FAQ

Ofte stillede spørgsmål om behandling af personoplysninger i form af EU- forordningen, General Data Protection Regulation, GDPR

 
 

+ Hvordan kan CONOVAH hjælpe jer?

Vi kan tilbyde forskellige ydelser inden for dette område fx:

  1. Hjælp til at strukturere jeres arbejde med at implementere persondataforordningen.
  2. Indledende gennemgang af om I overholder kravene i persondataforordningen
  3. Rådgivning, der hvor I selv er gået i stå
  4. Hotline-funktion til afklaring af juridiske spørgsmål
  5. Ekstern DPO-funktion
  6. Procedure og processer Oplæring og instruktion

+ Hvad er personoplysninger?

Personoplysning er et overordnet begreb, der omfatter alle oplysninger, som kan henføres til en bestemt fysisk person, men også følsomme oplysninger som fx helbredsoplysninger. Det gælder også oplysninger, som først i kombination med andre oplysninger kan henføres til en bestemt fysisk person. Det gælder også selv om oplysningerne er erstattet af en kode eller er krypterede.

Man kan opdele oplysningerne i:

  • Almindelige oplysninger
  • CPR-nr.
  • Strafbare forhold
  • Følsomme oplysninger

Det får betydning i forhold til hvad man må med disse oplysninger og hvordan de skal behandles.

+ Hvad er en følsom personoplysning?

En følsom personoplysning er en oplysning om race eller etnisk baggrund, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold og oplysninger om helbredsmæssige og seksuelle forhold.

Den nye forordning omfatter også genetiske og biometriske data. Biometriske data er oplysninger om fysiske karakteristika, fx fingeraftryk.

+ Er du dataansvarlig?

Du er dataansvarlig, hvis du har det overordnede ansvar for til hvilke formål og med hvilke hjælpemidler, der må behandles personoplysninger. Det gælder også, hvis der er andre der behandler dataene på dine vegne.

+ Er du databehandler?

Du er databehandler, hvis du behandler oplysninger på vegne af en dataansvarlig og efter instruks fra denne. En databehandler behandler aldrig oplysninger til egne formål.

+ Har du styr på dine databehandlere?

En af opgaverne er at få styr på hvem der egentlig behandler data på din virksomheds vegne. Her er det godt at starte i IT-afdelingen, men al erfaring viser, at man også er nødt til at tage fat i medarbejderne rundt i virksomheden, for der anvendes næsten altid også en række programmer, som virksomhedens IT afdeling ikke kender til.

Når du ved hvem der behandler data for jer, skal I afklare om det også skal være sådan fremover og hvis ja, indgås en databehandleraftale med denne. Det er den dataansvarliges ansvar, at der er styr på dette.

+ Hvilke typer behandlinger er omfattet?

Alle behandlinger af personoplysninger, der foretages ved hjælp af automatisk behandling og anden ikke-automatisk behandling, der er eller vil blive indeholdt i et register. Reglerne omfatter enhver form for håndtering, fx indsamling, registrering, systematisering, opbevaring, søgning, brug, videregivelse eller sletning af oplysninger.

Man skal være lovlig (dvs. have en hjemmel) for at man må behandle personoplysninger, herudover gælder der nogle grundlæggende principper for behandlingen, herunder at behandlingen skal være saglig, nødvendig og proportional.

Vær opmærksom på, at fordi man har hjemmel til fx at indsamle en oplysning er det ikke sikkert, at man har hjemmel til at videregive oplysningen.

+ Samtykke?

Den behandling man gerne vil foretage skal være lovlig, dvs. have en hjemmel. Der er en række hjemler i forordningen, som åbner mulighed for behandlinger, der langt hen ad vejen giver mulighed for at foretage de behandlinger, virksomheder har brug for. Der er også mulighed for at man kan indhente et samtykke.

En anmodning om samtykke skal være letforståelig i et klart og enkelt sprog og kan til enhver tid trækkes tilbage og det skal fremgå og være lige så let som at give samtykket. Bemærk, at der er særlige regler for samtykke for børn.

+ Skal man lave en konsekvensanalyse (DPIA)?

Efter reglerne er det de virksomheder, der har databehandlinger, der sandsynligvis vil indebære en høj risiko, der skal foretage en konsekvensanalyse.

Man kan sige, at for at kunne dokumentere om man har sådanne behandlinger er man nødt til at gennemgå konsekvensen af de behandlinger man har.

+ Hvad er de registreredes rettigheder?

Forordningen giver de registrerede en række rettigheder, fx oplysning om, at der behandles oplysninger om en, få oplysningerne at se, få rettet forkerte oplysninger, og til at få slettet oplysninger. Der gælder samtidig en række begrænsninger i rettighederne.

Personer, der henvender sig efter disse regler, skal normalt have en tilbagemelding hurtigst muligt og inden for en måned. Virksomheder skal derfor have styr på, hvordan man reagerer på sådanne henvendelser, når de dukker op.

+ Hvad er en DPO og hvem skal have en?

En DPO er en databeskyttelsesrådgiver (Data Protection Officer). Det er kun offentlige myndigheder og visse private virksomheder, der i udstrakt grad behandler personoplysninger, fx privathospitaler, forsikringsselskaber etc., der skal have en DPO. En DPO behøver ikke være ansat internt i virksomheden.

Hvis din virksomhed skal eller gerne vil have en DPO, vil CONOVAH kunne tilbyde at løse denne opgave.

+ Bøder?

Forordningen åbner mulighed for bøder op til 4% af virksomhedens omsætning.

Fremtiden må vise hvordan de nye bødemuligheder i praksis vil blive udnyttet.