Databeskyttelse & cookies
Herunder har vi samlet nogle af de hyppigst stillede spørgsmål inden for GDPR, databeskyttelse og cookies. Har du spørgsmål til nedenstående, kontakt vores fagmedarbejder på området. Find kontaktoplysninger nedenfor.
GDPR
Databeskyttelsesforordningen (GDPR) er en lov, der trådte i kraft 25. maj 2018. Databeskyttelsesforordningen træder i stedet for tidligere persondatalovgivning og har til formål at sikre, at EU medlemsstaterne har stort set ensartede regler for behandling af personoplysninger.
En af de nye regler er, at den dataansvarlige og databehandleren skal være i stand til at dokumentere, at lovgivningen overholdes. Ved besøg fra de relevante databeskyttelsesmyndigheder er det altså ikke nok, at reglerne overholdes, det skal også kunne dokumenteres, at reglerne overholdes. Dette indebærer helt konkret, at både dataansvarlige og databehandlere skal kunne dokumentere;
- Hvilke oplysninger der behandles
- Hvordan de behandles
- Hvorfor de behandles
Danske Medier har udarbejdet en række vejledninger og skabeloner, der beskriver, hvordan det er muligt at gribe det praktiske arbejde med databeskyttelsesforordningen an, hvordan du arbejder med databehandleraftaler og generelt sikrer, at din virksomhed overholder dokumentationskravet.
Personoplysninger
Eksempler: Navn, fødselsdag, adresse, e-mail adresse, foto, cpr-nummer, familieforhold, civilstatus, helbredsoplysninger, lønforhold, lokationsdata, oplysninger om at den registrerede foretrækker indhold om sport eller parforhold.
Personoplysninger er i databeskyttelsesreglerne opdelt i to hovedkategorier – almindelige og følsomme oplysninger. Oplysninger om civilstatus og lønforhold er eksempler på almindelige personoplysninger, hvorimod oplysninger om helbred er omfattet af begrebet følsomme personoplysninger.
Et kundenummer eller medlemsnummer vil f.eks. også være en personoplysning, hvis der er mulighed for at oplysningen kan føres tilbage til den pågældende person. En IP-adresse vil også være en personoplysning, når det er muligt ud fra IP-adressen alene eller kombineret med andre oplysninger at identificere en person.
Opbevaringstiden afhænger i høj grad af, til hvilket formål oplysningerne er blevet indsamlet, samt i hvilket omfang det er nødvendigt at opbevare oplysningerne.
Onlineidentifikatorer defineres jf. databeskyttelsesforordningen som persondata, og cookies vil derfor i den sammenhæng også være omfattet af reglerne for behandling af persondata.
Bemærk: Selv om en cookie ikke anvendes som onlineidentifikator eller på anden vis indeholder persondata, så er cookies stadig omfattet af Cookies-bekendtgørelsen, der kræver et informeret forudgående samtykke.
Databehandling
En behandling omfatter enhver aktivitet som en personoplysning gøres til genstand for. Foretages der eksempelvis indsamling, registrering, opbevaring, analysering, videregivelse, sletning eller salg af personoplysninger, vil en sådan behandling skulle ske i overensstemmelse reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
Behandling af almindelige personoplysninger kan som udgangspunkt altid ske, når man indhenter den registreredes samtykke. Derudover vil almindelige personoplysninger kunne behandles uden samtykke af forskellige grunde. Udover samtykke vil de mest centrale behandlingsgrundlag for virksomheder i praksis ofte være, når det er nødvendigt af hensyn til en kontrakt med den registrerede, eller når det er nødvendigt af hensyn til den dataansvarliges (eller andres) legitime interesse – og denne ikke overgås af bl.a. den registreredes interesse i, at behandlingen ikke finder sted.
Eksempler: En virksomhed der udbyder digitalt indhold og/eller webbutik. Medievirksomheder vil ligesom andre virksomheder skulle efterleve databeskyttelsesreglerne i forhold til deres kommercielle aktiviteter mv. Tilsvarende gælder dog ikke for mediernes journalistiske behandling af personoplysninger, der i stor udstrækning er undtaget fra reglerne i databeskyttelsesforordningen og databeskyttelsesloven. (Se Persondata og den Journalistiske undtagelse.)
Databehandleren er den, der behandler personoplysninger på den dataansvarliges vegne.
Eksempler: Udbydere af digitale og cloud baserede services som hosting, backup-mailhosting, eksterne HR-systemer. Databehandlere kan f.eks. også være konsulenter, analysefirmaer, rekrutteringsvirksomheder, mediebureauer eller enhver tredjepart med adgang til personoplysninger, der udelukkende behandles på virksomhedens vegne.
Dette betyder i praksis, at den behandling af personoplysninger, der foretages udelukkende i journalistisk øjemed f.eks. i forbindelse med journalistens udarbejdelse af artikler eller research ikke skal opfylde de mange krav og pligter, der følger af databeskyttelsesreglerne.
Reglerne om behandlingssikkerhed og krav om databehandler (hvis man anvender en ekstern til at behandle personoplysninger) finder dog fortsat anvendelse.
Undtagelsen findes i databeskyttelseslovens § 3, stk. 8. Samme bestemmelse indeholder en række andre undtagelser, der er knyttet til mediernes redaktionelle behandling af personoplysninger, herunder lov om massemediernes informationsdatabaser. Undtagelserne er dog ikke ubetinget, og det er derfor vigtigt, at medierne er opmærksomme på undtagelsernes rækkevidde og de særlige krav, der skal opfyldes for at være undtaget fra reglerne i databeskyttelsesforordningen.
Persondata og markedsføring
Ja, når personoplysninger behandles i markedsføringsøjemed, skal reglerne i såvel databeskyttelsesforordningen og databeskyttelsesloven som markedsføringsloven overholdes.
Det vil komme an på en konkret vurdering og afhænger af, hvilke oplysninger der er tale om. Det spiller bl.a. en afgørende rolle, om kunderne er blevet oplyst om, at der vil ske videregivelse til f.eks. Facebook til brug for markedsføring, og om de har afgivet et samtykke til videregivelsen, hvor dette er påkrævet.