et sikkerhedsbrud eller et tilsynsbesøg - fx påbud, forbud, kritik og bødeindstilling. Datatilsynet modtager årligt typisk 1.700-2.500 klager. Der er således en rigtig god grund til at overholde GDPR. 

Og måske endnu vigtigere - reglerne er ikke bare til for reglernes egen skyld, men for at sikre det enkelte menneskes fundamentale ret til beskyttelse af sine personoplysninger. Og det er vel også et værdigt formål i sig selv.

Du kan læse mere om Datatilsynets behandling af klagesager her. Du kan også se Datatilsynet i tal her.

Nej, det er en udbredt misforståelse, at det altid er bedst at indhente et samtykke. Datatilsynet opfordrer faktisk til, at man overvejer, om der findes et mere passende retligt grundlag for behandling af personoplysninger end samtykke - det kan fx være opfyldelsen af en kontrakt, overholdelsen af andre love og regler, eller udførelsen af en opgave i samfundets interesse.

Et samtykke skal nemlig være frivilligt og kan altid trækkes tilbage - så hvis man fx som virksomhed har fået kundernes samtykke, men faktisk er nødt til at behandle kundernes personoplysninger for at opfylde en kontrakt, ja så har man et problem, hvis en kunde siger nej tak. Du kan læse mere om kravene til et gyldigt samtykke i Datatilsynets vejledning om samtykke her.

Du kan læse mere om de forskellige retlige grundlag her - og du kan også lytte til Datatilsynets podcast-episode om samtykke her.

Ja og nej. CPR-nummeret er faktisk ikke defineret som en følsom oplysning - en kategori, der ellers rummer oplysninger om bl.a. seksualitet, religion og politisk overbevisning.

Når det er sagt, er der stadig god grund til at passe på sit CPR-nummer, og Datatilsynet råder generelt til, at man tænker sig om, før man deler det med andre. Det skyldes bl.a. risikoen for identitetstyveri.

Du kan læse mere om identitetstyveri på SikkerDigital.

Du kan også læse om behandling af personoplysninger her.

Nej, så er de pseudonymiserede. Man taler om pseudonymisering, når personoplysninger ved hjælp af yderligere information kan føres tilbage til enkeltpersoner igen. Anonymiserede data dækker derimod over oplysninger, hvor ingen vil kunne genskabe relationen til de enkelte registrerede igen. Og når oplysninger er fuldstændig og uigenkaldeligt anonymiserede, er de faktisk slet ikke omfattet af GDPR.
 
Pseudonymisering kan være et nyttigt værktøj i mange sammenhænge, men her skal man sikre sig, at den information, man skal bruge for at knytte oplysningerne til borgerne igen, opbevares separat og er beskyttet af passende sikkerhedsforanstaltninger.
 
Du kan læse mere om anonymisering og pseudonymisering lige her.

Nej, det behøver man ikke. Det er som regel ikke i strid med GDPR, at virksomheder og myndigheder sender oplysninger til borgeres almindelige mail, da transmissionen i langt de fleste tilfælde vil være krypteret.

Datatilsynet modtager ofte klager fra borgere, der modtager oplysninger på deres almindelige mail - typisk fordi det vedrører følsomme personoplysninger.

Det er også rigtigt nok, at Datatilsynet kræver, at følsomme oplysninger sendes krypteret. Men almindelige private mailkonti - fx Gmail, Outlook.com og ProtonMail - kan også modtage krypterede mails.

De myndigheder og virksomheder, der har mulighed for at sende oplysningerne i Digital Post / e-Boks, bør gøre dette - men mindre virksomheder o.l. kan sagtens sende til almindelige mailservices, hvis bare de sørger for at kryptere med det, der hedder TLS, og de sikrer sig, at de modtages krypteret.

Læs mere her.

Nej, der har faktisk været europæiske aftaler på området siden 1981.

GDPR, som er det fælles europæiske regelsæt, der gælder i dag, har ganske vist haft virkning siden 2018. Men Europarådets konvention om beskyttelse af det enkelte menneske i forbindelse med elektronisk databehandling af personoplysninger (kendt som "108-konventionen") blev udfærdiget og åbnet for underskrift og ratificering 28. januar 1981.

