På denne side har du et overblik af nogle af de mest brugte ord i persondataforordningen.
Personoplysninger
Personoplysninger er enhver form for information om en person, som er identificeret eller kan identificeres (“identificerbar”). Læs mere herom i artiklen hvad er personoplysninger.
Oplysninger om enkeltmandsvirksomheder er omfattet persondataforordningen, hvilket også gælder virksomhedsoplysninger, der kan identificere enkeltpersoner, herunder f.eks. en oplysning om, at X er direktør i virksomheden Y. Artikel 4 nr. 1.
Cookies og adfærdsbaseret annoncering
En cookie er en tekstfil, der giver mulighed for at lagre oplysninger, eller tilgå allerede lagrede oplysninger på brugerens device fx pc eller mobil, med det formål at indhente data om brugeren.
Annoncering baseret på brugeres adfærd medfører ofte behandling af personoplysninger.
Adfærdsbaseret annoncering omfatter normalt indsamling af IP-adresser og behandling af unikke identifikatorer (via cookien).
De oplysninger, der indsamles i forbindelse med adfærdsbaseret annoncering vedrører (dvs. handler om) en persons egenskaber eller adfærd, og de bruges til at påvirke lige netop den pågældende person. Disse oplysninger vil kunne kædes sammen med direkte personligt identificerbare oplysninger, som den registrerede har angivet.
Behandlingsaktivitet
En behandling (af personoplysninger) er enhver aktivitet eller række af aktiviteter, som personoplysninger eller en samling af personoplysninger gøres til genstand for.
Behandling af personoplysninger omfatter f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.
Kort fortalt, så behandler man personoplysninger, hvis man har personoplysninger i virksomheden. Artikel 4 nr. 2.
Automatisk afgørelse
En automatisk afgørelse indebærer, at der er truffet en afgørelse uden menneskelig indblanding. I relation til persondataforordningen, så er en automatisk afgørelse relevant, hvis afgørelsen kan have betydelig indvirkning på vedkommende omfattet af afgørelsen.
Et eksempel på en automatisk afgørelse kunne være, når et forsikringsselskab træffer automatisk afgørelse (uden menneskelig indblanding) om, at en 18-årig mand ikke kan tegne en bilforsikring. Her vil der være tale om en afgørelse, der betydeligt påvirker den registrerede, idet afgørelsen bevirker, at han ikke får en aftale med forsikringsselskabet.
Profilering
En automatisk afgørelse indebærer, at der er truffet en afgørelse uden menneskelig indblanding. I relation til persondataforordningen, så er en automatisk afgørelse relevant, hvis afgørelsen kan have betydelig indvirkning på vedkommende omfattet af afgørelsen.
Et eksempel på en automatisk afgørelse kunne være, når et forsikringsselskab træffer automatisk afgørelse (uden menneskelig indblanding) om, at en 18-årig mand ikke kan tegne en bilforsikring. Her vil der være tale om en afgørelse, der betydeligt påvirker den registrerede, idet afgørelsen bevirker, at han ikke får en aftale med forsikringsselskabet.
Tredjeland
Et tredjeland er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge).
International organisation
En international organisation kan f.eks. være Røde Kors, WHO, FN, OECD m.fl.
Helbredsoplysninger
Helbredsoplysninger omfatter alle personoplysninger om en persons helbredstilstand, som giver oplysninger om dennes tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand. Artikel 4 nr. 15.
Registreret
En registreret er en person, som der behandles personoplysninger omkring. En virksomhed vil typisk have registreret oplysninger om kunder og medarbejdere. Derfor er disse “registrerede” i persondataforordningens terminologi.
Modtager
Modtagere af personoplysninger kan være en privat virksomhed, offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives. Begrebet “modtagere” dækker også over databehandlere. Artikel 4 nr. 9.
Fortegnelse
En fortegnelse er i denne sammenhæng en kortlægning af virksomhedens processer, hvori der behandles personoplysninger. Der er særlige krav til denne fortegnelse. Alle der behandler personoplysninger skal ifølge loven have lavet denne fortegnelse. Artikel 30.
Dataansvarlig
Din virksomhed er dataansvarlig, hvis den behandler personoplysninger, og har ansvaret for denne behandling fx ved at I behandler personoplysninger om kunder. Artikel 4 nr. 7.
Databehandler
Din virksomhed er databehandler, hvis den behandler personoplysninger på andres vegne. Et klassisk eksempel herpå er en hostingleverandør, da denne blot opbevarer en anden virksomheds data. Hostingleverandøren behandler altså oplysninger på den anden virksomheds vegne. Artikel 4 nr. 8.
Samtykke
Et samtykke er enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra fx en kunde, hvorved at kunden erklærer eller klart bekræfter, at virksomheden må behandle kundens personoplysninger. Artikel 4 nr. 9.
Udtrykkeligt samtykke
Et samtykke er udtrykkeligt, når man ikke kan være i tvivl om forholdene i og omkring samtykket. Et udtrykkeligt samtykke bør derfor også være skriftligt.
