GDPR-ordbog for persondata & compliance

Er du i tvivl om begreberne inden for GDPR? Bliv klogere med denne GDPR-ordbog, der indeholder de mest almindelige termer

A

Adgangskontrol

Processen med at identificere og analysere, hvem der har adgangstilladelser til følsomme data og PII-data, og tage skridt til at administrere tilladelser til disse data for at reducere risikoen for eksponering.

 

Anonymisering

Processen med at fjerne personlige identifikatorer, der kan føre til, at en person bliver identificeret. Når først data er virkelig anonymiseret, og enkeltpersoner ikke længere er identificerbare, vil dataene ikke falde inden for GDPRs fokusområde.

B

Biometriske og genetiske data

En særlig kategori af personlige data relateret til en persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, som gør det muligt, at identificere eller bekræfte identiteten på den pågældende person. Dette omfatter ansigts-/irisgenkendelse, fingeraftryk, blod-/DNA-tests osv.

 

BIN-nummer

Henviser til et sæt på fire til seks numre, der vises på et betalingskort og identificerer den institution, der udsteder kortet.

C

CCPA

CCPA står for California Consumer Privacy Act og er en landsdækkende databeskyttelseslov i Californien, der regulerer, hvordan virksomheder over hele verden har lov til at håndtere de personlige oplysninger (PI) for indbyggere i Californien.

 

CCPA-oplysninger

Oplysninger, der er defineret som PI og er beskyttet i henhold til California Consumer Privacy Act.

 

Compliance

Compliance er tilstanden af at være i overensstemmelse med eller følge fastlagte retningslinjer eller specifikationer for sensitiv databehandling. Når vi bruger udtrykket overholdelse på denne hjemmeside, taler vi normalt om, hvordan virksomheder følger retningslinjerne i GDPR og andre love om privatliv.

 

Cookies

Cookies er korte tekstfiler placeret på folks enheder gennem et websted. Cookies kan gøre folks browsingoplevelse mere personlig ved at huske deres historik og brugerprofil uden at de behøver at logge ind. Cookies kan også placeres af tredjeparter på enheder til reklameformål og bruges til at spore, hvordan folk browser og opfører sig på forskellige websteder. GDPR kræver, at websteder indhenter forudgående og eksplicit samtykke, før de aktiverer cookies.

D

Dansk databeskyttelseslov

Den danske databeskyttelseslov supplerer EU’s GDPR, ved at udfylde afsnit af forordningen, som er overladt til de enkelte medlemslande at fortolke.

 

Dataansvarlig

En dataansvarlig er en person, virksomhed eller en anden juridisk enhed, der er ansvarlig for de data, den opbevarer, herunder personoplysninger om medarbejdere, kundeemner/leads, kunder eller leverandører og andre.

 

Databehandling

Databehandling omfatter alt, hvad en virksomhed gør med personlige data: indsamling, lagring, redigering, brug, deling, overførsel, begrænsning af adgang, sletning osv.

 

Databehandler

En fysisk eller juridisk person, offentlig myndighed, styrelse eller et andet organ, der behandler personoplysninger på vegne af en dataansvarlig.

 

Databehandler-aftale

En databehandleraftale, eller DPA, er en aftale mellem en dataansvarlig (fx en virksomhed) og en databehandler (fx en tredjepartstjenesteudbyder). Aftalen fastsætter alle behandlinger af persondata-oplysninger, der bruges til forretningsformål. En DPA kaldes også for en GDPR-databehandleraftale.

 

Databrud

Utilsigtet eller ulovlig ødelæggelse, tab, ændring eller videregivelse af personlige data.

 

Data-/privatlivsstrategi

Når vi bruger begreberne datastrategi eller privatlivsstrategi, taler vi om din virksomheds plan for at beskytte folks data og privatliv.

 

Data-intelligens

Henviser til alle de analyseværktøjer, metoder og processer, virksomheder anvender for at danne en bedre forståelse af de oplysninger, de indsamler.

 

Data Protection Officer (DPO)

En sikkerhedslederrolle med ansvar for at føre tilsyn med en virksomheds databeskyttelsesstrategi og håndhæve kravene til overholdelse af regler for persondata.

 

Dataoprydning

Handlingen med at sikre følsomme data, der er identificeret under dataopdagelsesprocessen ved at kryptere, skjule (maskere), sætte i karantæne eller slette forældede data.

 

Dataopgørelse/Datakortlægning

En dataopgørelse identificerer personlige data på tværs af alle dine systemer for at kortlægge, hvordan dataene opbevares og deles.

 

Datasubjekt

Ethvert levende individ, hvis personlige data indsamles, opbevares eller behandles af en anden.

