Vejledning til register over databehandlingsaktiviteter

Den generelle forordning om databeskyttelse (GDPR) (EU-forordning 2016/679) regulerer grundlæggende, hvordan personoplysninger skal behandles på lovlig vis (herunder hvordan de generelt indhentes, anvendes, beskyttes eller interageres med). Formålet er at forbedre databeskyttelsen for alle personer, hvis personoplysninger falder inden for dens anvendelsesområde for at give kontrollen over personoplysninger tilbage til brugeren.

Det kan imidlertid være en teknisk udfordring at implementere førnævnte i praksis. Det gælder især dit register over databehandlingsaktiviteter. Brugere skal kunne beskrive, hvilke data de indsamler og til hvilke formål, de involverede parter samt andre oplysninger om virksomheden, herunder medarbejderdata.

I vores detaljerede GDPR-vejledning kan du finde flere baggrundsoplysninger om GDPR.

Formålet med denne vejledning er at vejlede dig gennem vores register over databehandlingsaktiviteter trin for trin.

Bemærk: Selvom GDPR er den primære årsag til at sætte mere fokus på dit register over databehandlingsaktiviteter, er vores værktøj ikke udelukkende udviklet til brug i henhold til GDPR. Det kan også bruges generelt til alle dine databehandlingsaktiviteter, ja, selv af virksomheder, som ikke har brugere/kunder i EU.

Læs videre, eller se hele videoen.

Skal min virksomhed føre optegnelser over databehandlingsaktiviteter i henhold til GDPR? 

Ifølge GDPR skal både dataansvarlige og databehandlere føre optegnelser over databehandlingsaktiviteter. Sådanne optegnelser skal være skriftlige, herunder i elektronisk form. Løsningen med et register over databehandlingsaktiviteter blev udviklet specielt til dataansvarlige og databehandlere med henblik på at opfylde dette krav.

Optegnelsen (også kaldet “registeret”) over databehandlingsaktiviteter skal udleveres til den tilsynsførende myndighed, hvis der anmodes om det.

Hvad ligger der i områder?

Områder er perimetre, inden for hvilke databehandlingsaktiviteter er homogene. Eksempler på områder er din hjemmeside, din mobilapp, fysiske butikker, medarbejdere, rekruttering, produktionsanlæg mv. For hvert område kan du beskrive, hvordan data behandles, ligesom du sikkert allerede gør med vores generator af privatlivspolitik eller generator af servicevilkår for relevante hjemmesider. Kort sagt er områder replikeringer på ‘hjemmesideenheden’, som er forbundet med hinanden, og som du kan oprette efter ønske.

Hvordan defineres medlemmer/roller?

På kontoniveau kan du tilføje medlemmer, som efterfølgende kan tilknyttes en bestemt rolle (fx “dataansvarlig” eller “databehandler”) eller et specifikt område.

I forbindelse med tilknytningen kan du vælge, hvilken rolle medlemmet skal have med følgende valgmuligheder:

• Dataansvarlig: Betyder en person eller juridisk enhed involveret i at definere formålet med og måden, personoplysninger behandles på.
• Medlem af den dataansvarliges organisation: Se nedenstående liste med eksempler
• Databehandler: Betyder en person eller juridisk enhed involveret i behandlingen af personoplysninger på vegne af den dataansvarlige
• Registreret (sommetider også kaldet bruger): Betyder en person, hvis personoplysninger behandles af den dataansvarlige eller databehandleren.

For eksempel kan en internetvirksomhed indsamle brugeroplysninger via deres hjemmeside og opbevare dem gennem en tredjeparts skytjeneste. I dette scenarie er internetvirksomheden den dataansvarlige, mens den organisation, der driver skytjenesten, er databehandleren.

Man kan faktisk tænke på det som en adressebog. Alle nuværende ejere er også medlemmer.

Bemærk: De standardværdier, du indtaster under afsnittet om områdemedlemmer, anvendes derefter som standard for hver tjeneste.

Følgende medlemmer er tilgængelige som standard:

• Medarbejdere
• Brugere
• EU-brugere
• Marketingafdeling
• HR-afdeling
• Økonomiafdeling
• Kundeservice
• Salgsafdeling
• R&D-afdeling
• Udviklingsafdeling
• Produktafdeling
• Juridisk afdeling
• PR-afdeling
• Business Intelligence-afdeling

Hvordan kan jeg konfigurere tjenester med de nye felter?

Din privatlivspolitik skal tilpasses fremgangsmåden for indsamling af personoplysninger på din hjemmeside eller i din app. Det gør du ved at tilføje en tjeneste.