108-konventionen er den første retligt bindende multilaterale aftale på databeskyttelsesområdet og har til formål at beskytte retten til privatliv, der er anerkendt i artikel 8 i den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder.

Nej, private virksomheder kan som udgangspunkt lovligt indsamle, registrere, bearbejde og videregive personoplysninger, der er indhentet fra et eller flere offentligt tilgængelige registre såsom Statstidende, CVR, Bilbogen, Motorregistret o.l.

Du har dog ret til at gøre indsigelse over for behandlingen, men en berettiget indsigelse kræver særligt tungtvejende grunde, der vedrører din særlige situation, der taler for, at behandlingen af dine oplysninger alligevel ikke må finde sted.

Læs mere om retten til indsigelse her.

Ja, det kan det godt være, men det er ikke det, der fylder mest.

Når man ser på fordelingen af de brud på persondatasikkerheden, der bliver anmeldt til Datatilsynet, er knap halvdelen af sagerne situationer, hvor man ved en fejl får sendt personoplysninger til den forkerte modtager. Kun et par procent af sagerne er kategoriseret som hacking.

Vi fører løbende statistik over brud på persondatasikkerheden - både for, at vi selv kan målrette vores indsats bedst muligt, og for, at andre kan blive klogere på området.

Du kan også selv dykke ned i vores statistikker lige her.

Nej - databeskyttelsesforordningen finder som udgangspunkt ikke anvendelse på personoplysninger om afdøde personer, men GDPR giver mulighed for, at de enkelte lande kan fastsætte nationale regler om afdøde.
 
Der har man i Danmark i databeskyttelsesloven valgt, at reglerne om databeskyttelse skal gælde oplysninger om afdøde personer i ti år efter deres død.
 
Det er en politisk beslutning, som ifølge forarbejderne bunder i, at oplysninger om afdøde er væsentlige for deres eftermæle og derfor også for de nulevende pårørende.

Både og. Kryptering af data er det første skridt til at beskytte data. Men kryptering er ikke tilstrækkeligt for at opfylde kravene i GDPR-lovgivningen. Din virksomhed kan stadig risikere at få en bøde.

Som dataansvarlig skal man altid overholde nogle grundlæggende behandlingsprincipper inden for databeskyttelsesreglerne. Behandlingen skal bl.a. være gennemsigtig, have et klart formål og urigtige oplysninger skal slettes eller berigtiges.

Du kan læse mere om dine forpligtelser her.

Nej. Det er en udbredt misforståelse, at det er cloud-tjenestens udbyder – og ikke den enkelte virksomhed – der skal opfylde GDPR-reglerne.

Når man som dataansvarlig virksomhed lagrer data hos en cloud-tjeneste, er det virksomhedens pligt at efterleve reglerne og herudover instruere cloud-tjenestens udbyder i, hvordan data skal behandles – ellers kan det medføre en bøde.

Hvis en virksomhed er etableret i EU/EØS, så gælder GDPR, hvis virksomheden behandler personoplysninger. Det gælder også hvis selve behandlingen finder sted udenfor EU/EØS. Hvis virksomheden er etableret udenfor EU/EØS, men behandlingen finder sted i EU/EØS, skal virksomheden også overholde GDPR.

GDPR gælder endvidere for alle virksomheder – uanset hvor de er etableret – hvis virksomheden behandler oplysninger om personer, som er i EU, når behandlingen af oplysningerne relaterer sig til udbud af varer eller tjenester til personer i EU, eller hvis behandlingen relaterer sig til overvågning af personers adfærd indenfor EU.

Nej, et online screeningsværktøj er ikke tilstrækkeligt. De fleste screeningsværktøjer fanger først fejlen, når personoplysningerne er blevet offentliggjort. Det vil sige, at oplysningerne har været tilgængelige for uvedkommende og søgemaskiner i en given tidsperiode.

For at leve op til kravet om passende sikkerhedsforanstaltninger skal dataansvarlige derfor sikre sig, at der i tillæg til de online screeningsværktøjer er udarbejdet en procedure for en offline gennemgang/screening af dokumenterne inden offentliggørelse, og at de relevante medarbejdere er oplært i, hvordan de fjerner eller anonymiserer personoplysninger i de dokumenter, som skal offentliggøres.

