Navigation path

Hvordan kan jeg sikre mig, at jeg overholder reglerne om beskyttelse af personoplysninger?

Hvordan kan jeg sikre mig, at jeg overholder reglerne om beskyttelse af personoplysninger?

Det kan godt være, at dine onlinekunder oplyser dig deres navn, adresse, bank- eller kreditkortoplysninger uden at tænke nærmere over det, men som onlineforhandler er det dit ansvar at beskytte deres personoplysninger mod misbrug og respektere deres ret til privatlivets fred i forbindelse med behandlingen af personoplysninger.

Personoplysninger defineres som oplysninger om en identificeret eller identificerbar fysisk person (der omtales som »den registrerede«). 

Eksempler på personoplysninger, der kan bruges til at identificere en person er: navn, køn, et identifikationsnummer, kreditkortnummer, kontaktoplysninger (adresse, telefonnummer, e-mail osv.), alder og fødselsdato, CPR-nummer, CVR-nummer, sprog han/hun taler, biometriske oplysninger (f.eks. fingeraftryk eller DNA).

Visse typer af personoplysninger hører ind under kategorien følsomme oplysninger, dvs. kategorier af oplysninger, der afslører: race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, medlemskab af fagforening eller oplysninger om helbred eller sexliv. Du må ikke behandle følsomme oplysninger, medmindre du har modtaget udtrykkeligt samtykke fra den registrerede (»opt-in«). 

»Behandling« anses for at være alle processer, der udføres med personoplysninger, herunder automatiske processer, såsom indsamling, registrering, strukturering, lagring, tilpasning eller ændring, gendannelse, konsultation, anvendelse, offentliggørelse ved videregivelse, udbredelse eller på anden måde at gøre tilgængelig, gruppere eller kombinere, slette eller destruere.

Overhold kravene til beskyttelse af personoplysninger for så vidt angår dataindsamlingsinstanser

Den 25. maj 2018 trådte databeskyttelsesforordningen (GDPR) i kraft. GDPR udgør en stor ændring af EU’s databeskyttelsesregler, og den opdaterer på en effektiv måde databeskyttelsesdirektivet 95/46. Alt det, du skal vide om reglerne for virksomheder og organisationer, kan ses på Europa-Kommissionens websted om ændringen af EU-reglerne om databeskyttelse.

GDPR-reglerne gælder ikke kun, når du er etableret i eller opererer inden for EU, men også når du behandler personoplysninger fra EU-registrerede personer fra lande uden for EU. 

Ifølge EU-reglerne om databeskyttelse anses du for at være dataansvarlig, hvis du er den person (der enten alene eller sammen med andre) bestemmer, hvorfor (f.eks. formålet) og hvordan (f.eks. på hvilken måde) du behandler dine kunders personoplysninger.

Hvis det er dig, der behandler personoplysninger på vegne af den dataansvarlige (f.eks. som udbyder af cloud-løsninger, markedsundersøgelsesvirksomhed eller et lønadministrationsselskab), anses du for at være databehandler.

I tillæg til at vinde dine kunders tillid er dataindsamlingsinstanser ansvarlige for at:
•    sikre, at oplysninger indsamles med komplet ærlighed og gennemsigtighed, og at kunderne er ordentligt informeret  om, hvilken specifik behandling af personoplysningerne, du udfører
•    kun at indsamle og behandle personoplysninger, hvis formålet er legitimt, dvs. hvis det er nødvendigt (for eksempel til en kontrakt)
•    overholde visse forpligtelser i forbindelse med behandlingen af personoplysninger. Du må blandt andet kun indsamle personoplysninger på den dataansvarliges vegne, hvis der er indgået en skriftlig kontrakt, som pålægger dataindsamleren et antal obligatoriske betingelser, som beskrevet i GDPR. Behandlere skal opbevare lister over databehandlingsaktiviteter og gøre dem tilgængelige ved forespørgsel fra en tilsynsførende myndighed. Du skal sikre dig, at den registrerede kan rette, fjerne eller blokere ukorrekte oplysninger om sig selv, og at personoplysninger ikke opbevares i længere tid end strengt nødvendigt
•    besvare klager modtaget vedrørende databehandlingsprocesser
•    samarbejde med nationale databeskyttelsesmyndigheder, der er ansvarlige for at overvåge din overholdelse af nationale databeskyttelseslovgivninger samt for at undersøge klager fra enkeltpersoner vedrørende behandlingen af deres personoplysninger.

Bemærk, at det er dig, der holdes juridisk ansvarlig, hvis en af dine ansatte offentliggør personoplysninger og bryder databeskyttelseslovgivningen.

Informer dine kunder

Du har pligt til at informere dine kunder, hvis du behandler personoplysninger. Til dette formål, bør du udgive en meddelelse om beskyttelse af personoplysninger på dit websted »i en forståelig form med et klart og letlæseligt sprog«.