 

Data-myndighed

En data-myndighed fungerer som en uafhængig, offentlig myndighed, der gennem undersøgelses- og korrektionsbeføjelser fører tilsyn med anvendelsen af de relevante databeskyttelseslove. En DPA yder typisk ekspertrådgivning om databeskyttelsesspørgsmål og behandler klager over overtrædelser af f.eks. Generel forordning om databeskyttelse eller anden relevant national datalovgivning. Hver EU-medlemsstat har en databeskyttelsesmyndighed. I danmark er data-myndigheden Datatilsynet.

 

Det Europæiske Økonomiske Samarbejdsområde (EØS)

Det Europæiske Økonomiske Samarbejdsområde (EØS) er en markedsudvidelse af Den Europæiske Union (EU). En del af EU-retten gælder stadig inden for EØS.

 

DPIA

En Data Protection Impact Assessment (DPIA) – på dansk omtalt konsekvensanalyse for databehandling – udføres af en virksomhed for at identificere risici i forbindelse med behandlingen af personoplysninger og minimere disse risici så meget som muligt.

 

DSAR

En DSAR, som står for Data Subject Access Request, er en anmodning fra en bruger (datasubjekt) til en organisation (dataansvarlig), der har indsamlet deres data, og beder om detaljer om, hvordan dataene indsamles, bruges, opbevares, og hvis de er bliver delt med tredjeparter.

F

Følsomme data

Følsomme data eller følsomme oplysninger refererer til informationer, der er af følsom karakter, fordi det kan have en særlig negativ indvirkning på en person eller en organisation, hvis de bliver kompromitteret eller misbrugt. Overordnet set kan man sige, at der findes tre typer af følsomme oplysninger: 1. PII/Personhenførbart data (ex. navn, fødselsdato eller CPR-nr), 2. Følsomme personoplysninger (ex. fagforening, helbreds-info eller seksuel orientering) og 3. Forretningskritiske dokumenter (ex. kontrakt, budget eller IP-dokument)

 

Følsomme personoplysninger

Følsomme personoplysninger er en specifik kategori af personoplysninger, der bør behandles med særlig omhu, fordi videregivelse af dem kan forårsage skade. Dette omfatter en persons racemæssige eller etniske oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, fagforeningsmedlemskab, genetiske data, biometriske data, data vedrørende helbred eller data vedrørende en fysisk persons sexliv eller seksuelle orientering.

 

Fælles controller

Når to dataansvarlige begge bestemmer formålene og midlerne til behandlingen af personoplysninger, og begge er fælles ansvarlige for overholdelse af GDPR.

G

GDPR

GDPR står for General Data Protection Regulation, og er den juridiske ramme, der sætter retningslinjer for indsamling og behandling af personoplysninger fra personer, der bor i Den Europæiske Union (EU). Enhver virksomhed, der har en hjemmeside, der kan tiltrække europæiske besøgende, bør følge GDPR-retningslinjerne, også selvom de ikke er baseret inden for EU og ikke specifikt markedsfører varer eller tjenester til EU-borgere.

K

Klassificering af data

Processen med at organisere data i relevante kategorier, så de kan bruges og beskyttes mere effektivt.

H

HIPAA

HIPAA står for The Health Insurance Portability and Accountability Act og er en amerikansk kongreslov. HIPAA omhandler sundhedsoplysninger og fastsætter hvordan personligt identificerbare oplysninger skal beskyttes mod svig og tyveri.

N

Naturlig Person

Privatlivsbestemmelser bruger dette udtryk til at beskrive en person, der kan identificeres direkte eller indirekte ved f.eks. et navn, et identifikationsnummer, lokationsdata, en online identifikator eller en eller flere faktorer, der er specifikke for deres fysiske, fysiologiske, genetiske, mentale, økonomiske , kulturel eller social identitet.

 

Ny teknologi

I forbindelse med databeskyttelse refererer dette normalt til nye og nye teknologier, der ikke er blevet tilstrækkeligt undersøgt til, at verden som helhed kan blive enige om deres indvirkning på privatlivets fred og datasikkerhed.

 

Norges persondatalov

Persondataloven inkorporerer den europæiske databeskyttelsesforordning (GDPR) i norsk lov. Loven indeholder også nationale særregler på visse områder, hvor GDPR tillader det.

P

Persondata

Personoplysninger er enhver information, der vedrører en identificeret eller identificerbar levende person. Dette er en bred kategori, der starter med en persons navn og inkluderer alle deres oplysninger (inklusive deres følsomme og fortrolige oplysninger). Udtrykkene “personlige data” og “personligt identificerbare oplysninger” bruges nogle gange i flæng.

