Artikel

Databehandling og GDPR

January 25, 2024
5 min læsning
Indhold
Mød forfatteren
Christian Visti

M.Sc. in Business Adm. and Auditing from Copenhagen Business School. 15 years of experience within Banking, Financial Legislation, FinTech and the Payment Solutions sector.

Databehandling og overholdelse

GDPR (Generel databeskyttelsesforordning) sætter en høj standard for databehandling af personoplysninger, og hvordan du dokumenterer dine handlinger. Derfor er det vigtigt, at du ved, hvad personlige data er, og hvordan de behandles korrekt.

I denne artikel dykker vi dybt ned i databehandling og forklarer:

  • Hvad er databehandling, og hvad betragtes som følsomme data?
  • Hvilke krav stiller GDPR til din databehandling?
  • Hvordan behandler du personoplysninger korrekt?
  • Hvad er der i en databehandleraftale?
  • Hvad er forskellen mellem en databehandler og en databehandler?

Hvad er databehandling, og hvad er følsomme data?

Databehandling er enhver aktivitet, hvor personoplysninger indsamles, registreres, lagres, analyseres, overføres, slettes, sælges osv. Begrebet defineres så bredt, at enhver kontakt med personlige oplysninger grundlæggende betragtes som databehandling.

Data defineres i dette tilfælde som formaliseret information, der typisk håndteres af en maskine eller en computer.

De fleste virksomheder og organisationer vil, i en eller anden form, håndtere eller behandle en eller anden type data, oftest Personlige data. GDPR definerer personoplysninger som: „enhver information vedrørende en identificeret eller identificerbar fysisk person („registreret“); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, især ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en online-identifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

Personoplysninger er typisk opdelt i to kategorier. Nogle lande har også en tredje kategori, mens andre anser kategorien „Fortrolige personoplysninger“ for at være af samme kategori som følsomme data.

  • Generelle eller almindelige personoplysninger: navne, e-mail-adresser, bopæl, ansættelsessted og andre faktuelle oplysninger, der er offentligt tilgængelige.
  • Følsomme personoplysninger (“ Særlig kategori af personoplysninger „): Sundhedsjournaler, oplysninger om forsøgspersonens etnicitet, religion eller seksuelle identitet. Disse data er mere personlige og bør derfor håndteres med større omhu.
  • Fortrolige personoplysninger: CPR-numre, strafferegistre og andre klassificerede oplysninger, der skal reguleres særskilt.

Hvilke krav stiller GDPR til din databehandling?

Ifølge GDPR Alle personoplysninger skal håndteres og behandles særligt og følsomt. Jo mere personlige eller private oplysningerne er, jo flere regler og forskrifter skal du overholde under behandlingen af dataene.

Hvis du vil vide mere om, hvordan du skal beskytte dine kunders personlige data, kan du læse vores artikel om datasikkerhed.

Her er et konkret eksempel på, hvad GDPR kræver af dig, når du behandler data: En virksomhed skal kontrollere, om et givet navn rent faktisk tilhører klienten. Dette er et krav under KYC som defineret i Direktivet om bekæmpelse af hvidvask af penge. Her skal du bruge autoritative datakilder, der bekræfter troværdigheden af oplysningerne. Du kan for eksempel gøre dette ved at se en kopi af deres pas eller kørekort. Du skal derefter dokumentere, at du har bekræftet deres identitet. Al denne databehandling skal ske i overensstemmelse med GDPR.

Er der forskel på databehandling og databehandling?

Datahåndtering og databehandling bruges ofte om hverandre.

Man kan dog sige, at databehandling er den overordnede betegnelse for både datahåndtering og dataudnyttelse.

Datahåndtering kan ses som en næsten passiv eller ikke-transformativ behandling af data, hvorimod du med dataudnyttelse gør noget med disse data, såsom at analysere, slette eller ændre dem.

Hvordan behandler du personoplysninger korrekt?

