Artikel

Hvad er personoplysninger? Ejerskab, behandling og sikkerhed

October 21, 2024
5 min læsning
Indhold
Mød forfatteren
Christian Visti

M.Sc. in Business Adm. and Auditing from Copenhagen Business School. 15 years of experience within Banking, Financial Legislation, FinTech and the Payment Solutions sector.

Alt hvad du behøver at vide om personlige data

I denne digitale tidsalder og med vedtagelsen af den generelle databeskyttelsesforordning (GDPR) har der været et øget fokus på personoplysninger og den måde, virksomheder håndterer deres kunders oplysninger på. Personlige data deles af borgere og kunder hele tiden - med både virksomheder og regeringer. Og organisationer, der ikke har en ordentlig håndtering af personlige data, risikerer store bøder og sanktioner.

Fordi dette er et så vigtigt emne for virksomheder, har vi skrevet denne omfattende guide og ofte stillede spørgsmål, så du bedre kan forstå, hvad personlige data er - og hvordan du skal håndtere dem i henhold til GDPR. Vi vil svare:

  • Hvad er personoplysninger?
  • Hvad er GDPR (General Data Protection Regulation)?
  • Personoplysninger i et forretningsmæssigt perspektiv
  • Hvornår anses virksomheder for at behandle personoplysninger?
  • Hvem ejer personlige data?
  • Sikker behandling af personoplysninger
  • Sådan hjælper Meo virksomheder med at indsamle, verificere og gemme personlige data på en sikker og nem måde, der også er 100% GDPR-kompatibel.

Læs mere om platformen her eller book en demo for at høre mere om, hvordan vi kan hjælpe din virksomhed med KYC-overholdelse.

Hvad er personoplysninger?

For at forstå, hvad personlige data er, lad os starte med en definition. Personoplysninger defineres af EU i den generelle databeskyttelsesforordning som:

“ Personoplysninger „: alle oplysninger vedrørende en identificeret eller identificerbar fysisk person (“ registreret „); en identificerbar fysisk person er en person, der direkte eller indirekte kan identificeres, navnlig ved henvisning til en identifikator såsom et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller til en eller flere faktorer, der er specifikke for den fysiske persons fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet.

- Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016

Personoplysninger er med andre ord alle oplysninger, der kan bruges til at identificere en person. I henhold til denne definition omfatter personoplysninger en række forskellige informationer, herunder:

  • Et navn
  • Et foto
  • E-mail-adresse
  • Oplysninger om en persons etnicitet
  • En lydfil
  • IP adresse
  • Strafferegister
  • CPR-nummer
  • Listen over personoplysninger er derfor potentielt uudtømmelig.

Alle oplysninger relateret til en identificeret eller identificerbar person er personlige data. Oplysninger såsom data om medfødte sygdomme hos en persons bedsteforældre er også personoplysninger.

GDPR skelner dog mellem forskellige typer af personoplysninger, som skal behandles eller håndteres på mindre og mere restriktive betingelser:

Generelle personoplysninger

Disse omfatter personoplysninger såsom navne, e-mails, adresser, ansættelsessted osv. Det er faktuelle oplysninger, der ofte er offentligt tilgængelige.

Følsomme personoplysninger (“ særlige kategorier af personoplysninger“)

Såsom sundhedsdata, etnicitet og seksuel identitet. Disse typer data er meget personlige og skal behandles med ekstra omhu.

CPR-numre og straffeattest (“ særlige kategorier af personoplysninger „)

Offentlige oplysninger såsom personnumre og strafferegistre er også en del af særlige kategorier af personoplysninger. I nogle EU-lande betragtes disse som en særskilt kategori, da de omfatter klassificerede eller beskyttede oplysninger, der skal beskyttes mere end selv traditionelle følsomme personoplysninger.

Hvad er GDPR (General Data Protection Regulation)?

GDPR, eller den generelle databeskyttelsesforordning, er en lovramme og et direktiv i EU-lovgivningen om databeskyttelse og privatliv i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde. Det gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.

Dets officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Læs mere om databeskyttelsesforordningen (GDPR).

Hvad er personoplysninger i et forretningsmæssigt perspektiv?