 

Personlige identificerbare oplysninger (PII)

Personlig identificerbar information (PII) er defineret som enhver repræsentation af information, der med rimelighed gør det muligt at udlede identiteten af en person, som oplysningerne gælder for.

 

PDPA

En databeskyttelseslov i Singapore, der blev oprettet for bedre at beskytte personoplysninger om enkeltpersoner i Singapore. Få mere at vide om overholdelse af PDPA.

 

PI

En forkortelse for personlige oplysninger, også kendt som personligt identificerbare oplysninger (PII). Dette er alle data, der potentielt kan bruges til at identificere en bestemt person.

 

PI-oplysninger

Der henvises til en bred vifte af personlige oplysninger om en given person, indsamlet gennem en række strukturerede og ustrukturerede datalagre.

 

PII

En forkortelse for personligt identificerbare oplysninger, dette er alle data, der potentielt kan bruges til at identificere en bestemt person.

 

PIPL

PIPL står for The China Personal Information Protection Law og er Kinas lov om beskyttelse af personlige oplysninger (PI), som der er rettet mod alle de organisationer og individer der behandler persondata for kinesiske borgere.

 

PIPEDA

Også kendt som Personal Information Protection and Electronic Documents Act, er dette Canadas vigtigste føderale lov vedrørende privatlivets fred i den private sektor. Få mere at vide om PIPEDA-overholdelse.

 

Profilering

Automatiseret behandling, der foretager forudsigelser og beslutninger om en person baseret på data indsamlet om vedkommende. Profilering kan være baseret på en persons arbejdsindsats, økonomiske situation, helbredshistorie, personlige præferencer, interesser, adfærd, placering, bevægelser og mere.

 

Privatliv ved design og privatliv som standard

Resultatet af planlægning for privatliv og databeskyttelse og indbygning af det i alle vores processer lige fra starten, når folks personlige data er involveret. Især når du implementerer nye projekter eller nye værktøjer, der kan sætte privatlivets fred eller datasikkerhed i en høj risiko for brud.

 

Pseudonymisering

Behandling og adskillelse af personoplysninger, så de ikke længere kan henføres til en bestemt registreret uden brug af yderligere oplysninger.

R

Registrering af persondata

En måde at identificere persondataoplysninger på tværs af filer, arbejdsplaceringer og servere, databaser, e-mails, on-premise og cloud.

 

Ret til adgang

Folk har ret til at bede om en kopi af deres personlige data.

 

Ret til dataportabilitet

Folk har ret til at bede din virksomhed om at få deres personlige data returneret til dem i et elektronisk format eller videregivet til en anden virksomhed. Dette gør det lettere for folk at skifte tjenesteudbyder.

 

Ret til indsigt

Folk har ret til at bede om oplysninger om deres data: Hvordan du bruger dem, beskytter dem, om de deles osv.

 

Ret til at blive glemt

Folk har ret til at få deres personlige data slettet efter anmodning.

 

Ret til indsigelse

Folk har ret til at gøre indsigelse mod, hvordan deres data behandles.

 

Ret til at fravælge

En persons ret til specifikt at gøre indsigelse mod salget af deres data i henhold til California Consumer Privacy Act (CCPA).

 

Ret til berigtigelse

Folk har ret til at bede om at få deres data rettet, hvis de er unøjagtige.

 

Ret til begrænsning

Folk har ret til at begrænse den måde, virksomheder behandler deres data på.

S

Samtykke

I henhold til GDPR og andre love om privatlivets fred skal folk frit give deres eksplicitte tilladelse, før nogen kan indsamle deres personlige data. Dette kaldes samtykke. Virksomheder bør indhente og dokumentere samtykke, før de indsamler personoplysninger.

 

Software til overholdelse af regler for persondata

Værktøj, der bruges til at identificere følsomme data og sikre, at de håndteres sikkert.

 

Særlige datakategorier/følsomme data

Data vedrørende racemæssig eller etnisk oprindelse, politisk overbevisning, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, genetiske data, biometriske data eller data vedrørende et individs helbred, sexliv eller seksuel orientering.

T

Tilsynsmyndighed/Databeskyttelsesmyndighed

En uafhængig, lokal offentlig myndighed, der håndhæver GDPR eller en anden privatlivslovgivning i en region.

 

Transfer Impact Assessment (TIA)

En Transfer Impact Assessment (TIA) er en type risikovurdering, der bør udføres af en virksomhed for at afgøre, om den mekanisme, som de har til hensigt at bruge til at overføre personoplysninger uden for Det Europæiske Økonomiske Samarbejdsområde (EØS) giver et tilstrækkeligt beskyttelsesniveau.