Vejledning til Persondataloven

Danmarks Persondatalov er et sæt regler for indsamling, behandling, opbevaring og brug af personoplysninger. Den nuværende Persondatalov fra 2018 bygger videre på Persondataloven fra 2000, og inkorporerer store dele af GDPR ind i dansk lovgivning.

Persondataloven gælder for virksomheder, organisationer og offentlige myndigheder. Denne datalovgivning giver personer ret til at få adgang til deres personlige data og til at anmode om rettelse eller sletning af disse data. Persondataloven pålægger også organisationer at implementere tekniske og organisatoriske foranstaltninger for at beskytte persondata. For at følge loven er det en god idé at følge en vejledning til Persondataloven.

Denne guide er netop en vejledning til Persondataloven. Guiden handler om hvordan man som virksomhed overholder den, hvordan placeres denne lov i forhold til EU’s GDPR, og hvordan håndhæves den.

Persondataloven gælder for jer, hvis:

• Jeres virksomhed er etableret i Danmark
• I tilbyder varer eller tjenester til folk i Danmark
• I overvåger personer, der befinder sig i Danmark
• I håndterer data tilhørende danske diplomatiske repræsentationer

Persondataloven gælder for al databehandling af personoplysninger. Når man taler om love, der beskytter data, fokuserer man ofte på data, der opbevares elektronisk. Persondataloven gælder dog både for elektroniske data og oplysninger, der opbevares analogt – i fysisk form som eksempelvis papir.

GDPR og Persondataloven er tæt knyttet og supplerer hinanden. GDPR tillader dog medlemslande at foretage deres egne ændringer og undtagelser. Her er nogle af dem, Danmark laver i Persondataloven:

GDPR har intet krav om at underrette tilsynsmyndigheder, før man begynder at behandle personoplysninger. Persondataloven kræver dog, at man først får tilladelse til visse typer databehandling. I Danmark skal man have Datatilsynets forhåndsgodkendelse, før man behandler personoplysninger:

• For at advare andre mod at have forretningsforbindelser eller acceptere ansættelse hos en person
• For kommerciel offentliggørelse af data til vurdering af finansiel formåen og kreditværdighed
• Udelukkende med det formål at drive juridiske informationssystemer

Man bedes bruge ansøgningsskemaerne på Datatilsynets hjemmeside, når man søger om godkendelse hos Datatilsynet. Hjemmesiden har også udgivet vejledning om, hvordan man kan afgøre, om en type virksomhed eller erhvervsaktivitet kvalificerer som et type databehandling, der kræver forhåndsgodkendelse.

Børns persondata får særlig beskyttelse under GDPR og Persondataloven. Dette skyldes, at de måske er mindre opmærksomme på risici og konsekvenser ved at dele deres personlige data.

GDPR kræver samtykke fra en forælder til at indsamle personlige data for at give onlinetjenester til et barn under 16 år. EU giver medlemslandene mulighed for at reducere denne alder til 13 år. Dette benytter Persondataloven sig af. Derfor er minimumsalderen, hvor et barn kan give gyldigt samtykke til brug af onlinetjenester, nedsat til 13 år i Danmark.

Man bør dog tage hensyn til barnets modenhed, når man vurderer, om et barn under 18 år kan give samtykke. Datatilsynets retningslinjer for samtykke anbefaler, at et barn på 15 år generelt vil være tilstrækkeligt modent til at give samtykke alene.

Bemærk, at reglerne for samtykke til børns data gælder, når man bruger deres data til at markedsføre tjenester til dem eller til at oprette brugerprofiler for dem. På den anden side behøver man muligvis ikke en forælder/værges samtykke til at yde forebyggende eller rådgivning til f.eks. børn.

Danmark vedtager særlige nationale regler om medarbejderes persondata. Arbejdsgivere kan behandle deres ansattes personoplysninger for at overholde deres juridiske forpligtelser eller rettigheder fastsat i gældende lovgivning eller kollektive overenskomster. Dette gælder både for ikke-særlige kategorier af personoplysninger såvel som særlige kategorier af personoplysninger.

Derudover tillader databeskyttelsesloven behandling, når det er nødvendigt for at forfølge en legitim interesse, der udspringer af anden lovgivning eller kollektive overenskomster, så længe det ikke tilsidesætter den registreredes interesser, rettigheder og friheder. Det gælder både almindelige persondata samt særlige kategorier af persondata.

Man kan bruge samtykke som retsgrundlag til at indsamle og behandle data i en ansættelsessammenhæng. Samtykket bør gives frit og opfylde alle de sædvanlige samtykkekrav, der er fastsat i GDPR.

Der er nogle undtagelser fra de registreredes rettigheder for medarbejdere. En medarbejder, der anmoder om adgang til deres personlige oplysninger, har ikke ret til en kopi af al kommunikation, de har sendt som en del af deres job.

Bemærk, at I skal have en særlig tilladelse fra Datatilsynet, før I bruger nogens personoplysninger til at advare andre mod at indgå forretnings- eller ansættelsesforhold med dem.

