GDPR

Question 1

Profilering

Answer 1

Enhver form for automatisk behandling, der har til formål at bestemme personlige forhold ved en specifik fysisk person, primært for at analysere og forudsige en persons, arbejdsforhold, økonomi, helbred, personlige præferencer osv.

Question 2

GDPR - Artikel 10

Answer 2

Beskriver hvordan personlige oplysninger, når de vedrører straffedomme eller lovovertrædelser, skal behandles

Question 3

GDPR - Artikel 9

Answer 3

Artikel der dikterer hvordan følgende data skal behandles:

• Race eller etnisk oprindelse
• Politisk-, religiøs- eller filosofisk overbevisning
• Fagforeningsmæssigt tilhørsforhold
• Genetiske data og Biometriske data

Question 4

Graden af personoplysninger

Answer 4

Almindelige: Navn, Adresse, Telefonnummer mv. Registrerede SKAL give samtykke til behandling
Oplysninger der IKKE skader dig

Semi-følsomme: CPR-nummer og strafbare forhold
Bliver bedre beskyttet end almindelige, dog ikke ligeså stærkt som Følsomme data
Anses som almindelige jf. GDPR

følsomme: Politisk-, seksuelle- og religiøs overbevising, helbredsoplysninger
Disse må ikke behandles - undtagelse: Hvis personen giver udtrykkeligt samtykke eller hvis p
personen selv har offentliggjort oplysningen.

Question 5

De to typer persondata

Answer 5

• Personhenførbare data (Data der, hvis parret sammen, kan lede til dig)
• Personfølsomme data (Data der direkte fortæller om dit helbred, økonomi eller lign)

Question 6

Den registrerede + Rettigheder

Answer 6

Den som oplysningerne vedrører.

• Oplysningspligt
• Indsigtsret og ret til korrektion
• Ret til indsigelse
• Ret til sletning / Retten til at blive glemt
• Ret til dataportabilitet

Question 7

Dataansvarlig

Answer 7

Den som behandler data eller på hvis vegne data bliver behandlet

o Den fysiske eller juridiske person, der alene eller sammen med andre bestemmer formålet med
behandlingen af den indsamlede data.

o Skal altid gennemføre passende, tekniske og organisatoriske foranstaltninger, for at sikre de registrerede
og for at være i stand til at vise overholdt GDPR.

o Indberetning til datatilsyn ved brud indenfor 72 timer efter kendskab.

Question 8

Databehandler

Answer 8

Den som behandler data. Skal have instruks/samtykke, hvis ikke man er dataansvarlig.

o En fysisk eller juridisk person, der behandler personoplysninger på vegne af dataansvarlig.
o Forpligtigelser:
Må KUN behandle data efter den modtaget instruks
De personer, som behandler dataet, er underlagt en form for tavshedspligt
SKAL iværksætte alle sikkerhedsforanstaltninger i henhold til artikel 32
SKAL bistå den dataansvarlige i deres forpligtigelser overfor den registrerede
SKAL stille alle oplysninger der er nødvendige for at påvise overholdelse af kravene i artiklen til
rådighed
SKAL underrette dataansvarlig om sikkerhedsbrud.
DATABEHANDLER bliver DATAANSVARLIG
Handler databehandler uden for instruks, og dermed selv fastlægger formålene med
behandlingen, bliver databehandler til dataansvarlig, og bryder dermed aftalen med
dataansvarlig.

Question 9

• Underdatabehandler

Answer 9

Den som behandler data på vegne af/hjælper Databehandler.

Question 10

• Modtageren

Answer 10

Den som modtager data, og dataen dermed bliver videregivet til (eks. Facebook)

Question 11

GDPR

Answer 11

• En EU Forordning -> Gældende for alle EU lande

- Erstatter persondataloven med persondataforordningen samt supplerende lovgivning (Databeskyttelsesloven)

Question 12

• Oplysningspligt

Answer 12

o Dataansvarlig er forpligtiget til at oplyse om dataindsamlingen, formålet med den, hvordan data bliver behandlet, dataansvarliges identitet.
Dataansvarlig er kun forpligtiget til at oplyse om dataindsamlingen, hvis det er fra den registrerede
(Ikke fra eks. SOME)
Kilden styrer altså om der er oplysningspligt.

Question 13

• Indsigtsret og ret til korrektion

Answer 13

o Den registrerede kan på ethvert tidspunkt bede om indsigt i alt data vedrørende den registrerede.
o Derudover kan personen til enhver tid rette oplsyninger.
o Dataansvarlig skal udlevere data i det format som det behandles i
o Må man opsætte systemer, så den registrerede selv kan gøre dette - YESSIR

Question 14

• Ret til indsigelse

Answer 14

o Den registrerede kan på et hvert tidspunkt gøre indsigelse imod at dataet bliver behandlet.

Question 15

• Ret til sletning / Retten til at blive glemt

Answer 15

o Den registrerede kan på ethvert tidspunkt sige at man vil slettes

Question 16

• Ret til dataportabilitet

Answer 16

o At anmode en virksomhed som har din data, til at overlevere din data til en tredjemand.
o Registrerede har ret til at få eksporteret data til sig selv, hvis behandlingen er baseret på kontrakt eller samtykke og behandlingen foretages automatisk.
o Registrerede har ret til at få transporet data fra dataansvarlig til en anden, hvis det teknisk er muligt.

