Databeskyttelse (GDPR)

Databeskyttelsesforordningen beskytter oplysninger om en fysisk person, der er identificeret eller identificerbar. Når en oplysning kan knyttes til en fysisk person, er det en ”personoplysning”. Det gælder også selvom koblingen kun kan ske ved hjælp af oplysninger fra andre kilder og selv om disse kilder er utilgængelige for jeres virksomhed, f.eks. navnet på indehaveren af en pc med en bestemt IP-adresse (som i udgangspunktet kun er tilgængeligt for teleselskabet). 

Personoplysninger er f.eks. navn, e-mail adresse, CPR-nr., kundenummer, helbredsoplysninger, fingeraftryk, fagforeningsmedlemsskab, portrætfoto, civilstatus, IP-adresse, lokationsdata, medarbejderevalueringer,forbrugshistorik og produktkøb. 

Alle fysiske personer er beskyttet af reglerne i Databeskyttelsesforordningen. Fysiske personer kan f.eks. være medarbejdere, privatkunder, passagerer, patienter, forsøgspersoner, journalister, politiske forbindelser, bestyrelsesmedlemmer, en leverandørs medarbejdere og besøgende på hjemmesiden.

Den dataansvarlige er den virksomhed, der overordnet bestemmer, hvilke personoplysninger som skal behandles, hvorfor de behandles og hvordan. Virksomhedens forpligtelser efter Databeskyttelsesforordningen afhænger af, om den er dataansvarlig eller databehandler.

Den dataansvarlige kan antage en databehandler til at indsamle eller behandle personoplysninger på sine vegne. F.eks. vil en hosting-leverandør, en cloud leverandør og en ekstern løn administration ofte være databehandlere.

Begrebet omfatter groft sagt enhver håndtering af en personoplysning, f.eks. indsamling af oplysninger, samkøring, videregivelse, opbevaring, ændring og sletning. Databeskyttelsesforordningen omfatter enhver automatisk (digital) behandling, men også manuel behandling er omfattet af Databeskyttelsesforordningen, hvis personoplysningerne er eller vil blive indeholdt i et register.

Når personoplysninger er ”følsomme” omtales de i Databeskyttelsesforordningen som ”særlige kategorier af personoplysninger”. For disse kategorier af oplysninger gælder der andre og mere restriktive regler for, hvornår oplysningerne må behandles. Følsomme personoplysninger er:

- Oplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssigt tilhørsforhold, genetiske data, biometriske data til identificering af den registrerede person, helbredsoplysninger og seksuelle forhold eller oplysninger om seksuel orientering.

- CPR-numre og oplysninger om straffedomme og lovovertrædelser vil forventeligt bliver underlagt særregler.

Hvis personoplysninger skal videregives til en tredjepart, f.eks. et andet koncernselskab, en offentlig myndighed, en faglig organisation eller øvrige virksomheder, der selv bliver dataansvarlige for de modtagne oplysninger, skal der også være et behandlingsgrundlag for at foretage denne videregivelse. 

Ønsker man derfor som dataansvarlig at overføre data til en anden dataansvarlig eller en tredjepart, skal der være et legitimt formål med overførelsen, som skal fremgå af enten artikel 6 eller artikel 9. Ligeledes skal modtageren have et legitimt formål med at indsamle og behandle oplysningerne. 

Der gælder særlige krav, hvis oplysningerne videregives til lande uden for EU og EØS. Disse særlige regler fremgår af databeskyttelsesforordningens kapitel 5. 

Dette spørgsmål vedrører både persondata og markedsføring, hvorfor der er to aspekter af dette spørgsmål.

Det første er det persondataretlige aspekt

E-mail adresser på kunder er persondata. E-mailadresser er en almindelig personoplysning, jf. databeskyttelsesforordningens artikel 4, stk. 1. Behandling af almindelige personoplysninger er kun lovlig, hvis og i det omfang mindst ét af de forhold, som er nævnt i artikel 6, stk. 1, litra a-f gør sig gældende.

Lovgrundlaget for behandling af personoplysninger til direkte markedsføring kan man normalt basere på den såkaldte interesseafvejningsregel i artikel 6, stk. 1, litra f, hvor man skal afveje den legitime interesse i databehandlingen overfor hensynet til den registrerede. Det fremgår således direkte af forordningens præambelbetragtning 47, at behandling af personoplysninger til direkte markedsføring er en legitim interesse. Som et eksempel på en legitim interesse, der vejer tungere end den registreredes interesser, og som derfor opfylder interesseafvejningsreglen, nævnes eksplicit: ”når der er et relevant og passende forhold mellem den registrerede og den dataansvarlige, f.eks. hvis den registrerede er kunde hos [..] den dataansvarlige”.

Interesseafvejningsreglen kan således anvendes som det persondataretlige lovgrundlag for direkte markedsføring. 

Dog skal man som virksomhed stadig være opmærksom på en række af de øvrige persondataretlige regler, navnlig oplysningspligten og indsigelsesretten.