Du kan læse mere om, hvad kravet til passende sikkerhedsforanstaltninger indebærer i forbindelse med online offentliggørelse af dokumenter indeholdende personoplysninger i denne afgørelse fra Datatilsynet.

Nej, GDPR udgør ikke alene reglerne for databeskyttelse i Danmark. Ud over GDPR findes der andre danske love og direktiver, som supplererer GDPR og regulerer beskyttelsen af personoplysninger inden for særlige områder, f.eks. databeskyttelsesloven, tv-overvågningsloven og retshåndhævelsesloven.

Du kan læse mere om lovgivningen på databeskyttelsesområdet her.

Nej. Man skal altid have et retligt grundlag – også kaldet en hjemmel, når man som dataansvarlig behandler personoplysninger. Derudover skal nogle grundlæggende principper altid være opfyldt, når der er tale om en behandling under databeskyttelsesreglerne.

Læs nærmere om de seks grundlæggende principper her.

Ja – men det kan også være så meget andet. Fx er en nummerplade også en personoplysning, da den kan lede tilbage til den registrerede ejer af køretøjet og udgør derfor personoplysninger.
 
Et billede er også en personoplysning - hvis personen kan identificeres ud fra billedet. Det gælder, uanset om billedet står alene, eller om billedet er ledsaget af en tekst, der identificerer den pågældende person.

Det samme gælder en stemme. Når det i praksis er muligt at identificere en person ud fra den pågældende oplysning, så er der tale om en personoplysning.

Ønsker du et hurtigt overblik over personoplysninger? Så har vi udformet en guide om emnet, der opsamler de vigtigste elementer. Du kan læse guiden her.

Nej, men det kan være en god idé. Databeskyttelseslovgivningen stiller en række krav om oplysningspligt, interne retningslinjer og ansvar for virksomhedens egen behandling af personoplysninger.

Derudover er en persondatapolitik også et godt værktøj til at oplyse omverdenen og virksomhedens egne medarbejdere om, hvordan behandlingen af personoplysninger er tilrettelagt.

Nej. Det er ikke nok blot at indgå databehandleraftaler – der skal også følges op på databehandleren og eventuelle underdatabehandlere for at sikre, at behandlingen af personoplysninger sker i overensstemmelse med det aftalte. Derudover skal man også sikre, at sikkerhedsforanstaltningerne er som beskrevet.

Du kan læse Datatilsynets vejledende tekst om tilsyn med databehandlere og underdatabehandlere her.

Nej. Der er som udgangspunkt ikke noget i vejen med at modtage ansøgninger på mail, men man skal huske at håndtere ansøgningerne forsvarligt, når man først har modtaget dem.

Er du sikker? Mange virksomheder tror, at de ikke behandler personoplysninger, men ofte viser det sig at være anderledes. Personoplysninger er mere end åbenlyse identificerbare oplysninger som navn, billede eller CPR-nummer.

Personoplysninger skal forstås som: ”Enhver form for information om en identificeret eller identificerbar fysisk person." Med andre ord - forskellige oplysninger, som samlet set kan føre til identifikation af en bestemt person, betragtes som personoplysninger.

Der er tale om behandling af personoplysninger fra det øjeblik, virksomheden modtager eller gemmer oplysningerne, og databeskyttelsesreglerne skal således allerede overholdes.

Du kan læse mere om, hvornår man behandler personoplysninger her.

Nej. Når der er tale om en B2B-situation, handler det stadig om personer, som interagerer og deler information om og med hinanden. Der skelnes ikke mellem personoplysninger relateret til personens private, offentlige eller arbejdsmæssige rolle. Derfor er GDPR naturligvis også gældende i dette tilfælde.

Du kan læse mere om, hvornår databeskyttelsesforordningen er gældende her.

Nej. Det afhænger altid af en konkret vurdering. Og hvad betyder det så? Man skal vurdere, hvor længe oplysningerne er relevante i forhold til det eller de formål, de er indsamlet til. Det er ikke en god idé at have personoplysninger liggende i en lang årrække ’bare for en sikkerhedsskyld.’

Fastsat altid en slettefrist som giver mening – også for den registrerede.

Du kan læse mere om sletning her.