Question 17

(6) Hovedprincipperne for GDPR

Answer 17

• Lovlighed, rimelighed og gennemsigtighed
• Formålsbegrænsning
• Dataminimering
• Rigtighed
• Opbevaringsbegrænsning
• Integritet og fortrolighed

Question 18

• Lovlighed, rimelighed og gennemsigtighed (Hovedprincip)

Answer 18

o Den dataansvarlige skal behandle dataet lovligt, rimeligt og gennemsigtigt

Question 19

• Formålsbegrænsning (HOvedprincip)

Answer 19

o Dataansvarlige må IKKE indsamle data til andre formål end det udtrykkeligt oplyste og legitime formål, og må heller ikke viderebehandle dataet, hvis formålet er uforeneligt med det oplyste.

Question 20

• Dataminimering (Hovedprincip)

Answer 20

Den dataansvarliges indsamling af data, må udelukkende være af data som er:
	Nødvendig
	Tilstrækkelig
	Relevant
	Begrænset

Question 21

• Rigtighed

Answer 21

o De indsamlede data skal være korrekte.
o Dataansvarlig er forpligtiget til enten af slette eller rette urigtig data
o Rigtighed forstås i forbindelse med formålet

Question 22

• Opbevaringsbegrænsning

Answer 22

o Dataansvarlige må ikke opbevare data i en form, så den registrerede kan identificeres i længere tid end nødvendigt, for at opfylde det oplyste formål.

Question 23

• Integritet og fortrolighed

Answer 23

o De personlige oplysninger skal af dataansvarlig og databehandler altid behandles på en måde med tilstrækkelig sikkerhed, herunder beskyttelse imod ulovlig og uautoriseret behandling og mod hæderligt tab eller beskadigelse

Question 24

Personoplysninger

Answer 24

• Enhver form for information der kan bruges til at identificere en specifik fysisk person

Question 25

Identificerbar person

Answer 25

• En fysisk person som den dataansvarlige kan identificere igennem den data, som den dataansvarlige
  besidder.
  Personen skal bare kunne identificeres som et fysisk menneske.

Question 26

Sikkerhedsbrud

Answer 26

-	Brud på persondatasikkerheden betyder et sikkerhedsbrud der fører til hændelig eller ulovlig:
o	Tilintetgørelse
o	Tab
o	Ændring
o	Uautoriseret adgang
o	Eller videregivelse af
Personlige oplysninger

Question 27

Profilering

Answer 27

• Automatisk behandling, der bruger persondata til at danne en profil af en person.
• Enhver form for automatisk behandling, der har til formål at bestemme personlige forhold ved en specifik fysisk person, primært for at analysere og forudsige en persons, arbejdsforhold, økonomi, helbred, personlige præferencer osv.

Question 28

Pseudonymisering

Answer 28

• En behandling af personoplysninger, således oplysningerne ikke peger tilbage på den bestemte person. (Eks. Prototyper hvor billede sløres)

Question 29

Genetiske data

Answer 29

• Bruges til at sige noget om helbred og fysiologi

Question 30

Biometriske data

Answer 30

• Bruges til at finde en entydig identifikation.

Question 31

Behandlingsgrundlag

Answer 31

• Behandlingsgrundlaget giver dataansvarlige ret til at indsamle data
• Sammen med formålet Der skal blandt andet defineres Opbevaringslængde og Brugen af data
• Dataansvarlig bestemmer hvilket behandlingsgrundlag, der skal bruges, medmindre andet er bestemt i
  lovgivningen.
• Behandlingsgrundlag kan jf. artikel 6 være
  Samtykke
  Opfyldelse eller indgåelse af aftale
  Opfyldelse af en juridisk forpligtigelse

Question 32

Samtykke

Answer 32

• Samtykke skal være frivillig, specifik, informeret og utvetydig viljetilkendegivelse fra den registrerede, hvor det bliver erklæret eller klart bekræftet at dennes personoplysninger, må blive behandlet af dataansvarlige.
• Et samtykke skal tydeligt fremstå som et samtykke, hvis det gives i forbindelse med andre handlinger:
  Skal formuleres i et klart og tydeligt sprog
  Entydigt kunne identificeres som et samtykke
• Samtykketekst skal indeholde:
  Den dataansvarliges identitet
  Formålet med behandlingen
  Oplysninger om retten til at tilbagekalde et samtykke

Question 33

Legitim interesse

Answer 33

• Kan bruges som behandlingsgrundlag for en dataansvarlig.
• Er når der er en rimelig/fair relation imellem dataansvarlig og den registrerede.
  Eks. Hvis den registrerede er kunde/bruger hos en applikation den dataansvarlige
  Eks. Hvis den registrerede er ansat hos den dataansvarlige
• Det skal vurderes om hvorvidt det er forventeligt at databehandlingen for den registrerede sker.
• Legitim interesse kan udføre behandlingsgrundlaget for behandling af personoplysninger til markedsføringsformål.

Question 34

Behandlingssikkerhed

Answer 34

• Pseudonymersering og kryptering af data

Question 35

Overførsel til tredjeland

Answer 35

• Enhver overførsel til tredje land eller international organisation, må kun finde sted hvis den overholder betingelserne i Kapitel 5.
• Modtagerlandet skal ligeledes tilbyde minimum samme beskyttelses niveau, som garaterer rettighederne jf. GDPR.