Risikovurdering
En risikovurdering er en vurdering af risici i forbindelse med en aktivitet. I regi af persondataforordningen, så bør en risikovurdering have fokus på behandlingen af personoplysninger.
En risikovurdering er en metode til objektivt at vurdere risikoen for at oplysninger kompromitteres.
Konsekvensanalyse
Konsekvensanalyse er kort fortalt en stor risikovurdering, og den bør udarbejdes, hvis en risikovurdering viser, at der er en høj risiko i behandlingen af personoplysninger.
Der er helt konkrete krav i persondataforordningen omkring udførelsen af en konsekvensanalyse.
Databehandleraftale
En dataansvarlig er forpligtet til at indgå i en aftale med sin databehandler om hvordan personoplysninger behandles. Denne aftale skal beskrive betingelserne omkring sikkerheden i databehandlerens behandling af den dataansvarliges personoplysninger.
Den dataansvarlige skal føre tilsyn med at databehandleren overholder denne aftale.
Principper
Persondataforordningen beskriver 7 principper for god databehandling i artikel 5. Principperne giver et hurtigt og generelt indblik i hvordan man bør behandle personoplysninger.
Informationssikkerhed
Persondataforordningen handler om informationssikkerhed. Informationssikkerhed er en tværfaglig disciplin, som omhandler IT, jura, og forretningsforståelse.
Informationssikkerhed handler om at beskytte fysiske og elektroniske informationer, som kan være alt fra journalarkivet i kælderen, information om besøgende på hjemmesiden, CRM-systemet med information om kunder, videoptagelser, etc.
Informationerne skal sikres, så de ikke kompromitteres. Ved at arbejde med at opretholde sine informationers fortrolighed, integritetet og tilgængelighed, så kan man undgå at informationen kompromitteres. Dette indebærer bl.a. at uvedkomne ikke kan få adgang til informationerne, at informationerne er korrekte, og at informationerne er tilgængelige når de skal bruges.
Privacy by default
Privacy by default betyder beskyttelse gennem standardindstillinger. Dette indebærer, at din virksomhed skal sikre, at f.eks. et softwareprogram, en onlinetjeneste, et it-system eller lignende indstilles på en måde, der understøtter en formålsspecifik behandling af personoplysninger.
Din virksomhed skal udnytte de konfigurerbare muligheder i systemet og alle standardindstillinger (defaults) en bruger stilles overfor, skal indstilles til det minimalt nødvendige for behandlingen. Artikel 25, stk. 2.
Privacy by design
Når et nyt system tages i brug, så skal den dataansvarlige på forhånd have designet sin it-mæssige og organisatoriske anvendelse med henblik på at beskytte personoplysninger.
Beskyttelsen af personoplysninger skal designes til at være en integreret del af behandlingen. Artikel 25, stk. 1.
Databeskyttelsesrådgiver
Nogle virksomheder skal udpege en databeskyttelsesrådgiver.
En databeskyttelsesrådgiver skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler, sådan at virksomheden overholder persondataforordningen.
Oplysningspligt
Når din virksomhed behandler personoplysninger, så har I pligt til at oplyse den registrerede om dette når data indsamles. En privatlivspolitik kan være et element i at efterleve oplysningspligten.. Artikel 13 og 14.
Dataportabilitet
Retten til dataportabilitet indebærer, at man som registreret har ret til at få en kopi af sine data udleveret i et elektronisk format.
Denne ret gør det nemmere for kunder at flytte, kopiere eller transmittere personoplysninger fra ét IT-miljø til et andet. Artikel 20.
Persondatasikkerhed
Der er sket et brud på persondatasikkerheden, hvis personoplysninger:
- Hændeligt eller ulovligt tilintetgøres, mistes eller ændres
- Uautoriseret videregives eller der opnås uautoriseret adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet.
Informationsaktiv
Et informationsaktiv er et aktiv, som indeholder information. Dette kan være et elektronisk fx et softwareprogram eller fysisk aktiv fx en bærbarcomputer.
Kompromittering
Kompromittering af personoplysninger er et brud på persondatasikkerheden.
Fortrolighed
Kun de rette personer bør have adgang til virksomhedens informationer. Hvis uvedkommende har adgang til informationerne, så er der sket et tab af informationernes fortrolighed.
Integritet
Informationerne skal være korrekte og fuldstændige. Hvis dette ikke er tilfældet, så er der sket et tab af informationernes integritet.
Tilgængelighed
Informationerne skal være tilgængelige når der er behov for at bruge disse. Hvis dette ikke er tilfældet, så er der sket et tab af tilgængelighed.
Social engineering
Social engineering bruges til at begå svindel af kriminelle. Udtrykket bruges ofte i forbindelse med svindel på internettet.
Svindleren udgiver sig typisk for at være en anden person, som offeret kender.
Herigennem kan svindleren tilegne sig oplysninger fra offeret, og med disse begå svindel. Det kan eksempelvis omhandle tilegnelse af brugernavne og adgangskoder fra offeret til at overtage kontrollen med dennes digitale aktiver.