Ja, der vil altid være tale om et sikkerhedsbrud. Men den dataansvarlige skal i den givne situation vurdere, om bruddet indebærer en risiko for den pågældende persons rettigheder. Hvis vurderingen lyder, at der ikke er nogen risiko, kan man undlade at anmelde bruddet til Datatilsynet. Det kunne f.eks. være, hvis e-mailen er sendt til Advokat A i stedet for Advokat B, da de har en særlig tavshedspligt.

Selvom et sikkerhedsbrud ikke skal anmeldes til Datatilsynet, skal det altid påføres en liste over alle brud hos den dataansvarlige.

Du kan læse mere om sikkerhedsbrud her. Du kan også læse mere om sikkerhedsbrud i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden her.

Du kan også læse EDPB's vejledning om anmeldelser på persondatasikkerheden her.

Jo! I langt de største tilfælde vil virksomheden være dataansvarlig (f.eks. fordi man har ansatte) og/eller databehandler (f.eks. fordi man er leverandør). Sandsynligheden for at man hverken er databehandler eller dataansvarlig er ret lille.

Læs mere i vores vejledning om dataansvarlige og databehandlere her.

Ikke helt. Man må gerne uddele deltagerlister til f.eks. kursister, men det vigtigste er, at huske oplysningspligten. Man skal oplyse om, hvordan man håndterer de oplysninger, man behandler - f.eks. skal man gøre kursisterne opmærksomme på, at de vil komme på en deltagerliste som vil blive distribueret til de andre kursister.

Hvis en kursist har indvendinger imod det, så kan vedkommende altid bede om at få sit navn fjernet fra deltagerlisten.

Du kan læse mere om oplysningspligten her. 

Ikke helt. Det er naturligvis altid godt, at virksomheder gør sig ovenstående overvejelser – men når der er tale om en risikovurdering, menes der en databeskyttelsesretlig risikovurdering, som skal udarbejdes efter forordningens artikel 32.

Omdrejningspunktet for risikovurderingen er de registrerede. Det betyder, at man f.eks. skal fokusere på risikoen ved at de registreredes oplysninger kommer til uvedkommendes kenskab. I den forbindelse skal man gennemføre et sikkerhedsniveau, der er passende i forhold til den konkrete risikovurdering.

Du kan læse mere om en risikovurdering her.

Ikke helt. ’Personfølsomme oplysninger’ kan give anledning til misforståelser. Ofte er det uklart, om den, der anvender begrebet, egentlig mener ’personoplysninger’, ’følsomme personoplysninger’ mv. Derfor er det heller ikke et begreb, Datatilsynet bruger.

I GDPR skelner man mellem tre typer af personoplysninger: Personoplysninger (ikke-følsomme oplysninger), personoplysninger (følsomme personoplysninger) og oplysninger om strafbare forhold. Typen af personoplysninger kan have betydning for, hvilke krav der stilles til beskyttelsen af oplysningerne.

Derfor kan det være fint nok, at borgere i daglig tale bruger ordet 'personfølsom', men hvis man som dataansvarlig skal vurdere, hvilke typer oplysninger man behandler, er det en god idé at tage udgangspunkt i de definitioner, der findes i reglerne om databeskyttelse.

Dem kan du læse mere om her.

Jo, et samtykke kan til enhver tid tilbagekaldes. Det betyder, at hvis man som eksempelvis borger eller kunde har givet samtykke til brug af ens personoplysninger, kan man uden videre henvende sig og sige, at man trækker samtykket tilbage igen.
 
Og hvis man som dataansvarlig baserer sin behandling af personoplysninger på et samtykke, skal behandlingen ophøre, når samtykket bliver tilbagekaldt.
 
Du kan læse meget mere i Datatilsynets vejledning om samtykke.

Nej. Når man sender en e-mail i en privat sammenhæng, behøver man ikke at kryptere e-mailen. Databeskyttelsesreglerne gælder ikke i private sammenhænge.

Hvis arbejdspladsen vælger at sende en julehilsen til sine medarbejdere eller samarbejdspartnere, er det heller ikke nødvendigt at kryptere e-mailen – så længe der ikke indgår følsomme eller fortrolige personoplysninger.

