Myter om databeskyttelsesreglerne

Der er en del myter om, hvad databeskyttelse betyder i praksis. Her har vi samlet en del af dem og givet dem et par ord med på vejen.

"Virksomheder må kun bruge mine oplysninger, hvis jeg giver dem lov til det."

Nej - samtykke er et af flere retlige grundlag for at behandle personoplysninger. Grundlaget kan fx også været at opfylde en aftale eller en retlig forpligtelse.

"På grund af databeskyttelsesreglerne er det slut med fødselsdagslisten på kontoret."

Nej, det vil normalt være helt i orden at have en liste over folks fødselsdage - Datatilsynet har faktisk selv sådan en liste på intranettet! Men hvis en kollega ikke ønsker sin fødselsdato delt med andre, skal man lave en ny vurdering ift. delingen af denne persons oplysninger.

"På grund af databeskyttelsesreglerne er det slut med at dele deltagerlister ud på kurser og seminarer."

Nej, som udgangspunkt er det helt fint at dele deltagerlister ud til deltagerne. Man skal bare huske oplysningspligten og fx fortælle deltagerne ved tilmeldingen, at man vil dele deres oplysninger med de andre deltagere - så har man også mulighed for at sige fra, hvis man ikke ønsker at optræde på sådan en liste.

”Det må fremgå af databeskyttelsesreglerne, hvornår vi skal slette folks oplysninger.”

Nej, databeskyttelsesreglerne indeholder ingen facitlister for, hvornår man skal slette personoplysninger - slettefrister afhænger altid af en konkret vurdering. Der kan dog være anden lovgivning, der angiver, hvor længe en bestemt type oplysning som minimum skal gemmes.

”Hvis jeg vil bruge mine rettigheder og fx have mine oplysninger slettet, skal jeg starte med at klage til Datatilsynet.”

Ikke som det første, nej. Når du gerne vil bruge dine rettigheder og fx bede en virksomhed slette nogle oplysninger om dig, bør du nemlig som udgangspunkt først kontakte virksomheden og anmode om, at oplysningerne bliver slettet. Imødekommer virksomheden ikke din anmodning, kan du klage til os.

"Ifølge databeskyttelsesreglerne må vi ikke hænge vagtplaner op i frokoststuen."

Jo, det vil normalt være helt i orden at have en vagtplan hængende i frokoststuen, hvor det kun er virksomhedens egne medarbejdere, der færdes.

”Vi behandler ikke følsomme oplysninger, så vi behøver ikke at bekymre os om reglerne i databeskyttelsesreglerne”

Jo, databeskyttelsesreglerne gælder for behandling af alle typer personoplysninger – både almindelige personoplysninger, som fx navn, adresse og telefonnummer, og følsomme personoplysninger, som fx helbredsoplysninger. Begrebet personoplysning er ret bredt defineret og omfatter enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger. Hvis man som organisation behandler sådanne typer af oplysninger, skal man sikre sig, at man gør det i overensstemmelse med loven.

"På grund af databeskyttelsesreglerne må man ikke længere sende e-mails med navn og adresse som et led i sit arbejde, hvis ikke e-mailen er krypteret.”

Jo, det må man som udgangspunkt gerne. Oplysninger om navn og adresse er som udgangspunkt hverken følsomme eller fortrolige personoplysninger, og derfor vil risikoen for den registrerede (den der videregives oplysninger om) som regel være forholdsvist lille, hvorfor e-mailen ikke behøver at være krypteret.

”Når bare vi har erstattet personoplysninger med en kode, er der tale om anonyme oplysninger, og derfor skal vi ikke længere bekymre os om databeskyttelsesreglerne.”

Jo, i sådan et tilfælde skal I stadig være opmærksomme på databeskyttelsesreglerne. Reglerne finder nemlig anvendelse, da der stadig er tale om personoplysninger. Selv om oplysninger som et navn eller en adresse er erstattet af en kode, fx AB123, er det stadig en personoplysning, hvis koden kan føres tilbage til den oprindelige personoplysning. Det er tilfældet, så længe der er nogen, der kan gøre oplysningerne læsbare og identificere de personer, det drejer sig om. Oplysninger er kun anonyme, og derved ikke beskyttet af databeskyttelsesreglerne, hvis ingen fysiske personer kan identificeres ud fra oplysningerne eller i kombination med andre oplysninger – og hvis anonymiseringen er uigenkaldelig.

”Databeskyttelsesreglerne er ikke så vigtige for mig som borger - reglerne er mest noget, virksomheder skal forholde sig til."

Nej, databeskyttelsesreglerne er også vigtige for dig som borger – det er nemlig dine oplysninger, der er omdrejningspunktet for reglerne. Og selv om du som borger har færre forpligtelser end virksomhederne, har du en række vigtige rettigheder, herunder ret til at få at vide, hvilke oplysninger der behandles om dig, og som udgangspunkt ret til sletning eller berigtigelse.

”Vores forening er for lille til at være omfattet af databeskyttelsesreglerne”

Nej, databeskyttelsesreglerne gælder for behandling af personoplysninger, uanset størrelsen af den organisation eller virksomhed, der foretager behandlingen.