Det følger af oplysningspligten (forordningens art. 13 og 14), at den dataansvarlige generelt på tidspunktet for indhentelse af personoplysningerne skal give den registrerede en række oplysninger, bl.a. om formålene og retsgrundlaget for behandlingen af de pågældende personoplysninger.

Når retsgrundlaget er interesseafvejningsreglen, skal den dataansvarlige desuden oplyse om de legitime interesser, hvorpå behandlingen er baseret (i dette tilfælde den legitime interesse i direkte markedsføring).

Det følger af indsigelsesretten (artikel 21), at hvis personoplysninger behandles med henblik på direkte markedsføring, har den registrerede til enhver tid ret til at gøre indsigelse mod en sådan behandling, herunder profilering, i det omfang profileringen vedrører direkte marketing. Hvis den registrerede gør indsigelse mod behandling til direkte markedsføring, må personoplysningerne ikke længere bruges til dette formål. Den registrerede skal udtrykkelig gøres opmærksom på denne ret, og udgør således et supplement til oplysningspligten i art. 13 og 14. Oplysningerne om indsigelsesretten er endda underlagt særligt restriktive krav, idet disse oplysninger skal gives klart og adskilt fra alle andre oplysninger, hvilket fremgår af artikel 21. stk. 4

Hvis man som dataansvarlig ikke har opdateret sin persondatapolitikken med ovenstående, så anbefales det, at opdatere persondatapolitikken, og ved en snarlig lejlighed underrette de berørte kunder om den opdaterede politik. 

Bemærk at der efter de persondataretlige regler ikke er krav om et forudgående samtykke til at foretage direkte markedsføring, Der er derimod tale om, at man skal have lovlig hjemmel og opfylde sin oplysningspligt, herunder om indsigelsesretten. 

Det andet aspekt af dette spørgsmål er det markedsføringsretlige. 

Modsat de persondataretlige regler, hvor der ikke gælder et krav om forudgående samtykke til at sende direkte markedsføring, så er udgangspunktet derimod, efter de markedsføringsretlige regler, at virksomheder ikke må sende mails, sms’er og anden elektronisk post til nogen med henblik på direkte markedsføring til bestemte modtagere, medmindre modtageren har givet sit forudgående samtykke til henvendelsen. Forbuddet (også kaldet spamforbuddet) står i markedsføringslovens § 10, stk. 1: 

Markedsføringslovens § 10, stk. 1:

”En erhvervsdrivende må ikke rette henvendelse til nogen ved brug af elektronisk post, et automatisk opkaldssystem eller telefax med henblik på direkte markedsføring, medmindre den pågældende har givet sit forudgående samtykke hertil. Den erhvervsdrivende skal give mulighed for let og gebyrfrit at tilbagekalde samtykket.”

Hvis en virksomhed sender elektroniske nyhedsbreve til potentielle kunder, vil det i praksis altid blive betragtet som direkte markedsføring og nyhedsbrevene vil derfor være omfattet af spamforbuddet. E-mails, sms mv. om markedsføring, kan derfor som udgangspunkt alene fremsendes med modtagerens samtykke. 

Et sådant samtykke, kan ikke lovligt indhentes ved at sende en mail eller sms (eller anden elektronisk post) til modtageren og anmode om samtykket. 

Derimod kan et lovligt samtykke indhentes på en række andre måder, f.eks. via:

• Telefon eller personligt møde (bør i givet fald sikres dokumentation, f.eks. ved i den efterfølgende mail at beskrive det afgivne samtykke)

• Egen hjemmeside, FB side, LinkedIn side mv., så længe brugeren ikke modtager en opfordring hertil via elektronisk post (en pop-up eller bannerannonce er ikke elektronisk post).

• I forbindelse med konferencer, seminarer, kurser mv., for eksempel hvor materialet indeholder en samtykkeerklæring til udfyldning, og/eller hvor værten opfordrer deltagerne til at gå ind på virksomhedens hjemmeside og give samtykke til direkte markedsføring/nyhedsbrev.

• Reklamer/pop-ups/bannerannoncer i tidsskrifter, aviser, andres hjemmesider osv. (generelle reklamer/pop-ups/bannerannoncer mv. betragtes normalt ikke som direkte markedsføring, og vil heller ikke være elektronisk post)

Der findes en enkelt undtagelse til samtykkekravet. Dette følger af markedsføringslovens § 10, stk. 2:

Har en kunde i forbindelse med et køb givet en elektronisk adresse, kan sælgeren markedsføre egne tilsvarende produkter via den elektroniske adresse uden et forudgående samtykke. Kunden skal dog have mulighed for at frabede sig henvendelserne, både når kunden oplyser sin elektroniske adresse og ved alle fremtidige markedsføringshenvendelser til denne adresse.. 

Så hvis der er tale om direkte markedsføring til en tidligere kunde, så kan dette udsendes uden et forudgående samtykke, såfremt betingelserne herfor er opfyldt. Betingelserne for opfyldelse kan læses i forbrugerombudsmandens spam-vejledning på s. 31ff. 

Hvad angår nyhedsbreve, så er det tvivlsomt, om et nyhedsbrev vil være at betegne som egne tilsvarende produkter, da den ofte omhandler alle virksomhedens produkter og ikke kun tilsvarende produkter. 