For at kunne behandle personoplysninger korrekt har du brug for:

  • Den lovlig ret og en legitimt formål
  • Samtykke fra den person, hvis personoplysninger du behandler
  • EN databehandleraftale

EN lovlig ret og en legitimt formål er forudsætninger, når du behandler personoplysninger. Dine rettigheder er begrænset af, om du behandler generelle eller følsomme personoplysninger.

Du har brug for samtykke fra personen hvis personoplysninger du behandler. Dette skal opfylde en række krav: det skal være frivilligt, begrænset eller specifikt, informeret og utvetydigt. Desuden skal du dokumentere og bekræfte, at du har indhentet samtykket korrekt.

Der er undtagelser for, hvornår en virksomhed kan få samtykke. Dette kan være, hvis det for eksempel er nødvendigt af omhu og due diligence over for personen, eller hvis der er en legitim grund til databehandleren, der ikke afløses af subjektets egne interesser.

Du kan læse mere om samtykke på GDPR.eu.

For det tredje har virksomhederne brug for en databehandleraftale. Dette er en kontrakt, der indeholder instruktioner til databehandleren om, hvordan oplysningerne skal behandles. Denne aftale er mellem datahåndtering og databehandler.

Hvad er der i en databehandleraftale?

En databehandleraftale skal give databehandleren klare instruktioner om, hvordan oplysningerne skal håndteres og behandles. Det er et juridisk bindende dokument, der skal være skriftligt og opbevares elektronisk.

Formålet med aftalen er at sikre, at personoplysningerne behandles og behandles ansvarligt og sikkert. Det er også vigtigt, at den indeholder krav til, hvordan og hvornår man skal kontakte dataadministratoren, hvis der er mistanke om sikkerhedsbrud eller misbrug. Hvis din virksomhed er databehandler, er det dit ansvar for at informere dataadministratoren om mistanke om misbrug eller brud på datasikkerheden.

Som en del af instruktionerne skal databehandleren også være forpligtet til at udføre årlige eller efter aftale revisioner for at dokumentere, at de følger instruktionerne og gældende lovgivning. Dette kan ske gennem en revisionsrapport, der skal certificeres af en ekstern revisor.

Du kan finde en skabelon til en databehandleraftale på GDPR.eu.

Hvad er forskellen mellem en databehandler og en databehandler?

Databehandleren og databehandleren er ikke den samme person.

Datahåndtereren er den part, der bestemmer, hvilke data der skal behandles, til hvilket formål og ved hjælp af hvilke værktøjer. Datahåndtereren definerer grundreglerne for, hvordan dataene skal behandles.

På den anden side er databehandleren den part, der udfører selve behandlingen på vegne af databehandleren.

Det er vigtigt at adskille de to, fordi de har forskellige krav. Den ene part, databehandleren, sikrer, at databehandlingen er i overensstemmelse med GDPR, mens den anden part, databehandleren, påtager sig ansvaret for at handle i overensstemmelse med de givne instruktioner.

Nemmere databehandling med Meo

Med Meo kan du nemt finde de oplysninger, du har brug for om dine kunder ved hjælp af en simpel søgning. Og personoplysninger slettes eller arkiveres korrekt, når en forretningsrelation slutter.

Platformen sørger for, at du overholder GDPR og gør det nemt at håndtere data for:

Onboarding

Ombord dine kunder ved hjælp af sikre kanaler.

Validering

Bestem dine krav til validering af oplysninger.

Dokumentation

Fuld log og sporing af handlinger og adgang.

Se, hvordan Meo kan hjælpe dig med at vinde stort for dine kunder.

Lad os vise dig, hvorfor Meo er det foretrukne valg for advokater og advokatfirmaer, der ønsker at automatisere deres AML-processer.
Book en demo
__wf_reserved_arv
Book en online konsultation
Vælg et passende tidspunkt for at diskutere dine forretningsbehov og udforske skræddersyede løsninger.
Book konsultation