GDPR

Personoplysning (GDPR Art 4)

Enhver information, der kan identificere en fysisk person (den registrerede).

Behandling (GDPR Art 4)

Enhver aktivitet udført med personoplysninger (fx indsamling, brug, sletning).

Registreret (GDPR)

Den fysiske person, som personoplysningerne handler om.

Dataansvarlig (GDPR Art 4)

Den, der bestemmer formålet og midlerne til behandlingen af personoplysninger

-tager initiativet

-har oplysningspligt og dokumentationskrav

Databehandler (GDPR Art 4)

Den person eller enhed, der behandler personoplysninger på vegne af den dataansvarlige.

- behøver ikke være der

- enten enhed ELLER person

Databehandleraftale (GDPR Art 28)

Kontrakt mellem dataansvarlig og databehandler, der regulerer behandlingen.

- her inkluderes også aftaler med underafhandlere

Videregivelse data

Ny datastrøm, ny dataansvarlig

Overdragelse af data

Samme datastrøm, Ny databehandler

Behandlingsgrundlag (GDPR Art 6 & 9)

Det grundlag, der findes i GDPR eller anden lovgivning, som giver den dataansvarlige mulighed for at indsamle og behandle personoplysninger

Samtykke, Kontrakt, Retlig forpligtelse, Vitale interesse, Legitim interesse (SKRVL)

Samtykke - GDPR Art. 6.1.a (Behandlingsgrundlag)

En specifik, informeret, frivillig og utvetydig accept fra den registrerede til behandling af data.

"Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål."

Kontrakt - GDPR Art. 6.1.b (Behandlingsgrundlag)

Behandlingen er nødvendig for at opfylde en kontrakt, som den registrerede er part i

"Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt."

Retlig forpligtelse - GDPR Art. 6.1.c (Behandlingsgrundlag)

"Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige."

Vitale interesser - GDPR Art. 6.1.d (Behandlingsgrundlag)

"Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser."

Samfundsinteresse/offentlig myndighedsudøvelse - GDPR Art. 6.1.e (Behandlingsgrundlag)

"Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt."

Legitim interesse - GDPR Art. 6.1.f (Behandlingsgrundlag)

Et grundlag hvor behandling er nødvendig for dataansvarliges interesse, som vejer tungere end den registreredes (kræver afvejning).

"Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn."

Særlige kategorier af personoplysninger (GDPR Art 9)

Data om fx race, helbred, religion, som kræver særlig beskyttelse og et specifikt behandlingsgrundlag.

Oplysningspligt (GDPR Art 13 & 14)

Pligten til at informere registrerede om behandlingen af deres data.

Indsigtsret (GDPR Art 15)

Retten til at få at vide, om data behandles, og få adgang til dataene.

Ret til sletning / "retten til at blive glemt" (GDPR Art 17)

Retten til at få sine data slettet under visse omstændigheder.

Dataportabilitet (GDPR Art 20)

Retten til at modtage og flytte sine data til en anden udbyder i et struktureret format.

Profilering (GDPR Art 4)

Automatiseret behandling af data for at vurdere eller forudsige en persons adfærd eller præferencer.

-Behandlingsgrundlaget er ofte samtykke

Automatisk afgørelse (GDPR Art 22)

En afgørelse truffet alene ved automatisk behandling uden menneskelig indblanding.

Behandlingssikkerhed (GDPR Art 32)

Krav om at beskytte personoplysninger med passende tekniske og organisatoriske tiltag.

Data Protection by Design and Default (GDPR Art 25)

Princippet om at indbygge databeskyttelse i systemer og standardindstillinger.

Persondatabrud (GDPR Art 4)

En sikkerhedshændelse, der kompromitterer personoplysninger.

Valg af databehandler

En dataansvarlig, benytter udelukkende databehandlere (KRAV), der kan stille de fornødne garantier for, at de vil gennemføre de passende tekniske og organisatoriske foranstaltninger på en sådan måde, at behandling opfylder kravene i denne forordning og sikrer beskyttelse af den registreredes rettigheder.

Hvad sker der hvis en databehandler handler uden for instruks?

Hvis databehandleren selv fastlægger formålene med og hjælpemidlerne til behandling, så bliver de til den dataansvarlige og de har overtrådt forordningen og misligholder aftalen med den dataansvarlige.

3 eksempler af person oplysninger

Genetiske data: Fysisk person genetiske karakteristika

Biometriske data: fysiske eller adfærdsmæssige data

Helbredsoplysninger: mentale eller fysiske helbred og sundhedsydelser.

Brud på datasikkerhed

hændeligt eller ulovligt tab, ændring, uautoriseret adgang, videregivelse.

-Tab = findes en funktionsdygtig back-up er der ikke sket et sikkerhedsbrud

-sker et brud er det den dataansvarlige der skal informere datatilsynet. (underretningen skal ske til den registrerede senest 72 timer)

Tredjelandsoverførsel (GDPR Kap V)

Overførsel af personoplysninger ud af EU/EØS, som kræver et juridisk grundlag.

SCC (Standard Contractual Clauses)

Standardkontraktklausuler til sikring af data ved overførsel til usikre tredjelande.

Culpa

Juridisk term for "skyld" eller "uaktsomhed," centralt i erstatningsret.

Præcedens

Princippet om, at tidligere domme i lignende sager bør følges. Selvom Danmark ikke er et "common law"-land, har præcedens betydning.

Kildekode vs. Objektkode

Kildekode er den læsbare kode, objektkode er den maskinlæsbare kode.

Software som litterært værk (§ 1)

Definition, hvad er omfattet (kildekode, objektkode, forberedende materiale), hvad er ikke (idé, funktionalitet).