Tjenester inddeles typisk i to kategorier:

• Tjenester vedrørende dine egne dataindsamlingsaktiviteter (fx kontaktformularer)
• Tjenester vedrørende tredjeparts dataindsamlingsaktiviteter (fx Google Analytics)

Når du overvejer, hvilke grundlæggende tjenester der skal tilføjes til din politik, kan det hjælpe at stille dig selv følgende spørgsmål:

• Hvilke brugeroplysninger indsamler jeg selv, og hvordan indsamler jeg dem?
  (fx nyhedsbrevsformularer, kontaktformularer, kommentarsystemer)
• Hvilke tredjepartstjenester bruger jeg på min hjemmeside/i min app? Der er stor sandsynlighed for, at disse tjenester på den ene eller anden måde også behandler brugeroplysninger og derfor skal tages med i din politik.

I næste afsnit vil vi gennemgå de nye felter, vi har udgivet, for at understøtte dit register over databehandlingsaktiviteter (du kan finde disse felter i det tilpasningsvindue, der åbnes, når du tilføjer en tjeneste). Vi tager det trin for trin for at sikre, at dit valg tilgodeser din specifikke situation.

Etiket og beskrivelse

Disse to felter er alene tænkt som en praktisk hjælp, så du kan beskrive tjenesten. Et eksempel på en etiket kunne være “DK datacenter” og den tilhørende beskrivelse kunne være “Datacenter i København”.

Region

Dette er et felt, som kun er relevant for nogle tjenester, hvor du kan specificere, om du opbevarer data i EU. Et godt eksempel på dette er “Amazon Web Services” (ofte forkortet til “AWS”).

Brugerdefinerede personoplysninger

Det er kun nogle tjenester, der har dette felt, som giver dig mulighed for at specificere, hvilken type persondata der indsamles gennem den pågældende tjeneste.

Juridisk grundlag for databehandling

I henhold til GDPR kan data kun behandles, hvis der er mindst ét juridisk grundlag for det.

De juridiske grundlag er:

• Brugeren har givet sit samtykke til ét eller flere specifikke formål.
• Databehandlingen er nødvendig for at opfylde en kontrakt, som brugeren er part i, eller for at kunne foretage handlinger (som brugeren har anmodet om) forud for indgåelse af kontrakten.
• Behandlingen er nødvendig for at opfylde en juridisk forpligtelse, som den dataansvarlige er underlagt
• Behandlingen er nødvendig for at beskytte brugeren eller en anden persons vitale interesser.
• Behandlingen er nødvendig for at udføre opgaver, som er i almenhedens interesse, eller under offentlig myndighedsudøvelse tillagt den dataansvarlige.
• Behandlingen er nødvendig for den dataansvarlige eller tredjeparts legitime interesser, medmindre sådanne interesser tilsidesættes af brugerens interesser, rettigheder og friheder, særligt hvis brugeren er et barn.

I vores værktøj kan du vælge mellem følgende muligheder:

• Samtykke: Samtykke indebærer, at man giver registrerede et reelt valg og kontrol. Reelt samtykke skal give registrerede kontrol, skabe tillid og engagement og forbedre dit omdømme. Det vedrører alle cookiebaserede sporingsværktøjer, som du indhenter samtykke for via cookiebanneret.
• Kontrakt: Alt det, du skal gøre for at levere tjenesten (hosting mv). Du kan bruge dette som juridisk grundlag, hvis du har brug for at behandle personoplysninger:
  • Med henblik på at opfylde dine kontraktlige forpligtelser over for brugerne, eller
  • fordi de har bedt dig om at gøre noget, inden de indgår kontrakt (for eksempel give et tilbud).
• Juridisk forpligtelse: Du kan bruge dette som juridisk grundlag, hvis du har brug for at behandle personoplysningerne for at overholde sædvaneret eller retlige forpligtelser: Dette gælder for eksempel fakturering.
• Vital interesse: Du vil formentlig kunne gøre de såkaldte vitale interesser gældende som juridisk grundlag, hvis du har behov for at behandle personoplysninger for at beskytte en persons liv. Behandlingen skal være nødvendig: Hvis du med rimelighed kan beskytte personens vitale interesser på en mindre indgribende måde, vil du ikke kunne gøre dette grundlag gældende.
• Offentlig opgave: Dette er mest relevant for offentlige myndigheder, men kan være relevant for alle organisationer, der udøver offentlig myndighed eller opgaver i almenhedens interesse.
• Legitim interesse: Legitime interesser er utvivlsomt det mest fleksible juridiske grundlag i forbindelse med databehandling, men du kan ikke gå ud fra, at det altid vil være det rigtige valg for din situation. Det vil formentlig være det rigtige valg, hvis du bruger personoplysninger på måder, som folk med rimelighed ville forvente, og med minimal indvirkning på privatlivet, eller hvor der er en tungtvejende begrundelse for behandlingen.
• Særlig kategori af oplysninger: Særlig kategori af oplysninger er personoplysninger, som i henhold til GDPR er mere følsomme og derfor har brug for beskyttelse. Det omfatter for eksempel oplysninger om en persons race, religion eller helbred.
• Oplysninger om strafbare handlinger: For at behandle personoplysninger om straffedomme eller lovovertrædelser skal du både have et lovligt grundlag for det i henhold til artikel 6 og enten have juridisk eller officiel bemyndigelse til behandlingen i henhold til artikel 10.