Som dataindsamlingsinstans skal du som minimum give følgende oplysninger:
•    det fulde navn på din virksomhed, enhed eller dig selv (som den dataansvarlige)
•    dine kontaktoplysninger
•    en beskrivelse af de(t) formål, oplysningerne vil blive anvendt til
•    stedet hvor behandlingsprocessen finder sted
•    en beskrivelse af den person, offentlige myndighed, institution eller ethvert andet organ, som oplysningerne kan videregives til
•    hvordan enkeltpersoner kan kontrollere deres personoplysninger og udøve deres rettigheder i forhold til dem (f.eks. hvordan man får adgang til, retter og sletter personoplysninger), samt hvordan de kan gøre indsigelse mod at deres oplysninger bruges til direkte markedsføring.

En meddelelse om beskyttelse af personoplysninger kan også omfatte yderligere detaljer, såsom hvor længe personoplysninger vil blive gemt, hvordan personoplysningerne beskyttes osv.

Austria Complete the notification via  Österreichische Datenschutzbehörde website before starting the processing activity.
Belgium Complete the notification via Commission for the protection of privacy website before starting the processing activity.
Bulgaria Complete the notification via Commission for Personal Data Protection website before starting the processing activity.
Croatia Complete the notification via Croatian Personal Data Protection Agency website before starting the processing activity.
Cyprus Complete the notification via Commissioner for Personal Data Protection website before starting the processing activity.
Czech Republic Complete the notification via The Office for Personal Data Protection website before starting the processing activity.
Danmark Fuldfør underretningen via Datatilsynet websted, før du påbegynder behandlingen af personoplysninger. 
Estonia Complete the notification via Estonian Data Protection Inspectorate (Andmekaitse Inspektsioon) website before starting the processing activity.
Finland Complete the notification via Office of the Data Protection website before starting the processing activity.
France Complete the notification via Commission Nationale de l'Informatique et des Libertés website before starting the processing activity.
Germany Complete the notification via Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit website before starting the processing activity.
Greece Complete the notification via Hellenic Data Protection Authority website before starting the processing activity.
Hungary Complete the notification via Data Protection Commissioner of Hungary website before starting the processing activity.
Ireland Complete the notification via Data Protection Commissioner website before starting the processing activity.
Italy Complete the notification via Garante per la protezione dei dati personali website before starting the processing activity.
Latvia Complete the notification via Data State Inspectorate website before starting the processing activity.
Lithuania Complete the notification via State Data Protection website before starting the processing activity.
Luxembourg Complete the notification via Commission nationale pour la protection des données website before starting the processing activity.
Malta Complete the notification via Office of the Information and Data Protection Commissioner website before starting the processing activity.
Netherlands Complete the notification via College bescherming persoonsgegevens
(Dutch Data Protection Authority) website before starting the processing activity.
Poland Complete the notification via The Bureau of the Inspector General for the Protection of Personal Data website before starting the processing activity.
Portugal Complete the notification via Comissão Nacional de Protecção de Dados website before starting the processing activity.
Romania Complete the notification via The National Supervisory Authority for Personal Data Processing website before starting the processing activity.
Slovakia Complete the notification via Office for Personal Data Protection of the Slovak Republic website before starting the processing activity.
Slovenia Complete the notification via Information Commissioner website before starting the processing activity.
Spain Complete the notification via Agencia de Protección de Datos website before starting the processing activity.
Sweden Complete the notification via Datainspektionen website before starting the processing activity.
United Kingdom Complete the notification via The Office of the Information Commissioner Executive Department website before starting the processing activity.

 

Kildeoversigt

Overhold kravene til beskyttelse af personoplysninger

•    Den Europæiske Unions Agentur for Grundlæggende Rettigheder & Europarådet, (2014), Håndbog om europæisk databeskyttelseslovgivning
•    EU's databeskyttelsesdirektiv (direktiv 95/46/EF)
•    Databeskyttelsesdirektiv: http://ec.europa.eu/justice/data-protection/index_en.htm 
•    EU-domstolen (2014), Beskyttelse af persondata, tilgængelig på http://ec.europa.eu/justice/data-protection/index_en.htm 
•    EU-domstolen, artikel 29 Working Party, tilgængelig på http://ec.europa.eu/justice/data-protection/article-29/index_en.htm 

Erklæring til den nationale myndighed
•    EU's Databeskyttelsesdirektiv (direktiv 95/46/EF)

Informer dine kunder
•    Europæiske Unions Agentur for Grundlæggende Rettigheder & Europarådet, (2014), Håndbog om europæisk databeskyttelseslovgivning
•    EU's databeskyttelsesdirektiv (direktiv 95/46/EF) – artikel 10

Country specifics

Suggested country specifics to be covered:

National Data protection authority

Questions:

•    Do you agree that the above list of country specific elements is relevant to the audience of European Digital Entrepreneurs?
•    Do you have suggestions for other than the above country specific elements that are relevant to the audience of European Digital Entrepreneurs?
•    What sources of information can you provide as an input for describing the country specifics?