GDPR gør sig ikke gældende i private sammenhænge og du må derfor gerne tage festlige billeder af din familie og venner. Men husk - det er altid god stil at spørge, hvis man lægger noget ud på sociale medier!

Læs vores vejledning om samtykke her.

Ikke helt. Der er faktisk ting, du selv skal gøre for at gøre din telefon sikker og klar til brug. Du kan f.eks. starte med at slå lokation fra i de apps, der ikke har brug for det, og hav det kun slået til, når det er nødvendigt.

Vær altid opmærksom før du installerer apps. Typisk bliver man mødt af en lang tekst med brugervilkår, som man skal acceptere for at komme i gang. Mange trykker bare OK - men det er altså en god idé at læse teksten, for det vil typisk fremgå, hvad leverandøren kan bruge dine oplysninger til.

Det er faktisk et krav i GDPR, at teksten med brugervilkår skal være forståelig, og at den skal indeholde så mange oplysninger, at man som bruger kan overskue rækkevidden af det samtykke, man giver. Hvis dette ikke er tilfældet, er samtykket ikke gyldigt.

Find flere gode råd i denne video, som giver dig den fornødne viden på 1 minut.

Nej, oplysninger om vaccinestatus giver ingen information om vedkommendes helbredstilstand. Der er derfor ikke tale om helbredsoplysninger, da sådanne oplysninger er personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand.
 
Selv om oplysninger om vaccinestatus ikke er en følsom oplysning, skal man stadig have et lovligt grundlag for at behandle, herunder registrere, oplysningen.
 
Her kan du læse mere om, hvornår du må behandle personoplysninger.

Det er helt rigtigt, at du har krav på at få oplyst hvilke personoplysninger en myndighed, virksomhed, forening el. lign. behandler om dig. Du har desuden ret til at få en række oplysninger om, hvordan dine personoplysninger behandles, herunder bl.a. hvad formålet med behandlingen er, hvem dine personoplysninger deles med, samt informationer om det tidsrum dine personoplysninger opbevares i.

Reglerne om databeskyttelse gælder dog ikke i private sammenhænge og du er derfor ikke forpligtiget til at oplyse dine venner om, at du har deres telefonnummer på din telefon.

Ja, i langt de fleste tilfælde! Man skal dog være opmærksom på, at en e-mailadresse bare er en destination for din e-mail. Sender man en e-mail på normal vis til en e-mailadresse, så har man ikke nødvendigvis sikret beskyttelse af oplysningerne i e-mailen tilstrækkeligt. 

Når du sender følsomme personoplysninger kræver Datatilsynet, at du sikrer, at transmissionen er krypteret. Normalt vil mails sendt til almindelige private mailkonto - eksempelvis Gmail, Hotmail, Outlook.com, ProtonMail eller Yahoo - også være krypteret. Man skal dog huske, at fremsendelse af følsomme personoplysninger til e-mailadresser kan udgøre risici i form af fremsendelse til en forkert modtager. Du kan læse mere om sikker transmission med valideret afsender og modtager her.

Har du mulighed for at sende oplysningerne i Digital Post / e-Boks, bør du gøre dette - men mindre virksomheder o.l. kan sagtens sende til almindelige mailservices, hvis bare de sørger for at kryptere med det, der hedder TLS, og de sikrer sig, at de modtages krypteret og af den tilsigtede modtager.

Du kan også læse mere om sikker transmission her, og du kan se en kort video, der forklarer om fremsendelse af følsomme personoplysninger til almindelige e-mailadresser her.

Nej. Det er en udbredt misforståelse, at et sikkerhedsbrud startede den dag, hvor nogen opdagede det eller gjorde virksomheden opmærksom på det. Faktisk er et sikkerhedsbrud gældende fra det øjeblik, en sårbar IT-løsning bliver taget i brug og dermed det tidspunkt, hvorfra det har været muligt at tilgå personoplysninger uautoriseret.

Du kan læse mere om håndtering af brud på persondatasikkerheden her, og du kan læse mere om, hvordan du anmelder et sikkerhedsbrud her.

Nej. Hvis du, som hjemmesideejer, har et cookie banner på din hjemmeside, hvor du blot beder brugerne om at trykke ”Godkend” eller ”OK” til brugen af cookies, så overholder du ikke længere de gældende regler på området.

