Almindelig viden om Persondataforordning
af Advokat Mette Haagensen
Hvad er persondata?
En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person (”den registrerede”).
Dette gælder uanset formattet. Dvs. tekst, billede, videooptagelser, lyd, IP-adresse, fingeraftryk, biometriske oplysninger. Der kan både være tale om objektive og subjektive oplysninger.
En identificerbar person er en person, som kan identificeres (direkte eller indirekte) under henvisning til:
– en identifier som f.eks. navn, ID-nummer, lokationsdata eller
– en online-identifier af alle slags (f.eks. IP, cookie, RFID) eller
– andre faktorer, som er specifikke for personen (fysisk, genetisk, mentalt, økonomisk, kulturel eller social identitet).
Det vil sige at en personoplysning er alt, hvad "nogen" er i stand til at henføre til en person, der på denne baggrund ville kunne udpeges, er at betragte som en personoplysning. Dvs. også f.eks. RFID-numre, hardwarenumre, IP-adresser og evt. cookie-numre.
Følgende oplysninger betragtes som persondata:
Disse personoplysninger er inddelt i forskellige kategorier efter hvor følsomme de er.
Almindelige persondata omfatter navn, adresse, telefonnummer og e-mail.
Følsomme persondata omfatter oplysninger om jeres kunders racemæssige eller etniske baggrund, politiske, religiøse eller filosofiske overbevisning, fagforeningsmæssige tilhørsforhold samt oplysninger om helbredsmæssige, genetiske og seksuelle forhold.
Strafbare forhold betragtes i Danmark som følsomme oplysninger, men er i persondataforordningen sat i deres egen kategori om straffedomme.
CPR-numre er en særlig identifikation i Danmark, som ikke findes i EU, og derfor har det også sin egen kategori.
Behandling
Hvad vil det sige at behandle personoplysninger?
Persondatalovgivningen definerer behandling som enhver operation eller række af operationer med eller uden brug af elektronisk databehandling, som oplysninger gøres til genstand for.
Dermed er en behandling i persondataretlig forstand enhver form for aktivitet, som dataene udsættes for. Der behøver ikke at være tale om en aktiv brug af dataene for at man behandler data. Alle aktiviteter, som personoplysninger udsættes for, er omfattet af begrebet "behandle", dvs. at bl.a. følgende aktiviteter betragtes som en behandling af data: indsamling, systematisering, opbevaring, ændring, søgning i, brug af, videregivelse, overlade, sammenstilling, samkøring og sletning.
Den registrerede
Den registrerede er den identificerede eller identificerbare fysiske person, som personoplysningerne vedrører. Dvs. fx vores lejere, andelshavere, ejere eller ansatte fysiske personer.
Dataansvarlig og databehandler
Enhver behandling af persondata medfører, at der er en dataansvarlig, der er ansvarlig for at behandlingen overholder reglerne i persondataforordningen.
Formålet med en nærmere angivelse af den dataansvarliges ansvar i persondataforordningen er at skade klarhed over, at det er den dataansvarlige, der som udgangspunkt er ansvarlig for overholdelse af persondatalovgivningen.
Identificering af ansvaret for behandlingen betyder ligeledes, at der skabes klarhed over hvem, de registrerede kan udøve deres rettigheder over for i henhold til persondatalovgivningen.
Det påhviler den dataansvarlige at sørge for at sikre, at de grundlæggende principper om god behandlingsskik ved behandling af persondataoplysninger overholdes.
Det er den dataansvarlige, der skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at oplysningerne kommer til uvedkommendes kundskab, misbruges eller i øvrigt behandles i strid med loven.
En dataansvarlig er den fysiske eller juridiske person [….], der alene eller sammen med andre afgør, til
hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
Dvs. at en dataansvarlig fx er udlejer, der har retten til at bestemme, hvordan persondata i udlejers portefølge af lejemål skal behandles.
