Databeskyttelse & cookies
Herunder har vi samlet nogle af de hyppigst stillede spørgsmål inden for GDPR, databeskyttelse og cookies. Har du spørgsmål til nedenstående, kontakt vores fagmedarbejder på området. Find kontaktoplysninger nedenfor.
GDPR
Hvad er GDPR?
Databeskyttelsesforordningen (GDPR) er en lov, der trådte i kraft 25. maj 2018. Databeskyttelsesforordningen træder i stedet for tidligere persondatalovgivning og har til formål at sikre, at EU medlemsstaterne har stort set ensartede regler for behandling af personoplysninger.
Hvilken betydning har GDPR for min virksomhed?
Databeskyttelsesforordningen tager udgangspunkt i de samme principper og betingelser, som kendes fra de tidligere gældende persondataregler. Databeskyttelsesforordningen medfører dog en række nye eller strengere regler, som gælder for både dataansvarlige og databehandlere, og dermed også alle medlemmer af Danske Medier.
En af de nye regler er, at den dataansvarlige og databehandleren skal være i stand til at dokumentere, at lovgivningen overholdes. Ved besøg fra de relevante databeskyttelsesmyndigheder er det altså ikke nok, at reglerne overholdes, det skal også kunne dokumenteres, at reglerne overholdes. Dette indebærer helt konkret, at både dataansvarlige og databehandlere skal kunne dokumentere;
En af de nye regler er, at den dataansvarlige og databehandleren skal være i stand til at dokumentere, at lovgivningen overholdes. Ved besøg fra de relevante databeskyttelsesmyndigheder er det altså ikke nok, at reglerne overholdes, det skal også kunne dokumenteres, at reglerne overholdes. Dette indebærer helt konkret, at både dataansvarlige og databehandlere skal kunne dokumentere;
- Hvilke oplysninger der behandles
- Hvordan de behandles
- Hvorfor de behandles
Hvor finder jeg hjælp til det praktiske?
Danske Medier har udarbejdet en række vejledninger og skabeloner, der beskriver, hvordan det er muligt at gribe det praktiske arbejde med databeskyttelsesforordningen an, hvordan du arbejder med databehandleraftaler og generelt sikrer, at din virksomhed overholder dokumentationskravet.
Personoplysninger
Hvad er en personoplysning?
En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person (den registrerede). En personoplysning omfatter alle oplysninger, der kan henføres til en person, også selvom det vil kræve kendskab til eksempelvis personens cpr-nummer. En oplysning er altså også en personoplysning, selv om den først kombineret med andre oplysninger, kan henføres til en fysisk person.
Eksempler: Navn, fødselsdag, adresse, e-mail adresse, foto, cpr-nummer, familieforhold, civilstatus, helbredsoplysninger, lønforhold, lokationsdata, oplysninger om at den registrerede foretrækker indhold om sport eller parforhold.
Personoplysninger er i databeskyttelsesreglerne opdelt i to hovedkategorier – almindelige og følsomme oplysninger. Oplysninger om civilstatus og lønforhold er eksempler på almindelige personoplysninger, hvorimod oplysninger om helbred er omfattet af begrebet følsomme personoplysninger.
Et kundenummer eller medlemsnummer vil f.eks. også være en personoplysning, hvis der er mulighed for at oplysningen kan føres tilbage til den pågældende person. En IP-adresse vil også være en personoplysning, når det er muligt ud fra IP-adressen alene eller kombineret med andre oplysninger at identificere en person.
Eksempler: Navn, fødselsdag, adresse, e-mail adresse, foto, cpr-nummer, familieforhold, civilstatus, helbredsoplysninger, lønforhold, lokationsdata, oplysninger om at den registrerede foretrækker indhold om sport eller parforhold.
Personoplysninger er i databeskyttelsesreglerne opdelt i to hovedkategorier – almindelige og følsomme oplysninger. Oplysninger om civilstatus og lønforhold er eksempler på almindelige personoplysninger, hvorimod oplysninger om helbred er omfattet af begrebet følsomme personoplysninger.
Et kundenummer eller medlemsnummer vil f.eks. også være en personoplysning, hvis der er mulighed for at oplysningen kan føres tilbage til den pågældende person. En IP-adresse vil også være en personoplysning, når det er muligt ud fra IP-adressen alene eller kombineret med andre oplysninger at identificere en person.