Personoplysninger er i sidste ende den mest værdifulde information, som virksomheder indsamler og behandler. Uden disse data er det ikke muligt at drive en virksomhed i en så digitaliseret verden.

På forbrugerniveau ville folk ikke være i stand til at bruge nutidens digitale muligheder, dvs. oprette en bankkonto, få leveret en pakke eller på nogen måde købe vitale digitale tjenester uden frigivelse af en eller anden form for personoplysninger. Der er selvfølgelig visse udbydere af tjenester og produkter, der ikke har brug for personlige data - for eksempel hvis du køber en hotdog hos en sælger og betaler kontant.

Med undtagelse af eksempler som ovenfor er størstedelen af interaktionerne mellem enkeltpersoner og virksomheder baseret på en vis deling eller udveksling og behandling af personoplysninger. Den stigende digitalisering af samfundet og brugen af personaliserede data giver også anledning til bedre og mere målrettede tjenester. Derfor kan udveksling af personoplysninger anses for nødvendig eller endog væsentlig for både forbrugere og virksomheder.

Reglerne for, hvordan virksomheder behandler personoplysninger, er ret omfattende og dækker blandt andet sikker opbevaring af personoplysninger.

Læs mere om reglerne her.

Hvad er behandling af personoplysninger?

Behandling af personoplysninger henviser til aktiviteter såsom indsamling, opbevaring, brug, overførsel, sikkerhed og videregivelse af personoplysninger. Alle aktiviteter vedrørende personoplysninger, fra planlægning af behandling til fjernelse af personoplysninger, udgør behandling af personoplysninger.

Når en virksomhed behandler data, vil der altid være behov for en databehandler og en dataansvarlig. Disse to roller er ikke de samme, men er begge nødvendige at have. I det følgende kan du finde en definition af hver rolle, og hvad den indebærer.

En dataansvarlig er en person eller en organisation, der bestemmer formålene og midlerne til behandling af personoplysninger. En dataansvarlig kan være en forening, der indsamler oplysninger om sine medlemmer, et hospital, der behandler patientjournaler, en online butik eller en social medietjeneste.

En databehandler er en person eller en organisation, der behandler personoplysninger på vegne af en dataansvarlig. En databehandler kan være et agentur, der håndterer visse processer i en anden virksomhed, eller en it-tjenesteudbyder, der har adgang til de personoplysninger, der indsamles af den dataansvarlige.

Hvornår kan virksomheder behandle personoplysninger i henhold til GDPR?

GDPR - og efterfølgende lokale love - gælder i det øjeblik virksomheder 'behandler' personlige oplysninger. Men som nævnt tidligere kan behandlingen af personoplysninger antage mange former. Fordi definitionen er så bred, forekommer den i virkeligheden i det øjeblik, en virksomhed kommer i kontakt med personlige oplysninger.

I henhold til definitionen i GDPR gælder behandling af personoplysninger for alle de måder, hvorpå du håndterer personlige oplysninger. Dette omfatter indsamling, optagelse, organisering, systematisering, lagring, redigering, ændring, søgning, brug, deling, transmission, sikring, formidling, sletning — og meget mere.

Verifikation af oplysninger

Et specifikt eksempel kan være, når virksomheder har brug for at kontrollere, at et givet navn faktisk tilhører en person. Virksomheden udtrækker verifikationsdataene fra et netværk, som personen bruger - eller fra yderligere datakilder, der har myndighed til at verificere sandheden af oplysningerne. Dette er især relevant for virksomheder, der er omfattet af direktivet om bekæmpelse af hvidvaskning af penge (AML).

Hvis bare et Den type af ovenstående handlinger forekommer, betragtes det som behandling i henhold til GDPR. For at leve op til EU-lovgivningen bør alle virksomheder overveje databehandling i det øjeblik, de kommer i kontakt med personoplysninger.

Læs mere om databeskyttelsesforordningen (GDPR).

Hvem ejer personlige data?

Hvem ejer personoplysninger efter indsamling?

