Den nye persondataforordning træder i kraft d. 25. maj. Den introducerer nye procedurer for virksomhedernes indsamling og behandling af persondata. For dig som iværksætter har det betydning for din virksomhed, hvis du indsamler dine kunders oplysninger og opbevarer dem. Så snart der indsamles oplysninger af sine kunderne, vil man være omfattet af persondataforordningen. Oplysningerne kan være navne, e-mailadresser eller andre kundeoplysninger, hvorfor det vil finde anvendelse på mange typer virksomheder – og måske også din.

Artikel 4 indeholder begreber, som bliver benyttet i den nye persondataforordning. Hos Iværksætterretshjælpen har vi klarlagt de begreber, som har størst relevans for dig som iværksætter.  

Personoplysninger

Ved ”personoplysninger” forstås enhver form for information om en identificerbar fysisk person. En person er identificerbar, når denne kan identificeres ved et navn, identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, som er særlige for en sådan persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.   

Samtykke

Ved ”samtykke” forstås, at den registrerede person ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger, der vedrører den pågældende, gøres til genstand for behandling. Det er et krav, at denne viljetilkendegivelse, som kommer fra den registrerede er frivillig, specifik, informeret og utvetydig.

Register

”Register” skal i relation til den nye forordning forstås således, at enhver samling vedrørende personoplysninger, som efter specifikke kriterier er tilgængelige. Det vil eksempelvis kunne være et register over dine kundekartoteker – i øvrigt er selve placeringen af oplysningerne ligegyldig for, hvorvidt artiklen finder anvendelse.

Dataansvarlig

Den dataansvarlige er en fysisk eller juridisk person. Altså kan det være medarbejderen, som har ansvaret for persondata i din virksomhed. Derudover kan det være virksomheden som helhed, der betragtes som ”dataansvarlig”. Det er den dataansvarliges job at afgøre hvilket formål og hvilke hjælpemidler, der benyttes til at behandle personoplysninger indenfor virksomheden. Formålet og hjælpemidlerne skal selvfølgelig høre ind under den tilladte brug igennem persondataforordningen.

Databehandler

”Databehandler” er den fysiske person, som på vegne af virksomheden behandler persondataret for virksomheden.

Modtager

”Modtager” er en fysisk eller juridisk person, en offentlig virksomhed, en institution eller andet organ, hvortil personoplysningerne videregives – det er ikke af betydning, om det er en tredjemand eller ej.

Behandling

Den nye persondataforordning definerer ”behandling” som værende enhver manuel eller automatisk aktivitet af personoplysninger.  

Dette kan for eksempel være indsamling, registrering, organisering, systematisering, opbevaring, tilpasning, genfinding, søgning, brug, videregivelse, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse af oplysninger, uanset om disse er individuelle oplysningen eller en samling af oplysninger.

Tredjemand

”Tredjemand” defineres som enhver anden person, der har beføjelse til at behandle oplysningerne. Dette kan være en fysisk person, en juridisk person i form af selskab, offentlig myndighed mv. eller enhver anden person end den registrerede, som er beføjet til at behandle oplysningerne, såsom den registeransvarlige. Dette kan også være enheder, der af den registeransvarlige har fået myndigheden til at behandle de beskyttede oplysninger.

De grundlæggende principper i artikel 5

Artikel 5 angiver 6 principper, om hvordan personoplysninger skal behandles. Den dataansvarlige er ansvarlig for og skal kunne påvise at alle de følgende punkter overholdes. Dette er princippet om ansvarlighed.

Hovedessensen er, at persondata altid skal behandles på lovlig måde og på en gennemsigtig manér overfor den der registreres. Hovedudtrykkende er herunder lovlig, rimelighed og gennemsigtighed.

For at behandlingen er lovlig, må indsamling kun ske til legitime formål, og disse skal være udtrykkeligt angivet ved indsamlingen. Viderebehandlingen af det indsamlede data må ikke være uforenelig med det oprindelige formål med indsamlingen – med andre ord må man ikke misbruge eller anvende dataen til andre ting, end hvad formålet angiver. Dette kan indkapsles i udtrykket ”formålsbegrænsning”.

Virksomheden må ikke indsamle irrelevant data, der ikke nødvendigt i forhold til formålet med behandlingen. Det vil for eksempel ikke være relevant at indsamle data om folks køn ved registrering til en konkurrence, hvor kun folk over 18 må deltage. Her vil det være tilstrækkeligt kun at indsamle oplysninger om fødselsdato. Dette princip kaldes dataminimering.

Der gælder ligeledes et princip om rigtighed. Det vil sige at urigtige eller forkert indsamlet data skal slettes, hvis det ikke stemmer overens med det formål, det er indsamlet til. Forældet data skal ligeledes ajourføres for ikke at være misvisende.

Herudover stilles der også krav til det tidsmæssige aspekt af opbevaringen. Som udgangspunkt må personoplysningerne ikke opbevares i et længere tidsrum end det, der er nødvendigt i forhold til personoplysningernes formål. Det skal afgøres i den enkelte situation, hvor længe opbevaring af identificerbare oplysninger kan ske. I praksis vil det være afgørende, om den dataansvarlige kan angive et eller flere saglige formål med en fortsat opbevaring.

Endelig fastlægger artikel 5 et princip om behandlingssikkerhed. Personoplysningerne skal behandles på en måde, som sikrer tilstrækkelig sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod tab, tilintetgørelse eller beskadigelse. Behandlingssikkerheden kan sikres ved anvendelse af passende tekniske eller organisatoriske foranstaltninger.