På samme vis er fx ejerforeningen eller andelsboligforeningen dataansvarlig for de persondata, som skal behandles i regi af ejerforeningen eller andelsboligforeningen.
En dataansvarlig kan uddelegere behandlingen af persondata til en databehandler, der behandler persondataene på vegne af den dataansvarlige.
En databehandler er den fysiske eller juridiske person [….], der behandler oplysninger på den
dataansvarliges vegne.
En databehandler er fx administrator, der behandler persondata på vegne af udlejer, andelsboligforening eller ejerforening. Derudover vil en databehandler typisk være en it-virksomhed, som behandler data på den dataansvarliges vegne. Eksempler her på kan også være de virksomheder, der hoster den dataansvarliges mailserver, filserver, personalesystem, kundedatabase eller økonomiprogram, fx Unik Bolig.
En dataansvarligs videresendelse af persondata til en databehander, kan se sådan ud:
Men der kan også være tale om videresendelse af persondata fra en dataansvarlig til en anden dataansvarlig, som her:
Afgørende for om der er tale om videresendelse af persondata fra dataansvarlig til dataansvarlig eller fra dataansvarlig til databehandler er, om modtager af persondataene selv kan bestemme hvorfor og hvordan persondataene behandles.
At det er den dataansvarliges ansvar at sørge for overholdelse af persondatareglerne medfører ikke, at databehandleren slipper for ansvar. Hvis der sker et brud på persondatalovgivningen, så hæfter den dataansvarlige og databehandleren på lige vilkår.
Samtykke
I persondatalovgivningen er den registreredes samtykke defineret som:
Enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.
Den registrerede må ikke være i tvivl om, hvad vedkommende giver samtykke til, eller at vedkommende giver et samtykke til behandling af sine persondataoplysninger. Derfor må et samtykke fx ikke gemmes væk i en kontrakt, der vedrører alt muligt andet. Dette kan der dog afviges fra ved at fremhæve samtykket, så det klart og i et enkelt sprog kan skelnes fra de øvrige kontrakts forhold.
Den registrerede skal have mulighed for at tilbagekalde sit samtykke, hvilket skal oplyses i forbindelse med afgivelse af samtykket.
Det er os som virksomheder (dataansvarlig og databehandler), der har bevisbyrden for, at der er indhentet det fornødne samtykke til behandlingen.
Af præambel 32 til forordningen fremgår:
"Samtykke bør gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved vedkommende accepterer, at personoplysninger om vedkommende behandles, f.eks. ved en skriftlig erklæring, herunder elektronisk, eller en mundtlig erklæring. Dette kan f.eks. foregå ved at sætte kryds i et felt ved besøg på et websted, ved valg af tekniske indstillinger til informationssamfundstjenester eller en anden erklæring eller handling, der tydeligt i denne forbindelse tilkendegiver den registreredes accept af den foreslåede behandling af vedkommendes personoplysninger. Tavshed, forud afkrydsede felter eller inaktivitet bør derfor ikke udgøre samtykke. Samtykke bør dække alle behandlingsaktiviteter, der udføres til det eller de samme formål. Når behandling tjener flere formål, bør der gives samtykke til dem alle. Hvis den registreredes samtykke skal gives efter en elektronisk anmodning, skal anmodningen være klar, kortfattet og ikke unødigt forstyrre brugen af den tjeneste, som samtykke gives til."
Lovlig behandling
Der må alene ske behandling af persondata, hvis behandlingen er lovlig. Dvs. at I skal have en hjemmel, der berettiger til behandlingen.
Hovedreglen i persondataforordningen er, at medmindre det udtrykkeligt er skrevet at behandlingen er tilladt, så er behandlingen forbudt. Det kan illustreres som her:
I henhold til forordningen skal behandlingen enten være nødvendig af hensyn til en i forordningen oplistet årsag, eller den registrerede skal have givet samtykke til behandlingen.