GDPR markerede et grundlæggende skift i, hvordan et bredere samfund ser på dataejerskab. Før var det ikke nødvendigvis klart, hvem der faktisk ejede dataene, efter at de var blevet udvekslet mellem to parter. Brugerrettigheder og retten til at få indsigt i, hvilke personoplysninger der opbevares af virksomheder, var ofte uklar.

GDPR bidrog til at afklare disse spørgsmål og principper. Det blev fastslået, at den, der ejer personoplysninger, er den person, der er repræsenteret af oplysningerne. Virksomheder har lov til at behandle og bruge de givne data, men ejerskabet og rettighederne vil altid tilhøre den registrerede.

Data tilhører den person, der er repræsenteret af oplysningerne.

Privatpersoners rettigheder

Hvilke rettigheder har privatpersoner i forhold til deres personoplysninger?

Det skift, der er skabt af GDPR — som tydeliggjorde ejendomsretten til data — førte til, at de registrerede personer får ret til indsigt, eller subjektets adgang, til de data, som virksomhederne lagrer om dem. En ret, som naturligvis også er vigtig for virksomhederne at forstå, da de er forpligtet til at leve op til love og regler.

Med undtagelse af visse usædvanlige tilfælde har privatpersoner ret til at kontakte virksomheder, som de mener behandler eller opbevarer personoplysninger, og få indsigt i, hvilke data de besidder, til hvilket formål de anser for gyldige til behandling af dine personoplysninger; og hvornår samtykke til denne type behandling blev givet.

Læs mere om retten til indsigt (Subject Access).

Denne nye forståelse af dataejerskab fører os til de seks principper for, hvordan virksomheder skal behandle personoplysninger. Find definitionen af sikring af personoplysninger, og læs mere nedenfor.

Sikker behandling af personoplysninger

Grundlæggende kræver GDPR, at virksomheder beskytter både interne personoplysninger (om f.eks. medarbejdere) og eksterne personoplysninger (om f.eks. andre kunder, forretningspartnere, kriminelle) ved hjælp af tilstrækkelige sikkerhedsforanstaltninger.

Det er op til hver virksomhed at vurdere, hvilke sikkerhedsforanstaltninger der gælder i forskellige situationer.

Virksomheder opdeler typisk disse sikkerhedsforanstaltninger i to kategorier:

Tekniske sikkerhedsforanstaltninger: Blandt andet stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.
Organisatoriske sikkerhedsforanstaltninger: Blandt de andre beskrevne procedurer kan virksomheder vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.

Hvis du håndterer følsomme personoplysninger (som defineret ovenfor), skal du implementere strengere sikkerhedsforanstaltninger. De valgte foranstaltninger er baseret på risikovurdering, som er en del af GDPR's risikobaserede tilgang til databeskyttelse.

Læs mere om databeskyttelse her.

Sådan kommer du i gang med personoplysninger under GDPR (de 6 principper)

Er du interesseret i de grundlæggende principper i GDPR, kan du læse Kapitel 2, artikel 5 i den generelle forordning om databeskyttelse.

Dette skitserer de seks grundlæggende principper for, hvordan virksomheder har brug for at nærme sig personoplysninger. Vi vil forklare hver enkelt her:

1. „Lovlighed, retfærdighed og gennemsigtighed“

Din virksomhed skal være gennemsigtig med kunder og kunder om, hvordan du behandler deres personoplysninger. For eksempel skal sproget i skriftlig kommunikation, såsom e-mails, være klart og let at forstå. Kunderne skal vide, hvad der sker - og hvorfor. Undgå stumt sprog eller omfattende teknisk jargon, og sæt tid til at udvikle gode, læselige skabeloner til brug i fremtiden.

Al behandling af personoplysninger skal være retfærdig, sikker og baseret på bedste praksis (f.eks. ved at bruge den bedste tilgængelige teknologi).

Og endelig skal din behandling af personoplysninger være lovlig. Du skal handle i lovens ånd og bogstav, når du behandler personoplysninger. Dette inkluderer indhentning af samtykke fra kunder og kunder, da det er dem, der ejer personoplysningerne.

2. “ Formålsbegrænsning“

Du kan kun indsamle personoplysninger til specifik formål. Og det er vigtigt, at du informerer dine kunder, at du gør dette. Dette indebærer også, at du kun bruger personoplysninger i den sammenhæng, kunden har givet samtykke til.