Persondataloven behandlede CPR-numre særskilt. I Danmark kan offentlige myndigheder behandle CPR-numre. Men Persondataloven fastsætter, at private virksomheder kun kan behandle CPR-numre, hvis:

• Behandlingen følger af loven
• Den registrerede giver samtykke
• CPR-nummeret bruges til videnskabelige eller statistiske formål

Man bør kun oplyse et CPR-nummer, hvis det er et naturligt led i den almindelige drift af virksomheder og vvideregivelsen er af afgørende betydning for entydig identifikation af den registrerede, eller hvis en offentlig myndighed kræver det. Man bør aldrig offentliggøre et CPR-nummer, medmindre der er givet samtykke i overensstemmelse med artikel 7 i GDPR.

Persondataloven har særlige regler for finansvirksomheder. Disse regler begrænser de kategorier af personoplysninger, der kan behandles af finansvirksomheder, når de giver nogen en kreditvurdering.

Finansvirksomheder bør følge disse regler:

• Behandl kun de datakategorier, I skal bruge for at vurdere personens økonomiske formåen.
• Behandle ikke særlige kategorier af personoplysninger eller oplysninger om straffedomme eller lovovertrædelser.
• Behandl ikke data, der er over fem år gamle, og som ville diskvalificere en person fra at få kredit, medmindre dataene er af afgørende betydning for personens kreditvurdering.
• Kommuniker kun oplysninger om en persons økonomiske formåen eller kreditvurdering til tredjeparter skriftligt. (Medmindre dataene er aggregerede, og modtagerens navn og adresse opbevares i mindst seks måneder først.)

Ifølge GDPR-artikel 10, må man kun behandle kriminelle data under kontrol af offentlige myndigheder. GDPR tillader dog behandling, hvis medlemslandenes lovgivning tillader det.

Persondataloven i Danmark giver mulighed for at behandle personoplysninger vedrørende straffedomme eller lovovertrædelser, hvis:

• Man er en offentlig myndighed
• Man behandler data under kontrol af officiel myndighed
• Den registrerede giver udtrykkeligt samtykke
• Behandlingen er nødvendig med det formål at forfølge en legitim interesse, og en sådan interesse går klart forud for den registreredes interesser

Man bør ikke dele oplysninger om strafbare handlinger med nogen tredjepart, medmindre:

• Den registrerede har givet udtrykkeligt samtykke til at videregive det
• Man deler det for at beskytte private eller offentlige interesser, som klart tilsidesætter tavshedspligtens interesser, herunder den registreredes interesser
  myndighederne har brug for det for at udføre deres aktiviteter eller træffe en beslutning
• Videregivelse er nødvendig for, at en person eller virksomhed kan udføre opgaver for en offentlig myndighed.

I juridisk henseende gælder GDPR ikke for en persons data, når først vedkommende er død. Her er Persondataloven anderledes,  dog dette ved at oplyse, at dens og GDPRs regler gælder for en afdød persons data i 10 år efter personens død. Det gives endvidere bemyndigelse til justitsministeren til at afkorte eller forlænge denne periode.

Danmarks Persondatalov inkorporerer følgende af GDPR persondata-rettigheder:

• Retten til at blive informeret
• Retten til adgang
• Retten til at gøre indsigelse
• Retten til sletning og blokering
• Retten til berigtigelse
• Ret til at klage
• Retten til erstatning
• Retten til dataportabilitet

Generelt udøver folk disse rettigheder ved at sende jer dataanmodninger (DSAR’er). I skal reagere på alle sådanne anmodninger inden for normalt 30 dage. Men dette kan være en udfordring.

Da GDPR og Persondataloven ikke har nogen formelle krav til, hvordan en person skal fremsætte deres anmodninger, er det nemt at se bort fra dem. Af denne grund anbefaler vi, at I opretter en strømlinet måde for anmodninger at blive modtaget på, så I ikke går glip af en anmodning og ender med en bøde.

Ofte betyder dét at svare på dataanmodninger at sende personen nogle deres data eller give dem andre oplysninger om deres data og hvordan du bruger dem. GDPR sætter ikke mange begrænsninger på de anmodninger, folk kan fremsætte. Persondataloven angiver nogle undtagelser, hvor man muligvis ikke skal efterkomme dataanmodninger. For eksempel kan den registreredes interesse i deres oplysninger tilsidesættes af:

• Væsentlige hensyn til private interesser, herunder den registreredes interesser
• Væsentlige hensyn til offentlige interesser

Og man kan også blive fritaget for at opfylde nogle GDPR-rettigheder, hvis man behandler data:

• På vegne af en offentlig forvaltningsmyndighed i forbindelse med dens administrative procedurer
• På vegne af domstole, der handler i deres dømmende egenskab
• Udelukkende til videnskabelige eller statistiske formål
• Hvis det ville hindre efterforskningen af strafbare handlinger at give personen adgang til data

Dansk lov indeholder adskillige undtagelser og undtagelser for journalister, retshåndhævelse og kriminalitetsforebyggelse, parlamentarisk arbejde og retssager.

Disse undtagelser er af hensyn til ytringsfrihed, offentlig sikkerhed, folkesundhed og andre private og offentlige interesser. Disse interesser kan veje tungere end en persons personlige ret til hemmeligholdelse og adgang til oplysninger.

