Persondataforordningens ord og sprog


Ord & sprog


Ord-og-Sprog-forklaringer-til-Persondataforordningen

Personoplysninger

Personoplysninger er enhver form for information om en person, som er identificeret eller kan identificeres (“identificerbar”). Læs mere herom i artiklen hvad er personoplysninger.

Oplysninger om enkeltmandsvirksomheder er omfattet persondataforordningen, hvilket også gælder virksomhedsoplysninger, der kan identificere enkeltpersoner, herunder f.eks. en oplysning om, at X er direktør i virksomheden Y. Artikel 4 nr. 1.

Cookies og adfærdsbaseret annoncering

En cookie er en tekstfil, der giver mulighed for at lagre oplysninger, eller tilgå allerede lagrede oplysninger på brugerens device fx pc eller mobil, med det formål at indhente data om brugeren.

Annoncering baseret på brugeres adfærd medfører ofte behandling af personoplysninger.
Adfærdsbaseret annoncering omfatter normalt indsamling af IP-adresser og behandling af unikke identifikatorer (via cookien).

De oplysninger, der indsamles i forbindelse med adfærdsbaseret annoncering vedrører (dvs. handler om) en persons egenskaber eller adfærd, og de bruges til at påvirke lige netop den pågældende person. Disse oplysninger vil kunne kædes sammen med direkte personligt identificerbare oplysninger, som den registrerede har angivet.

Behandlingsaktivitet

En behandling (af personoplysninger) er enhver aktivitet eller række af aktiviteter, som personoplysninger eller en samling af personoplysninger gøres til genstand for. Behandling af personoplysninger omfatter f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Kort fortalt, så behandler man personoplysninger, hvis man har personoplysninger i virksomheden. Artikel 4 nr. 2.

Automatisk afgørelse

En automatisk afgørelse indebærer, at der er truffet en afgørelse uden menneskelig indblanding. I relation til persondataforordningen, så er en automatisk afgørelse relevant, hvis afgørelsen kan have betydelig indvirkning på vedkommende omfattet af afgørelsen.

Et eksempel på en automatisk afgørelse kunne være, når et forsikringsselskab træffer automatisk afgørelse (uden menneskelig indblanding) om, at en 18-årig mand ikke kan tegne en bilforsikring. Her vil der være tale om en afgørelse, der betydeligt påvirker den registrerede, idet afgørelsen bevirker, at han ikke får en aftale med forsikringsselskabet.

Profilering

Profilering er enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte forhold vedrørende en person.

Forsikringsselskaber kan anvende eksempelvis anvende profilering til at bestemme risikoprofilen for deres kunder. Artikel 4 nr. 4.

Tredjeland

Et tredjeland er et land, som ikke er medlem af EU eller EØS (Island, Liechtenstein og Norge).

International organisation

En international organisation kan f.eks. være Røde Kors, WHO, FN, OECD m.fl.

Helbredsoplysninger

Helbredsoplysninger omfatter alle personoplysninger om en persons helbredstilstand, som giver oplysninger om dennes tidligere, nuværende eller fremtidige fysiske eller mentale helbredstilstand. Artikel 4 nr. 15.

Registreret

En registreret er en person, som der behandles personoplysninger omkring. En virksomhed vil typisk have registreret oplysninger om kunder og medarbejdere. Derfor er disse “registrerede” i persondataforordningens terminologi.

Modtager

Modtagere af personoplysninger kan være en privat virksomhed, offentlig myndighed, en institution eller et andet organ, hvortil personoplysninger videregives. Begrebet “modtagere” dækker også over databehandlere. Artikel 4 nr. 9.

Fortegnelse

En fortegnelse er i denne sammenhæng en kortlægning af virksomhedens processer, hvori der behandles personoplysninger. Der er særlige krav til denne fortegnelse. Alle der behandler personoplysninger skal ifølge loven have lavet denne fortegnelse. Artikel 30.

Dataansvarlig

Din virksomhed er dataansvarlig, hvis den behandler personoplysninger, og har ansvaret for denne behandling fx ved at I behandler personoplysninger om kunder. Artikel 4 nr. 7.

Databehandler

Din virksomhed er dataansvarlig, hvis den behandler personoplysninger på andres vegne. Et klassisk eksempel herpå er en hostingleverandør, da denne blot opbevarer en anden virksomheds data. Hostingleverandøren behandler altså oplysninger på den anden virksomheds vegne. Artikel 4 nr. 8.

Samtykke

Et samtykke er enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra fx en kunde, hvorved at kunden erklærer eller klart bekræfter, at virksomheden må behandle kundens personoplysninger. Artikel 4 nr. 9.

Udtrykkeligt samtykke

Et samtykke er udtrykkeligt, når man ikke kan være i tvivl om forholdene i og omkring samtykket. Et udtrykkeligt samtykke bør derfor også være skriftligt.