"Hvis vi opbevarer data hos en cloud-tjeneste, så er det kun cloud-tjenestens udbyder der har pligt til at efterleve databeskyttelsesreglerne.”

Nej. Det er en udbredt misforståelse, at det er cloud-tjenestens udbyder – og ikke den enkelte virksomhed – der skal opfylde reglerne om databeskyttelse.

Når man som dataansvarlig virksomhed lagrer data hos en cloud-tjeneste, er det virksomhedens pligt at efterleve reglerne og herudover instruere cloud-tjenestens udbyder i, hvordan data skal behandles – ellers kan det medføre en bøde.

”En offentlig myndighed eller en privat virksomhed behøver ikke en specifik grund til at behandle mine personoplysninger. Det er altid tilladt.”

Nej. Man skal altid have et retligt grundlag – også kaldet en hjemmel, når man som dataansvarlig behandler personoplysninger. Derudover skal nogle grundlæggende principper altid være opfyldt, når der er tale om en behandling under databeskyttelsesreglerne.

"Man må ikke modtage jobansøgninger på mail, fordi det er et brud på databeskyttelsesreglerne.”

Nej. Der er som udgangspunkt ikke noget i vejen med at modtage ansøgninger på mail, men man skal huske at håndtere ansøgningerne forsvarligt, når man først har modtaget dem.

"Nu har vi fået samtykke til at bruge oplysningerne - så kan folk ikke bare ombestemme sig."

Jo, et samtykke kan til enhver tid tilbagekaldes. Det betyder, at hvis man som eksempelvis borger eller kunde har givet samtykke til brug af ens personoplysninger, kan man uden videre henvende sig og sige, at man trækker samtykket tilbage igen.

Og hvis man som dataansvarlig baserer sin behandling af personoplysninger på et samtykke, skal behandlingen ophøre, når samtykket bliver tilbagekaldt.

”På grund af databeskyttelsesreglerne må vi ikke længere spørge om allergier og religiøse hensyn, når vi bestiller mad til julefrokosten.”

Det er ganske rigtigt en dårlig idé at registrere, hvilke medarbejdere der er muslimer eller ikke kan tåle skaldyr. Men der er intet galt i at spørge, om der er noget, folk ikke spiser - så kan det dække over både tro, helbred og det, at man virkelig bare ikke bryder sig om sild.

”Hvis man gemmer sine venners telefonnumre, fødselsdatoer osv. på sin telefon, skal man oplyse dem om, at man behandler deres personoplysninger.”

Nej, det behøver man ikke - databeskyttelsesreglerne gør sig ikke gældende i rent private sammenhænge.

”Ifølge databeskyttelsesreglerne skal jeg udlevere oplysninger om mig selv.”

Nej, databeskyttelsesreglerne handler kun om, hvornår fx en organisation kan og må behandle personoplysninger. Reglerne fastslår ikke, hvornår en offentlig myndighed, privat virksomhed e.l. har krav på at få oplysninger om dig. Det kan dog sagtens følge af anden lovgivning, at du har pligt til at udlevere oplysninger om dig selv.

”Jeg må hellere lade være med at kontakte Datatilsynet og spørge om vi gør tingene rigtigt – for hvis vi har misforstået noget, kommer de bare på tilsyn.”

Nej - Datatilsynet besvarer mange tusind spørgsmål skriftligt og telefonisk hvert år, og vores vejledningsindsats handler i udgangspunktet om at hjælpe folk med at få svar på deres spørgsmål. Det vigtigste for os er jo, at reglerne bliver overholdt, og derfor skal man trygt kunne ringe til os og få hjælp til at forstå reglerne. Og vi arbejder på at blive endnu bedre til at give svar, der er så konkrete som muligt, og hjælpe folk videre i processen.

”CPR-nummeret er en af de mest følsomme personoplysninger, vi har.”

Ja og nej. CPR-nummeret er ikke defineret som en følsom oplysning - en kategori, der ellers rummer oplysninger om bl.a. seksualitet, religion og politisk overbevisning.

Når det er sagt, er der stadig god grund til at passe på sit CPR-nummer, og Datatilsynet råder generelt til, at man tænker sig om, før man deler det med andre. Det skyldes bl.a. risikoen for identitetstyveri.

”Forsikringsselskabet skriver til min Gmail – det er jo ikke sikkert, så jeg må hellere klage til Datatilsynet.”

Nej, det behøver man ikke. Det er som regel ikke i strid med databeskyttelsesreglerne, at virksomheder og myndigheder sender oplysninger til borgeres almindelige mail, da transmissionen i langt de fleste tilfælde vil være krypteret.

Datatilsynet modtager ofte klager fra borgere, der modtager oplysninger på deres almindelige mail - typisk fordi det vedrører følsomme personoplysninger.

Det er også rigtigt nok, at Datatilsynet kræver, at følsomme oplysninger sendes krypteret. Men almindelige private mailkonti - fx Gmail, Outlook og ProtonMail - kan også modtage krypterede mails.

De myndigheder og virksomheder, der har mulighed for at sende oplysningerne som Digital Post ved anvendelse af MitID bør gøre dette - men mindre virksomheder o.l. kan sagtens sende til almindelige mailservices, hvis bare de sørger for at kryptere med det, der hedder TLS, og de sikrer sig, at de modtages krypteret.