11 vigtigste GDPR definitioner

By 
Henning Mortensen
September 10, 2018

Largo. Lodpost. Leukocyt.

Ethvert fagområde har sine udtryk, som ikke er umiddelbart forståelige for andre. Det er imidlertid svært at sætte sig ind i et område, hvis man ikke har et minimum af kendskab til fagområdets vigtige udtryk. Det kan for eksempel være nødvendigt at forstå, at largo er musik i langsomt tempo, lodpost er den lodrette stolpe mellem to vinduer, og at leukocyt er et hvidt blodlegeme. Således er der også inden for persondataretten et par håndfulde ord, som det er nødvendigt at forstå, for at man kan arbejde med området.

Heldigvis er de vigtigste ord defineret direkte i lovgivningen. I persondataforordningens artikel 4 er der således defineret 26 ord. Nogle af disse ord er yderligere uddybet i forskellige vejledninger. Datatilsynet har skrevet en vejledning om ordene dataansvarlig og databehandler, og de europæiske datatilsyn har sammen skrevet en vejledning om ordet samtykke. I denne artikel vil de vigtigste ord blive forklaret.

Definitioner på ordene kan findes i persondataforordningens artikel 4.

Datatilsynet har endvidere udgivet en vejledning om samtykke og om dataansvarlige og databehandlere.

Personoplysning

Enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«). Ved "identificerbar fysisk person" forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Eksempler inkluderer bl.a. navn, adresse, e-mailadresse, telefonnummer, kundenummer, journalnummer, medarbejder-ID og IP-adresse.

Den registrerede

Den registrerede er den fysiske person, som personoplysningerne vedrører. Hvis der er tale om enkeltmandsvirksomheder er disse også omfattet af definitionen, fordi man siger, at en enkeltmandsvirksomhed siger meget om den person, som ejer virksomheden.

Behandling

Enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, herunder indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Basalt set tæller alt, hvad man gør ved personoplysninger som behandling.

Dataansvarlig

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

For at være dataansvarlig skal man altså
1) bestemme formålet med behandlingen,
2) bestemme midlerne til behandlingen (f.eks. hvilket it-system eller hvilken leverandør, der skal foretage behandlingen), og
3) der skal eksplicit være tale om at ydelsens karakter vedrører behandling af personoplysninger.

Databehandler

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ (f.eks. en virksomhed), der behandler personoplysninger på den dataansvarliges vegne.

Hvis man er dataansvarlig, modtager man altså en instruktion fra andre i at behandle personoplysninger i et givent system. Databehandleren må ikke selv bestemme formålet med behandlingen eller midlet (f.eks. et it-system). Databehandleren må dog godt sørge for, at midlet fungerer ved f.eks. at opdatere systemet.

Samtykke

Fra den registrerede: enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling.

Samtykke er en måde at få lov til at behandle personlysninger. Ved samtykket beder man pænt om lov. Samtykket kan imidlertid trækkes tilbage, så hvis man ikke ønsker at give den registrerede et reelt frit valg om, hvorvidt der må behandles personoplysninger eller ej, skal man ikke bruge samtykke.

At samtykket skal være frivilligt betyder, at den registrerede ikke må kunne tvinges til at samtykke – f.eks. fordi den ene part har magt over den anden.
At samtykket skal være specifikt betyder, at den registrerede ved præcis hvad det er der samtykkes til. Formålet må derfor ikke være for bredt, upræcist eller abstrakt.
At samtykket skal være informeret betyder, at der skal være oplysninger tilgængelige om behandlingen – f.eks. i form af en privacy politik.
At samtykket skal være utvetydigt betyder, at der ikke må kunne rejses tvivl om, hvorvidt samtykket er afgivet.
I praksis kan den dataansvarlige gemme en e-mail med samtykket eller tilvejebringe et system, hvor den registrerede klikker ja til samtykket, og den dataansvarlige logger eller registrerer dette klik.

Hjemmel

Udgangspunktet er, at man ikke må behandle personoplysninger. Det må man dog godt alligevel, hvis man kan finde hjemmel.
Hjemmel er altså en måde sikre sig, at behandlingen af oplysninger er lovlig.

For de almindelige personoplysninger er der seks måder til at sikre, at behandlingen er lovlig, herunder samtykke, kontrakt og interesseafvejning, jf. persondataforordningens artikel 6.

For de følsomme personoplysninger skal hjemmelen findes i artikel 9.

Der kan læses mere om den konkrete hjemmel her.

Kategorier af personoplysninger

Der findes fire kategorier af personoplysninger. Til hver kategori hører forskellige regler for behandlingen.

1. Følsomme oplysninger
Personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetiske data, biometriske data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering.

Listen over de følsomme oplysninger er udtømmende (artikel 9), og fremgår en given personoplysning ikke af denne liste, så er den ikke følsom.

2. Oplysninger om straffedomme og lovovertrædelse
Listen er selvforklarende.

3. Fortrolige oplysninger
Fortrolige oplysninger er ikke præcist defineret i persondataretten. I henhold til straffelovens §152 sammenholdt med forvaltningslovens § 27 udlægger Datatilsynet de fortrolige oplysninger som dem, der ”efter den almindelige opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab”.

Omfattet af fortrolige oplysninger er CPR-nummer. Efter omstændighederne er også oplysninger om indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold omfattet. Videre er oplysninger om interne familieforhold, f.eks. selvmordsforsøg og ulykkestilfælde omfattet, samt sociale forhold.
Selvom de strafbare oplysninger har deres egne regler i GDPR-direktivets artikel 10, vil disse også være omfattet af kryptering.

4. Almindelige oplysninger
Personoplysninger, som ikke er omfattet af en af de ovenstående kategorier, er almindelige oplysninger.

Eksempler inkluderer navn, adresse, e-mailadresse, m.v.

Videregivelse

En videregivelse af personoplysninger indebærer, at oplysningerne meddeles en tredjemand, som herefter har en selvstændig ret til at behandle oplysningerne og altså bestemmer formål og midler.

Der er f.eks. tale om en videregivelse, når man køber eller sælger personoplysninger mellem virksomheder, når man videregiver personoplysninger til en offentlig myndighed, eller når der meddeles oplysninger mellem to juridiske enheder i en koncern.

Overladelse

En overladelse af personoplysninger betyder, at den, som oplysningerne meddeles til, alene må behandle personoplysningerne på den dataansvarliges vegne og efter dennes instruks.

Der er f.eks. tale om en overladelse, når en dataansvarlig bruger en it-virksomhed i skyen (en databehandler) til et behandle sine data på vegne af sig. Tilsvarende er det en overladelse at anvende en rådgiver.

Overførsel

Lande udenfor EU/EØS kaldes tredjelande. Når personoplysninger forlader EU/EØS-området, er der tale om en overførsel til tredjelande. En overførsel kræver særskilt hjemmel. Man taler derfor om dobbelthjemmel, fordi der først skal findes hjemmel for behandling, og derudover hjemmel for overførsel.

Overførsel kan ske under anvendelse af EU Kommissionens standardkontrakter, bindende virksomhedsregler, til USA via Privacy Shield eller til sikre tredjelande, som er godkendt af Kommissionen.