3. “ Dataminimering“

„Behov for at have“ er centralt for dataminimering. Grundlæggende kan du kun indsamle de nøjagtige personlige data, der er nødvendige for at opfylde dit udtrykte mål eller formål.

4. 'Nøjagtighed'

Sikring af nøjagtighed af de personlige oplysninger er en løbende proces. Af den grund skal du opdatere dataene samtidig. Desuden skal du rette eller slette data, der er unøjagtige eller ubrugelige til det specifikke formål, de er nødvendige for.

5. “ Opbevaringsbegrænsning“

Du kan kun gemme personlige data Så længe det er nødvendigt. Derfor er du nødt til løbende at spørge dig selv: har vi stadig et formål med at gemme disse data? Det kan være en god ide at have en halvårlig eller årlig begivenhed, hvor du evaluerer dine gemte data.

6. „Integritet og fortrolighed“

Den integritet af dataene skal vedligeholdes. Det betyder at sikre dataens nøjagtighed og troværdighed over tid.

Samtidig skal du behandle og håndtere dataene med stor omhu og selvtillid. Du kan ikke tillade nogen at få adgang til dataene. Det gælder for personer uden for din organisation (for eksempel hackere), men også personer indefra (for eksempel kolleger).

For at sikre dette har du brug for tilstrækkelige og tilstrækkelige sikkerhedsforanstaltninger. Sikkerhedsniveauet kan variere fra virksomhed til virksomhed. Som nævnt tidligere er både teknisk og organisatorisk sikkerhed to metoder til beskyttelse af dataene.

Hvis du har styr på de seks principper, er du kommet langt i retning af korrekt behandling af personoplysninger. Og det betaler sig at arbejde inden for reglerne. Overtrædelse af GDPR kan resultere i bøder og sanktioner.

Håndhævelsestracker kan give dig et overblik over bøder og sanktioner for overtrædelse af GDPR i EU og EØS.

Hvad kan der gøres i processen med at sikre personoplysninger?

Data kan beskyttes på forskellige måder, og derfor er der som sådan ingen manual til, hvordan man præcist gør det. Nogle metoder kan dog være bedre end andre.

Du kan opnå optimal beskyttelse af personlige data gennem godt design og gode standardindstillinger.

Et godt databeskyttelsesdesign gør det muligt for din virksomhed at tage datasikkerhed i betragtning tidligt i processen, når man planlægger nye måder at behandle personoplysninger på. Her kan og bør den dataansvarlige træffe alle nødvendige tekniske og organisatoriske beslutninger for at implementere databeskyttelsesprincipper og beskytte enkeltpersoners rettigheder. Dette kan for eksempel omfatte brugen af pseudonymisering.

Databeskyttelse med gode standardindstillinger inkluderer at sikre, at virksomheden altid har den højeste databeskyttelsesindstilling som standardindstilling. Hvis der for eksempel er to forskellige privatlivsindstillinger tilgængelige, og en af indstillingerne sikrer, at andre ikke kan få adgang til de personlige data, bør denne indstilling være standardindstillingen.

Hvem er Meo?

Meo er en dansk RegTech-virksomhed, der ejer, udvikler og driver en identitetsstyringsplatform til håndtering af kundedata, Meo. Vores mål er at få virksomheder til at dele data sikkert og dermed forhindre upassende situationer og risici som hvidvaskning af penge, korruption og sikre overholdelse af loven.

Læs mere om Meo i vores Om sektion. Find ud af mere om Meo nedenfor.

Meo — behandling af personoplysninger nemt og sikkert

Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene. Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Ombord dine kunder digitalt - ved hjælp af sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet spor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav — både GDPR og AML.

Se, hvordan Meo kan hjælpe dig med at vinde stort for dine kunder.

Lad os vise dig, hvorfor Meo er det foretrukne valg for advokater og advokatfirmaer, der ønsker at automatisere deres AML-processer.
Book en demo
__wf_reserved_arv
Book en online konsultation
Vælg et passende tidspunkt for at diskutere dine forretningsbehov og udforske skræddersyede løsninger.
Book konsultation