I henhold til forordningen er behandling nødvendig
-
til opfyldelse af kontrakt
-
for at overholde en retlig forpligtelse
-
for at beskytte den registreredes vitale interesser
-
for at udføre en opgave i samfundets interesse
-
for at den dataansvarlige kan forfølge en legitim interesse
CPR-numre må kun behandles, 1) når det er relevant og sagligt i forhold til formålet, 2) I har indhentet kundens samtykke, eller 3) når det er et krav efter lovgivningen.
Hvad er formålet med indsamlingen af dataene?
Det er samtidig vigtigt at overveje, hvad jeres formål er med indsamlingen af persondata, idet behandlingen af data skal være for at opfylde det formål, som I har indhentet dataene til.
Det vil sige, at I ikke kan bruge de indhentede data til noget, I ikke har fået samtykke til, uden at I indhenter et nyt samtykke, der omfatter det nye forhold.
Er det nødvendigt at gemme personoplysningerne?
I forhold til persondataforordningen er det kun tilladt at behandle (opbevare) information, som er nødvendigt til det pågældende formål.
Efter I har klarlagt jeres dataflows, så er det tid til at overveje, om det overhovedet er nødvendigt at gemme informationen i sagssystemet?
Principper for behandling af personoplysninger
Der er nogle principper for god behandlingsskik, som skal efterleves, når man behandler persondata.
-
Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede.
-
Personlige oplysninger skal indsamles til udtrykkeligt angivne og legitime formål og må ikke videregives på en måde, der er uforenelig med disse formål.
-
Personlige oplysninger skal begrænses mest muligt.
-
Personlige oplysninger skal være korrekte og ajourførte
-
Personlig oplysninger må kun opbevares så længe det er nødvendigt.
-
Der skal være for, at personoplysningerne beskyttes mod uautoriseret eller ulovlig behandling.tilstrækkelig sikkerhed
Af præambel 39 i persondataforordningen fremgår:
"Enhver behandling af personoplysninger bør være lovlig og rimelig. Det bør være gennemsigtigt for de pågældende fysiske personer, at personoplysninger, der vedrører dem, indsamles, anvendes, tilgås eller på anden vis behandles, og i hvilket omfang personoplysningerne behandles eller vil blive behandlet.
Princippet om gennemsigtighed tilsiger, at enhver information og kommunikation vedrørende behandling af disse personoplysninger er lettilgængelig og letforståelig, og at der benyttes et klart og enkelt sprog.
Dette princip vedrører navnlig oplysningen til de registrerede om den dataansvarliges identitet og formålene med den pågældende behandling samt yderligere oplysninger for at sikre en rimelig og gennemsigtig behandling for de berørte fysiske personer og deres ret til at få bekræftelse og meddelelse om de personoplysninger vedrørende dem, der behandles. Fysiske personer bør gøres bekendt med risici, regler, garantier og rettigheder i forbindelse med behandling af personoplysninger og med, hvordan de skal udøve deres rettigheder i forbindelse med en sådan behandling. Især bør de specifikke formål med behandlingen af personoplysninger være udtrykkelige og legitime og fastlagt, når personoplysningerne indsamles. Personoplysningerne bør være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til formålene med deres behandling. Dette kræver navnlig, at det sikres, at perioden for opbevaring af personoplysningerne ikke er længere end strengt nødvendigt. Personoplysninger bør kun behandles, hvis formålet med behandlingen ikke med rimelighed kan opfyldes på anden måde. For at sikre, at personoplysninger ikke opbevares i længere tid end nødvendigt, bør den dataansvarlige indføre tidsfrister for sletning eller periodisk gennemgang. Der bør træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, som er urigtige, berigtiges eller slettes. Personoplysninger bør behandles på en måde, der garanterer tilstrækkelig sikkerhed og fortrolighed, herunder for at hindre uautoriseret adgang til eller anvendelse af personoplysninger eller af det udstyr, der anvendes til behandlingen."