De 6 Hovedprincipper til behandling af personoplysninger (Art. 5)

1. Lovlighed, rimelighed og gennemsigtighed, 2. Formålsbegrænsning, 3. Dataminimering, 4. Rigtighed, 5. Opbevaringsbegrænsning, 6. Integritet og fortrolighed,

Samlet for alle: Ansvarlighed (dokumentationspligt).

Lovlighed, rimelighed og gennemsigtighed - GDPR (Art. 5.1.a)

Behandling skal have et lovligt grundlag, være fair over for de registrerede og være forståelig for dem ("man skal kunne forstå hvad der sker udefra").

Formålsbegrænsning- GDPR (Art. 5.1.b)

Personoplysninger må kun indsamles til "oplyste og legitime formål" og må ikke behandles til formål, der er uforenelige med disse (eksempel: adresse til levering må ikke uden videre bruges til profilering).

Dataminimering - GDPR (Art. 5.1.c)

at begrænse de indsamlede personoplysninger til: nødvendige, tiltrækkelige, relevante og begrænset - i forhold til de formål, hvortil de behandles.

Rigtighed - GDPR (Art. 5.1.d)

Personoplysninger skal være "korrekte" og skal forstås i sammenhæng med det formål, de er indsamlet til (eksempel: data skal komme fra "steder hvor kvaliteten er i orden"). Hvis det ikke overholdes skal der tages ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til formålet, hvortil de behandles, straks slettes eller berigtiges.

Opbevaringsbegrænsning - GDPR (Art. 5.1.e)

Den dataansvarlige skal fastlægge, hvor længe data må opbevares. Personoplysninger skal opbevares så de registrerede ikke kan identificeres i et længere tidsrum end nødvendigt for formålet.

Integritet og fortrolighed - GDPR (Art. 5.1.f)

Både dataansvarlige og databehandlere skal sikre "tilstrækkelig sikkerhed" for de behandlede data, herunder beskyttelse mod uautoriseret eller ulovlig behandling, mod hændeligt tab, tilintetgørelse eller beskadigelse, under anvendelse af passende tekniske eller organisatoriske foranstaltninger.

Ansvarlighed - GDPR (5.2)

Den dataansvarlige er ansvarlig for at overholde og dokumentere alle 6 principper i §5.1.

Foreneligheds test

en nødvendig analyse under GDPR for at sikre, at personoplysninger ikke genbruges til formål, som de registrerede ikke med rimelighed kunne forvente, da oplysningerne blev indsamlet.

- udføres af den dataansvarlige

-tager højde for sammenhæng, kontekst, konsekvenser mm.

Uautoriseret

Adgangen handler om at overskride interne tilladelser

Ulovlig

Adgangen handler om at bryde loven for at få adgang

Hændeligt tab - GDPR §4.12

"En sikkerhedshændelse, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller uautoriseret adgang til personoplysninger, der 1 er transmitteret, opbevaret eller på anden måde behandlet"

Hvad sker der hvis GDPR gemmes lokalt

Gemmes persondataene lokalt er det udenom GDPR og der behøves hverken behandlingsgrundlag eller databehandler.

Kan en person være både Databehandler og Dataansvarlig?

Ja, en person kan godt have begge roller, men IKKE for det samme datasæt

Hvordan reguleres GDPR?

Offenligt reguleret og kan ikke aftales inbyrdes ⇒ præceptive

Gælder GDPR udenfor EU?

Hvis begge parter er udefor EU så gælder GDPR ikke.

Hvis en vare/tjeneste tilbydes til personer i EU eller overvåger adfærd i EU gælder GDPR.

Her kan en undtagelse være hvis alt data anonymiseres så det ikke er persondata og derfor ikke høre under GDPR.

De 8 H'er til analyse af behandling

Hvorfor? Formålet

Hvem? Hvem behandler

Hvilken? Datatype / datastrøm

Hvor fra? Kilden af data

Hvor? Opbevaring af data

Hvornår? Opbevaringsperioden

Hvortil? Vidergivelse (ny datastrøm = ny data ansvarlig)

Hvad + hvilke? retsgrundlag

GDPR §7 og §8 - grundlæggende rettigheder

§7: Ret til respekt for privat- og familieliv

§8: Ret til beskyttelse af personoplysninger

Pseudonymisering

Opdele personoplysninger så en person ikke kan identificeres og gemme de supplerende oplysninger sikkert væk.

behandling af personoplysninger på en sådan måde, at personoplysningerne ikke længere kan henføres til en bestemt registreret uden brug af supplerende oplysninger, forudsat at sådanne supplerende oplysninger opbevares separat og er underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke henføres til en identificeret eller identificerbar fysisk person.

- en sikkerhedsforanstaltning

Opfyldelse af oplysningspligten - Registreredes Rettigheder(Art. 13 & 14)

Den dataansvarlige skal give den registrerede klare og præcise oplysninger om behandlingen af deres personoplysninger.

Indsigtsret og ret til korrektion/rettelse - Registreredes Rettigheder

Den registrerede har ret til at få indsigt i sine oplysninger og få urigtige oplysninger berigtiget.

Ret til indsigelse - Registreredes Rettigheder

Den registrerede har ret til at gøre indsigelse mod visse former for behandling af sine personoplysninger.

Ret til sletning ("retten til at blive glemt") - Registreredes Rettigheder

Den registrerede har under visse betingelser ret til at få sine oplysninger slettet.

Krav på dataportabilitet - Registreredes Rettigheder

Den registrerede har ret til at modtage sine personoplysninger i et struktureret format og overføre dem til en anden dataansvarlig.

GDPR - Den Registreredes 5 Rettigheder (OIISD)

1. Opfyldelse af oplysningspligten, 2. Indsigtsret og ret til korrektion/rettelse, 3. Ret til indsigelse, 4. Ret til sletning, 5. Krav på dataportabilitet