For at give brugerne kontrol over deres egne data og mere viden om virksomheders brug og indsamling af dem, er du forpligtiget til at specificere, hvad formålet er med cookies og dataindsamlingen.

Du kan læse mere om brugen af cookies i denne Quickguide, som Datatilsynet har været med til at udforme.

Det er rigtigt, at et sikkerhedsbrud kan betyde, at nogle oplysninger er blevet lækket – men det er ikke det hele. Et sikkerhedsbrud kan også være andet – f.eks. tab af integritet. Og hvad betyder det så?
 
Det fremgår af databeskyttelsesforordningen, at et sikkerhedsbrud bl.a. kan opstå, hvis data er blevet ændret eller manipuleret uautoriseret.
 
Så hvis der sker et sikkerhedsbrud, og bruddet består i, at der er sket ændringer af data uden at det er blevet godkendt – så vil oplysningerne ikke længere være korrekte. Integriteten vil derfor være kompromitteret og der vil være tale om et sikkerhedsbrud.

Nej. Det er faktisk en udbredt misforståelse, at Datatilsynet udsteder bøder til virksomheder i Danmark. Bøderne udstedes af politiet, hvilket kun sker efter, at politiet har sigtet og senere tiltalt den dataansvarlige for brud på databeskyttelsesreglerne.

Politiets sigtelse sker dog typisk på baggrund af en politianmeldelse fra Datatilsynet, og det kan forventes, at tilsynet har en aktiv rolle i politiets efterforskning.

Du kan læse Datatilsynets bødevejledning her.

Nej. En databehandler skal altid underrette den dataansvarlige om et brud og overlade det til den dataansvarlige at foretage en risikovurdering – gerne med hjælp fra databehandleren. Den dataansvarlige har desuden pligt til at dokumentere et brud og derfor er det også vigtigt, at denne altid informeres.

Du kan læse mere om dataansvarlige og databehandlere her.

Nej. Man skal altid underrette de berørte ved høj risiko – også hvis det blot involverer én berørt person. Det er rigtigt, at risikoen kan være højere, hvis der er mange berørte. Men der kan også være høj risiko, hvis der kun er tale om én person. I så fald er det vigtigt at underrette vedkommende.
 
Du kan læse mere i EDPB's vejledning om håndtering af sikkerhedsbrud og eksempler på, hvornår du skal underrette her.

Jo, det må de godt. Der har ganske rigtigt være uklarhed om dette, hvilket bunder i, at religiøs overbevisning er en følsom personoplysning, som kræver en højere grad af beskyttelse.
 
Men det er der også i form af kryptering på transportlaget, når præster sender mails fra deres officielle mailadresser. Det kan du læse mere om her.

Nej. Der kan være rigtig mange andre behandlinger i spil end ”kun” opbevaring. Det er derfor vigtigt, at du som dataansvarlig kender dine behandlinger og leverandører. Mange gange kan der i de brugte services ske behandlinger i/fra tredjelandet eller det kan være aftalt i kontrakten, at der potentielt vil ske overførsler.
 
Så selvom det ser ud som om alle databehandlinger udelukkende foregår inden for EU’s rammer, skal man være opmærksom.
 
De databehandleraftaler, som flere cloud-leverandører tilbyder i dag, kan være problematiske. Selvom disse leverandører siger, at data som udgangspunkt bliver opbevaret i Europa, så er der ofte undtagelser i aftalerne - f.eks. omkring visse typer metadata, service og support, opdatering af databærende sikkerhedskomponenter, udlevering af data, for at nævne enkelte situationer, hvor der så alligevel sker en overførsel.

Det er derfor væsentligt, at de dataansvarlige sørger for at få disse tilfælde ud af kontraktgrundlaget. 

Du kan læse eller genlæse Datatilsynets cloud-vejledning her. Du kan også læse mere om tredjelandsoverførsler her.

Nej. Hvis 10 personer, ved en fejl, har haft adgang til dokumenter på en server, hvor der lå oplysninger om dem selv og 500 andre, er det ikke kun de 10 personer, der er berørt af bruddet. Der er tale om 510 personer.

Du kan læse mere om Datatilsynets håndtering af brud på persondatasikkerheden her.