Databehandling

Herunder har vi samlet nogle af de hyppigst stillede spørgsmål inden for databehandling. Har du spørgsmål til behandling af data, kontakt vores fagmedarbejder på området. Find kontaktoplysninger nedenfor.

Hvornår er noget en behandling?

En behandling omfatter enhver aktivitet som en personoplysning gøres til genstand for. Foretages der eksempelvis indsamling, registrering, opbevaring, analysering, videregivelse, sletning eller salg af personoplysninger, vil en sådan behandling skulle ske i overensstemmelse reglerne i databeskyttelsesforordningen og databeskyttelsesloven.

En behandling af personoplysninger kræver et lovligt behandlingsgrundlag

Det er en forudsætning for at behandle personoplysninger, at man har et lovligt behandlingsgrundlag. Databeskyttelsesforordningen indeholder en række bestemmelser, der angiver, hvornår det er tilladt at behandle personoplysninger. Behandlingsgrundlaget afhænger af, hvorvidt der er tale om almindelige eller følsomme personoplysninger.

Behandling af almindelige personoplysninger kan som udgangspunkt altid ske, når man indhenter den registreredes samtykke. Derudover vil almindelige personoplysninger kunne behandles uden samtykke af forskellige grunde. Udover samtykke vil de mest centrale behandlingsgrundlag for virksomheder i praksis ofte være, når det er nødvendigt af hensyn til en kontrakt med den registrerede, eller når det er nødvendigt af hensyn til den dataansvarliges (eller andres) legitime interesse – og denne ikke overgås af bl.a. den registreredes interesse i, at behandlingen ikke finder sted.

Hvad er forskellen på en dataansvarlig og en databehandler?

Den dataansvarlige er den, der bestemmer, til hvilke formål og hvordan personoplysningerne behandles. Den dataansvarlig er den, der tager initiativ til, at der skal ske en behandling af personoplysninger.

Eksempler: En virksomhed der udbyder digitalt indhold og/eller webbutik. Medievirksomheder vil ligesom andre virksomheder skulle efterleve databeskyttelsesreglerne i forhold til deres kommercielle aktiviteter mv. Tilsvarende gælder dog ikke for mediernes journalistiske behandling af personoplysninger, der i stor udstrækning er undtaget fra reglerne i databeskyttelsesforordningen og databeskyttelsesloven. (Se Persondata og den Journalistiske undtagelse.)

Databehandleren er den, der behandler personoplysninger på den dataansvarliges vegne.

Eksempler: Udbydere af digitale og cloud baserede services som hosting, backup-mailhosting, eksterne HR-systemer. Databehandlere kan f.eks. også være konsulenter, analysefirmaer, rekrutteringsvirksomheder, mediebureauer eller enhver tredjepart med adgang til personoplysninger, der udelukkende behandles på virksomhedens vegne.

Vi har indhentet samtykke til at behandle personoplysninger. Kan vi så bruge oplysningerne til hvad som helst?

Når der er indhentet et gyldigt samtykke i overensstemmelse med databeskyttelsesreglerne, må oplysningerne som udgangspunkt kun behandles til det eller de formål, som der er oplyst i forbindelse med at samtykket afgives.

Vær opmærksom på, at det ikke er tilstrækkeligt at indhente brede generelle samtykker i stil med: ”Data bruges til samkøring med andre oplysninger og deles med andre til markedsføring.” Oplysninger om formål og hvem der har adgang til oplysningerne skal være specifikke og afgrænsede. Selvom der er indhentet et samtykke, er det også et krav, at den forestående eller påtænkte behandling af personoplysninger sker i overensstemmelse med god databehandlingsskik, databehandlingsprincipperne og oplysningsforpligtelsen.

Er det lovligt at få virksomhedens data ”hostet” af en anden virksomhed?

Når data ”hostes” ved en anden virksomhed, vil der være tale om, at der benyttes en databehandler. Det er som udgangspunkt lovligt at benytte databehandlere, men det er vigtigt at være opmærksom på de regler, der gælder for brugen heraf.


Det er f.eks. nødvendigt, at der indgås en databehandleraftale med databehandleren. I den forbindelse er det vigtigt at undersøges, om databehandleren kan garantere et tilstrækkeligt sikkerhedsniveau. Databehandleren må kun behandle oplysninger efter instruks fra den dataansvarlige.


Den dataansvarlige skal påse, at databehandleren overholder kravene til sikker behandling af data. Det er derfor en god idé at bede om dokumentation herfor, f.eks. i form af en sikkerhedsbeskrivelse, uafhængig revisionserklæring eller lignende. Databehandlere skal omvendt sikre sig, at de data, de får overleveret, er indhentet på lovligt grundlag, hvorfor den dataansvarlige kan blive mødt med krav om dokumentation heraf.

Skal vores virksomhed have en Data Protection Officer (DPO)?

Det er Danske Mediers umiddelbare opfattelse, at hovedparten af publicistiske virksomheder ikke er forpligtet til at ansætte en DPO. Danske Medier anbefaler dog, at alle foreningens medlemsvirksomheder udpeger en medarbejder eller gruppe af medarbejdere, der er ansvarlig for at virksomheden behandler personoplysninger i overensstemmelse med databeskyttelsesforordningen og databeskyttelsesloven.

Christina Moshøj
Seniorkonsulent, cand.jur.

cm@danskemedier.dk
Mobil: 51 50 26 44
Dir. nr: 33 97 42 61