Risikovurdering

En risikovurdering er en vurdering af risici i forbindelse med en aktivitet. I regi af persondataforordningen, så bør en risikovurdering have fokus på behandlingen af personoplysninger.

En risikovurdering er en metode til objektivt at vurdere risikoen for at oplysninger kompromitteres.

Konsekvensanalyse

Konsekvensanalyse er kort fortalt en stor risikovurdering, og den bør udarbejdes, hvis en risikovurdering viser, at der er en høj risiko i behandlingen af personoplysninger.

Der er helt konkrete krav i persondataforordningen omkring udførelsen af en konsekvensanalyse.

Databehandleraftale

Man skal have en aftale med sin databehandler om hvordan personoplysninger behandles. Denne aftale skal beskrive betingelserne omkring sikkerheden i databehandlerens behandling af den dataansvarliges personoplysninger.

Den dataansvarlige skal føre tilsyn med at databehandleren overholder denne aftale.

Principper

Persondataforordningen beskriver 7 principper for god databehandling i artikel 5. Principperne giver et hurtigt og generelt indblik i hvordan man bør behandle personoplysninger.

Informationssikkerhed

Persondataforordningen handler om informationssikkerhed. Informationssikkerhed er en tværfaglig disciplin, som omhandler IT, jura, og forretningsforståelse.

Informationssikkerhed handler om at beskytte fysiske og elektroniske informationer, som kan være alt fra journalarkivet i kælderen, information om besøgende på hjemmesiden, CRM-systemet med information om kunder, videoptagelser, etc.

Privacy by default

Privacy by default betyder beskyttelse gennem standardindstillinger. Dette indebærer, at din virksomhed skal sikre, at f.eks. et softwareprogram, en onlinetjeneste, et it-system eller lignende indstilles på en måde, der understøtter en formålsspecifik behandling af personoplysninger.

Din virksomhed skal udnytte de konfigurerbare muligheder i systemet og alle standardindstillinger (defaults) en bruger stilles overfor, skal indstilles til det minimalt nødvendige for behandlingen. Artikel 25, stk. 2.

Privacy by design

Når et nyt system tages i brug, så skal den dataansvarlige på forhånd have designet sin it-mæssige og organisatoriske anvendelse med henblik på at beskytte personoplysninger.

Beskyttelsen af personoplysninger skal designes til at være en integreret del af behandlingen. Artikel 25, stk. 1.

Databeskyttelsesrådgiver

Nogle virksomheder skal udpege en databeskyttelsesrådgiver.

En databeskyttelsesrådgiver skal inddrages i alle spørgsmål om databeskyttelse og rådgive om de databeskyttelsesretlige regler, sådan at virksomheden overholder persondataforordningen.

Oplysningspligt

Når din virksomhed behandler personoplysninger, så har I pligt til at oplyse den registrerede om dette når data indsamles. En privatlivspolitik kan være et element i at efterleve oplysningspligten.. Artikel 13 og 14.

Dataportabilitet

Retten til dataportabilitet indebærer, at man som registreret har ret til at få en kopi af sine data udleveret i et elektronisk format.

Denne ret gør det nemmere for kunder at flytte, kopiere eller transmittere personoplysninger fra ét IT-miljø til et andet. Artikel 20.

Persondatasikkerheden

Der er sket et brud på persondatasikkerheden, hvis personoplysninger:

  • Hændeligt eller ulovligt tilintetgøres, mistes eller ændres
  • Uautoriseret videregives eller der opnås uautoriseret adgang til personoplysninger der er transmitteret, opbevaret eller på anden måde behandlet.

Informationssikkerhed

Informationssikkerhed handler om at sikre virksomhedens informationer. Informationerne skal sikres, så de ikke kompromitteres. Ved at arbejde med at opretholde sine informationers fortrolighed, integritetet og tilgængelighed, så kan man undgå at informationen kompromitteres. Dette indebærer bl.a. at uvedkomne ikke kan få adgang til informationerne, at informationerne er korrekte, og at informationerne er tilgængelige når de skal bruges.

Informationsaktiv

Et informationsaktiv er et aktiv, som indeholder information. Dette kan være et elektronisk fx et softwareprogram eller fysisk aktiv fx en bærbarcomputer.

Kompromittering

Se “Brud på persondatasikkerheden”.

Fortrolighed

Kun de rette personer bør have adgang til virksomhedens informationer. Hvis uvedkommende har adgang til informationerne, så er der sket et tab af informationernes fortrolighed.

Integritet

Informationerne skal være korrekte og fuldstændige. Hvis dette ikke er tilfældet, så er der sket et tab af informationernes integritet.

Tilgængelighed

Informationerne skal være tilgængelige når der er behov for at bruge disse. Hvis dette ikke er tilfældet, så er der sket et tab af tilgængelighed.


GDPR.DK Services

Har du brug for for hjælp med din virksomheds GDPR? Læs mere om vores services og hvordan vi kan hjælpe.