Juridisk grundlag for dataoverførsel uden for EU

Dette gælder kun, i det omfang at du overfører data uden for EU, så du skal vælge på baggrund af det.

Du kan vælge mellem følgende valgmuligheder:

• Ingen dataoverførsel: Selvforklarende.
• Afgørelser om tilstrækkelighed: En beslutning truffet af Europa-Kommissionen på baggrund af direktiv 95/46/EU, som fastlægger, at lande uden for EU yder et passende beskyttelsesniveau for personoplysningerne i henhold til national lovgivning eller de internationale forpligtelser, de har indgået.
• Bindende virksomhedsregler: Bindende virksomhedsregler har til formål at give multinationale virksomheder mulighed for at overføre personoplysninger fra Det Europæiske Økonomiske Samarbejdsområde (EØS) til deres tilknyttede selskaber uden for EØS i overensstemmelse med det 8. databeskyttelsesprincip og artikel 25 i direktiv 95/46/EU. Formålet med proceduren er at undgå, at du skal henvende dig separat til hver enkelt databeskyttelsesmyndighed. Find flere oplysninger i artikel 47.
• Fornødne garantier: Foreligger der ikke en beslutning i henhold til artikel 45, stk. 3, må en dataansvarlig eller databehandler kun overføre personoplysninger til et tredjeverdensland eller en international organisation, hvis den dataansvarlige eller databehandleren har truffet passende foranstaltninger og forudsat, at rettigheder og effektive retsmidler, som kan håndhæves for registrerede, er tilgængelige. Find flere oplysninger i artikel 46.
• Samtykke: Samtykke indebærer, at man giver registrerede et reelt valg og kontrol. Reelt samtykke skal give registrerede kontrol, skabe tillid og engagement og forbedre dit omdømme. Det vedrører alle cookiebaserede sporingsværktøjer, som du indhenter samtykke for via cookiebanneret.
• Standardbestemmelser om databeskyttelse vedtaget af Europa-Kommissionen: Europa-Kommissionen kan beslutte, at standardkontraktbestemmelser yder tilstrækkelige sikkerhedsforanstaltninger for databeskyttelse i forhold til de data, der overføres internationalt. Kommissionen har indtil videre udgivet to sæt standardkontraktbestemmelser fra dataansvarlige i EU til dataansvarlige uden for EU eller Det Europæiske Økonomiske Samarbejdsområde (EØS). Det drejer sig om 2001/497/EU og 2004/915/EU.
• Samfundets interesse: Dette er mest relevant for offentlige myndigheder, men kan være relevant for alle organisationer, der udøver offentlig myndighed eller opgaver i almenhedens interesse.
• Fastsættelse, håndhævelse eller forsvar af retskrav:
• Vital interesse: Du vil formentlig kunne gøre de såkaldte vitale interesser gældende som juridisk grundlag, hvis du har behov for at behandle personoplysninger for at beskytte en persons liv. Behandlingen skal være nødvendig: Hvis du med rimelighed kan beskytte personens vitale interesser på en mindre indgribende måde, vil du ikke kunne gøre dette grundlag gældende.

Vedrørende behandling af personoplysninger

Dataansvarlig
Betyder en person eller juridisk enhed involveret i at definere formålet med og måden, personoplysninger behandles på.

Databehandler
Betyder en person eller juridisk enhed involveret i at behandle personoplysninger på vegne af den dataansvarlige

Medlemmer af den dataansvarliges organisation
Et almindeligt eksempel på sådanne medlemmer er medarbejdere i en given virksomhed/organisation.

Registrerede
Kan for eksempel være brugeren på en given hjemmeside eller i en app, kunder i en fysisk butik eller betalende klienter.