De fleste regler om persondata kræver en betydelig mængde administrativt arbejde for at vise, at I beskytter personlige data. Dette omfatter opbevaring af dokumentation for jeres databehandlingsaktiviteter, udførelse af konsekvensanalyse for databrud og mere. Persondataloven er ikke anderledes. Her er nogle dens krav, når det drejer sig om administrativt arbejde.

En dataansvarlig eller Data Protection Officer er den person, der er ansvarlig for databeskyttelse og compliance for en virksomhed. Dennes opgaver omfatter at informere og rådgive virksomheden og oplære personalet i compliance. Derudover overvåger de overholdelse af datalovgivninger og virskomhedens egne datapolitikker. De udfører konsekvensanalyser for databrud efter behov og fungerer som kontaktpunktet med datamyndigheden. DPO’en bør deltage i alle sager vedrørende databeskyttelse. Vedkommende bør rapportere direkte til det højeste ledelsesniveau. DPO’en bør have ekspertviden om databeskyttelseslove, praksis for databeskyttelse og GDPR-forpligtelser.

Man skal udpege en dataansvarlig, hvis:

• Man er en offentlig myndighed
• Man har mere end 250 ansatte
• Ens kerneaktiviteter omfatter regelmæssig og systemisk overvågning af registrerede i stor skala
• Ens kerneaktiviteter består i at behandle følsomme personoplysninger i stor skala

Efter Persondataloven har en DPO også tavshedspligt. De kan ikke afsløre eller udnytte nogen personlige data, de har adgang til for at udføre deres job.

Før man som virksomhed påbegynder databehandling, på data der har høj risiko for at have større konsekvenser ved et databrud, skal man udføre en konvsekvensanalyse eller DPIA. Denne omfatter:

• Systematisk og omfattende profilering, der har retsvirkninger eller væsentligt påvirker enkeltpersoner
• Behandling i stor skala af enten særlige kategorier af personoplysninger eller personoplysninger vedrørende straffedomme og lovovertrædelser
• Systematisk overvågning af et offentligt tilgængeligt område i stor skala

Datatilsynet har offentliggjort en liste over behandlingsaktiviteter, som kræver en konsekvensanalyse.

GDPR kræver, at der opbevares en fortegnelse over alle databehandlingsaktiviteter. I dette tilfælde afviger Persondataloven ikke fra GDPR. Man bør derfor sørge for at oprette en detaljeret, struktureret fortegnelse, der viser følgende:

• Jeres firmanavn og kontaktoplysninger
• DPO-kontaktoplysninger (hvis I har en)
• Jeres formål med behandling af personoplysninger
• De persondatakategorier, I indsamler/gemmer/bruger
• Kategorier af registrerede (kunder, medarbejdere, partnere osv.)
• Kategorier af modtagere, som personoplysningerne er blevet eller vil blive videregivet til
• Enhver overførsel af personoplysninger til et tredjeland eller international organisation
• De sikkerhedsforanstaltninger, I har på plads for sådanne internationale dataoverførsler
• Jeres tidsbegrænsninger for dataopbevaring for forskellige kategorier af data
• En beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger, I har

Udarbejd en privatlivspolitik, der forklarer, hvordan folks personlige data vil blive behandlet. Sørg for, at den er komplet, klar og let at forstå. Oplys om, hvordan man kan klage, og hvordan man kontakter Datatilsynet.

Bemærk, at ifølge Persondataloven, er der ikke pligt til at lave en privatlivspolitik, hvis den registreredes interesser i oplysningerne tilsidesættes af afgørende private interesser (f.eks. whistleblowing-rapporter og andre interne undersøgelser).

Persondataloven har etablerer et organ til håndhævelse af dens regler. Danmarks uafhængige tilsynsmyndighed er Datatilsynet. Kort fortalt er Datatilsynets ansvar at sikre, at organisationer i Danmark overholder loven og beskytter borgeres datarettigheder. Datatilsynet har beføjelse til at udstede bøder, sanktioner og endda fængsel på op til seks måneder for manglende overholdelse af loven.

Datatilsynet vil ifølge sin hjemmeside:

• Undersøg klager fra enkeltpersoner i relation til potentielle overtrædelser af databeskyttelsesloven
• Foretage forespørgsler og undersøgelser vedrørende overtrædelser af databeskyttelseslovgivningen og træffe håndhævelsesforanstaltninger, hvor det er nødvendigt
• Fremme bevidstheden blandt medlemmer af offentligheden om deres ret til at få deres personlige oplysninger beskyttet
• Fremme forbedret bevidsthed og overholdelse gennem offentliggørelse af vejledning af høj kvalitet og proaktivt engagement med offentlige og private organisationer
• Gennem konsultationer med organisationer, hjælpe med at identificere risici for persondatabeskyttelse
• Samarbejde med andre databeskyttelsesmyndigheder

Datatilsynets kontaktoplysninger er:

Datatilsynet
Carl Jacobsens Vej 35
DK-2500 Valby
Denmark
Telefon +45 33 19 32 00
www.datatilsynet.dk