Hvor længe er det tilladt at opbevare personoplysninger?
Dette vil altid komme an på det konkrete tilfælde. Nogle personoplysninger kan opbevares meget længe, hvorimod andre personoplysninger skal slettes inden for en kort frist.
Opbevaringstiden afhænger i høj grad af, til hvilket formål oplysningerne er blevet indsamlet, samt i hvilket omfang det er nødvendigt at opbevare oplysningerne.
Opbevaringstiden afhænger i høj grad af, til hvilket formål oplysningerne er blevet indsamlet, samt i hvilket omfang det er nødvendigt at opbevare oplysningerne.
Er en cookie en personoplysning?
Ja, en cookie er en lille datafil der kan lagres på en enhed som f. eks. en computer, tablet eller smartphone og benyttes ofte som en onlineidentifikator, så det er muligt at genkende en bruger (eller rettere enheden) mellem forskellige besøg og på forskellige websites. Det er f. eks. tilfældet ved målretning af annoncer.
Onlineidentifikatorer defineres jf. databeskyttelsesforordningen som persondata, og cookies vil derfor i den sammenhæng også være omfattet af reglerne for behandling af persondata.
Bemærk: Selv om en cookie ikke anvendes som onlineidentifikator eller på anden vis indeholder persondata, så er cookies stadig omfattet af Cookies-bekendtgørelsen, der kræver et informeret forudgående samtykke.
Onlineidentifikatorer defineres jf. databeskyttelsesforordningen som persondata, og cookies vil derfor i den sammenhæng også være omfattet af reglerne for behandling af persondata.
Bemærk: Selv om en cookie ikke anvendes som onlineidentifikator eller på anden vis indeholder persondata, så er cookies stadig omfattet af Cookies-bekendtgørelsen, der kræver et informeret forudgående samtykke.
Databehandling
Hvornår er noget en behandling?
En behandling omfatter enhver aktivitet som en personoplysning gøres til genstand for. Foretages der eksempelvis indsamling, registrering, opbevaring, analysering, videregivelse, sletning eller salg af personoplysninger, vil en sådan behandling skulle ske i overensstemmelse reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
Hvad vil det sige, at behandling af personoplysninger kræver et lovligt 'behandlingsgrundlag'?
Det er en forudsætning for at behandle personoplysninger, at man har et lovligt behandlingsgrundlag. Databeskyttelsesforordningen indeholder en række bestemmelser, der angiver, hvornår det er tilladt at behandle personoplysninger. Behandlingsgrundlaget afhænger af, hvorvidt der er tale om almindelige eller følsomme personoplysninger.
Behandling af almindelige personoplysninger kan som udgangspunkt altid ske, når man indhenter den registreredes samtykke. Derudover vil almindelige personoplysninger kunne behandles uden samtykke af forskellige grunde. Udover samtykke vil de mest centrale behandlingsgrundlag for virksomheder i praksis ofte være, når det er nødvendigt af hensyn til en kontrakt med den registrerede, eller når det er nødvendigt af hensyn til den dataansvarliges (eller andres) legitime interesse – og denne ikke overgås af bl.a. den registreredes interesse i, at behandlingen ikke finder sted.
Behandling af almindelige personoplysninger kan som udgangspunkt altid ske, når man indhenter den registreredes samtykke. Derudover vil almindelige personoplysninger kunne behandles uden samtykke af forskellige grunde. Udover samtykke vil de mest centrale behandlingsgrundlag for virksomheder i praksis ofte være, når det er nødvendigt af hensyn til en kontrakt med den registrerede, eller når det er nødvendigt af hensyn til den dataansvarliges (eller andres) legitime interesse – og denne ikke overgås af bl.a. den registreredes interesse i, at behandlingen ikke finder sted.
Hvad er forskellen på en dataansvarlig og en databehandler?
Den dataansvarlige er den, der bestemmer, til hvilke formål og hvordan personoplysningerne behandles. Den dataansvarlig er den, der tager initiativ til, at der skal ske en behandling af personoplysninger.
Eksempler: En virksomhed der udbyder digitalt indhold og/eller webbutik. Medievirksomheder vil ligesom andre virksomheder skulle efterleve databeskyttelsesreglerne i forhold til deres kommercielle aktiviteter mv. Tilsvarende gælder dog ikke for mediernes journalistiske behandling af personoplysninger, der i stor udstrækning er undtaget fra reglerne i databeskyttelsesforordningen og databeskyttelsesloven. (Se Persondata og den Journalistiske undtagelse.)