Tilgængelige rettigheder

Under normale omstændigheder skal alle emner med “samtykke” som juridisk grundlag for databehandling have alle rettigheder markeret. Med vores løsning får du følgende valgmuligheder:

• Information: Registrerede har ret til at blive informeret om indsamlingen og brugen af deres personoplysninger. Dette er et vigtigt gennemsigtighedskrav i henhold til GDPR.
• Adgang: Registrerede har ret til at få adgang til deres personoplysninger og supplerende oplysninger. Retten til adgang giver registrerede mulighed for at få kendskab til og bekræfte lovligheden af behandlingen.
• Berigtigelse: I henhold til GDPR har registrerede ret til at få rettet forkerte eller unøjagtige personoplysninger eller suppleret dem, hvis de er ufuldstændige. En registreret person kan anmode om dette enten mundtligt eller skriftligt.
• Sletning: I henhold til GDPR har registrerede også ret til at få slettet personoplysninger (også kaldet “retten til at blive glemt”). En registreret person kan anmode om sletning enten mundtligt eller skriftligt.
• Begrænsning af behandling: Registrerede har ret til at anmode om begrænsning eller sletning af deres personoplysninger. Det er imidlertid ikke en absolut ret, så den gælder kun i visse situationer. Du kan finde mere information her.
• Dataportabilitet: Retten til dataportabilitet giver registrerede mulighed for at få udleveret og genbruge deres personoplysninger til egne formål på tværs af tjenester. Det giver dem mulighed for nem og sikker flytning, kopiering eller overførsel af personoplysninger fra ét it-miljø til et andet uden at påvirke brugervenligheden.
• Formål: Registrerede har retten til at gøre indsigelse mod:
  • Behandling baseret på legitime interesser eller udførelsen af en opgave i almenhedens interesse/udøvelse af offentlig myndighed (herunder profilering),
  • direkte markedsføring (herunder profilering) og
  • behandling med henblik på videnskabelige eller historiske forskningsformål og statistikker.

Opbevaringspolitik

Dette felt vedrører, hvor længe data opbevares. Standardindstillingen er “opbevaring af oplysningerne i det tidsrum, det er nødvendigt for at opfylde formålet” og vil gælde i de fleste situationer. Derudover kan du vælge en periode fra 1 op til 5 år.

Sikkerhedsforanstaltninger

Almindelig eksempler er den anvendte krypteringsmetode eller sårbarhedsvurderinger/penetrationstest, dvs. at dine tekniske systemer skal testes jævnligt med henblik på at evaluere sikkerheden i og fleksibiliteten af dine systemer.

En anden vigtig foranstaltning er den såkaldte “sikkerhedskopiering og opbevaring af medier til sikkerhedskopiering”, hvori ligger, at det anbefales at opbevare medier til sikkerhedskopiering på et dedikeret sted, som kun det ansvarlige personale har adgang til. Der skal følges op på sikkerheden omkring dette sted mindst én gang årligt.

Det anbefales også at installere og vedligeholde en firewall. Det tilrådes at gennemgå de nuværende konfigurationer, administrere tilladelser for systembrugere, kontrollere, at systemet er opdateret og bagefter fortsætte med installationen på bærbare enheder. GDPR foreskriver allerede, at man skal have en firewall, hvorfor det skal anses for at være en sikkerhedsforanstaltning, der som minimum skal være på plads, i henhold til de nuværende standarder.

Fra værktøjet vil du kunne vælge mellem følgende valgmuligheder:

• Kryptering: Kryptering er en almindeligt anvendt proces, hvor data ændres til en kodet, uforståelig tekst ved hjælp af krypteringsalgoritmer og en krypteringsnøgle, og en dekrypteringsnøgle eller kode gør det muligt for andre at afkode krypteringen igen.
• Anonymisering: Artikel 26 i GDPR definerer anonymiserede data som “personoplysninger, der er gjort anonyme på en sådan måde, at den registrerede ikke længere er identificerbar”.
• Pseudonymisering: Pseudonymisering er fjernelsen af direkte identifikatorer, så koblingen til en identitet ikke er mulig uden yderligere oplysninger, som opbevares separat. Det kan derfor reducere de risici, der er forbundet med databehandlingen, samtidig med at dataene bevarer deres anvendelighed.
• Overvågning: Regelmæssige datarevisioner samt øvelser i gennemgang og styring af data er nogle af de løbende krav, der stilles for at sikre løbende overholdelse af GDPR.
• Adgangsbegrænsning: Dette vedrører begrænset adgang til alle personligt identificerbare oplysninger, der indsamles og opbevares om en registreret i EU.

Hvad betyder knappen “Tilføjelse af alternativer”?

For en grundig beskrivelse af din databehandling i henhold til GDPR skal du være meget detaljeret, når du beskriver din fremgangsmåde for dataindsamling. Et almindeligt scenarie er en hjemmeside med flere forskellige kontaktformularer med forskellige målgrupper, eller hvor data deles med forskellige parter. Et andet eksempel er, når du har to forskellige nyhedsbreve til forskellige brugergrupper eller kunder.

Vores værktøj til register over databehandlingsaktiviteter giver dig mulighed for at tilføje forskellige versioner af samme tjeneste.

Praktiske eksempler

Lad os gennemgå en række specifikke eksempler for at konkretisere ovenstående (inklusive vores “alternative valgmuligheder”):