Databehandleren er den, der behandler personoplysninger på den dataansvarliges vegne.
Eksempler: Udbydere af digitale og cloud baserede services som hosting, backup-mailhosting, eksterne HR-systemer. Databehandlere kan f.eks. også være konsulenter, analysefirmaer, rekrutteringsvirksomheder, mediebureauer eller enhver tredjepart med adgang til personoplysninger, der udelukkende behandles på virksomhedens vegne.
Eksempler: En virksomhed der udbyder digitalt indhold og/eller webbutik. Medievirksomheder vil ligesom andre virksomheder skulle efterleve databeskyttelsesreglerne i forhold til deres kommercielle aktiviteter mv. Tilsvarende gælder dog ikke for mediernes journalistiske behandling af personoplysninger, der i stor udstrækning er undtaget fra reglerne i databeskyttelsesforordningen og databeskyttelsesloven. (Se Persondata og den Journalistiske undtagelse.)
Databehandleren er den, der behandler personoplysninger på den dataansvarliges vegne.
Eksempler: Udbydere af digitale og cloud baserede services som hosting, backup-mailhosting, eksterne HR-systemer. Databehandlere kan f.eks. også være konsulenter, analysefirmaer, rekrutteringsvirksomheder, mediebureauer eller enhver tredjepart med adgang til personoplysninger, der udelukkende behandles på virksomhedens vegne.
Hvad dækker den journalistiske undtagelse over?
Behandling af personoplysninger, der udelukkende finder sted i journalistisk øjemed, er generelt undtaget fra databeskyttelsesforordningen samt databeskyttelsesloven.
Dette betyder i praksis, at den behandling af personoplysninger, der foretages udelukkende i journalistisk øjemed f.eks. i forbindelse med journalistens udarbejdelse af artikler eller research ikke skal opfylde de mange krav og pligter, der følger af databeskyttelsesreglerne.
Reglerne om behandlingssikkerhed og krav om databehandler (hvis man anvender en ekstern til at behandle personoplysninger) finder dog fortsat anvendelse.
Undtagelsen findes i databeskyttelseslovens § 3, stk. 8. Samme bestemmelse indeholder en række andre undtagelser, der er knyttet til mediernes redaktionelle behandling af personoplysninger, herunder lov om massemediernes informationsdatabaser. Undtagelserne er dog ikke ubetinget, og det er derfor vigtigt, at medierne er opmærksomme på undtagelsernes rækkevidde og de særlige krav, der skal opfyldes for at være undtaget fra reglerne i databeskyttelsesforordningen.
Dette betyder i praksis, at den behandling af personoplysninger, der foretages udelukkende i journalistisk øjemed f.eks. i forbindelse med journalistens udarbejdelse af artikler eller research ikke skal opfylde de mange krav og pligter, der følger af databeskyttelsesreglerne.
Reglerne om behandlingssikkerhed og krav om databehandler (hvis man anvender en ekstern til at behandle personoplysninger) finder dog fortsat anvendelse.
Undtagelsen findes i databeskyttelseslovens § 3, stk. 8. Samme bestemmelse indeholder en række andre undtagelser, der er knyttet til mediernes redaktionelle behandling af personoplysninger, herunder lov om massemediernes informationsdatabaser. Undtagelserne er dog ikke ubetinget, og det er derfor vigtigt, at medierne er opmærksomme på undtagelsernes rækkevidde og de særlige krav, der skal opfyldes for at være undtaget fra reglerne i databeskyttelsesforordningen.
Persondata og markedsføring
Gælder persondataloven også når jeg behandler personoplysninger til brug i markedsføring?
Ja, når personoplysninger behandles i markedsføringsøjemed, skal reglerne i såvel databeskyttelsesforordningen og databeskyttelsesloven som markedsføringsloven overholdes.
Er det tilladt at videregive oplysninger fra en kundedatabase til et socialt medie, så vi kan foretage markedsføring på et socialt medie?
Det vil komme an på en konkret vurdering og afhænger af, hvilke oplysninger der er tale om. Det spiller bl.a. en afgørende rolle, om kunderne er blevet oplyst om, at der vil ske videregivelse til f.eks. Facebook til brug for markedsføring, og om de har afgivet et samtykke til videregivelsen, hvor dette er påkrævet.