Læs mere omkring tilsvarende produkter i spam-vejledningen s. 32ff.

Såfremt betingelserne for at sende direkte markedsføring ikke er opfyldt (dvs. hvor man har et lovligt samtykke eller opfylder betingelserne i lovens § 10, stk. 2), bør det overvejes, hvordan disse betingelser opfyldes fremadrettet, hvis ønsket er, at kunne sende sine kunder elektronisk markedsføring - se diverse muligheder listet ovenfor. 

Direkte markedsføring via gammeldags post er ikke omfattet af reglerne om elektronisk post. Der gælder dog restriktioner, når det er direkte markedsføring overfor forbrugere, hvor der ikke må sendes direkte markedsføring til forbrugere, som fremgår af Robinson-listen. 

Enkeltmandsvirksomheder, der bliver drevet fra hjemadressen, og visse private foreninger betragtes ligeledes som forbrugere i denne sammenhæng. 

Find forbrugerombudsmandens spam-vejledning her. 

Såfremt man baserer sin persondatabehandling på et samtykke, så har et samtykke den konsekvens, at den registrerede til enhver tid kan trække samtykket tilbage. Derfor skal man som virksomhed overveje i hvilke situationer det er hensigtsmæssigt at anvende samtykke som behandlingsgrundlag. 

Hvis en virksomhed ønsker at udarbejde omfattende reklame- eller markedsføringsmateriale, vil det som udgangspunkt ikke være hensigtsmæssigt at foretage denne persondatabehandling med samtykke som hjemmel. Trækker den registrerede sit samtykke tilbage, kan det for virksomheden have den konsekvens, at materialet som den registrerede optræder på eller i, enten skal slettes eller redigeres, således at den registrerede ikke længere fremgår af materialet.

DI's anbefaling til, hvorledes virksomheden kan undgå konsekvensen af, at skulle slette omfattende reklame- eller markedsføringsmateriale er, at virksomheden indgår en uafhængig kontrakt mellem den registrerede og virksomheden omkring medvirkning. 

En TIA (Transfer Impact Assessment) er en procedure, der anvendes til at vurdere, identificere og minimere risiciene og konsekvenser ved overførsel af personoplysninger til tredjelande eller internationale organisationer.

En virksomhed skal foretage en sådan vurdering, før de overfører personoplysninger til lande uden for EU/EØS, medmindre det pågældende land er vurderet som et sikkert tredjeland af Europa-Kommissionen. Vurderingen skal bevise, at beskyttelsesniveauet, som findes i det tredjeland, hvor virksomheden overfører eller ønsker at overføre persondata til, er nogenlunde tilsvarende det beskyttelsesniveau, der er gældende i EU.

For at udarbejde en TIA, skal man igennem følgende trin:

1. Identificer de personoplysninger, der skal overføres.
2. Identificer det modtagende land og vurder dets databeskyttelsesniveauet.
3. Identificer og vurder de potentielle risici, der er forbundet med overførslen.
4. Identificer de nødvendige beskyttelsesforanstaltninger for at minimere risiciene.
5. Dokumentere hele processen og opbevare dokumentationen til eventuel inspektion af Datatilsynet.
6. Revurder regelmæssigt TIA'en og opdater den, hvis der er ændringer i holdene, der kan påvirke risikovurderingen.

En LIA (Legitimate Interests Assessment) er en proces, der hjælper virksomheder og organisation med at afgøre, om de kan behandle personoplysninger på grundlag af legitim interesse. Ifølge GDPR er legitim interesse en af de lovlige grunde til at behandle personoplysninger, jf. artikel 6, stk. 1, litra f, men det kræver en nøje afvejning af virksomhedens eller organisationens interesser mod den enkeltes rettigheder.

En LIA skal udarbejdes, når en virksomhed eller organisation ønsker at påberåbe sig legitim interesse som det lovlige grundlag for databehandlingen. Legitim interesse kan ikke anvendes, hvis den enkeltes rettigheder tilsidesættes.

De tre betingelser, der skal være opfyldt for at behandle persondata på baggrund af legitim interesse, er følgende:

1. Identifikation og kvalifikation af en legitim interesse: Dette indebærer at identificere og vurdere den legitime interesse, som den dataansvarlige eller en tredjepart har. Den legitime interesse kan være bredere end formålet med databehandlingen og skal være til stede og effektiv på det tidspunkt, hvor databehandlingen finder sted.
2. Nødvendighed af at behandle persondata for formålene med den legitime interesse: Denne betingelse kræver en vurdering af, om behandlingen af persondata er nødvendig for at opfylde den legitime interesse. Hvis den dataansvarlige har en legitim interesse, skal det vurderes, om det er nødvendigt at behandle persondata for at opfylde denne interesse.
3. Afvejningstest: Denne betingelse indebærer en afvejning mellem den dataansvarliges eller en tredjeparts legitime interesse og den registreredes interesser eller grundlæggende rettigheder, herunder retten til databeskyttelse og privatliv. Afvejningstesten kræver, at man tager hensyn til de særlige omstændigheder ved databehandlingen og den potentielle indvirkning på den registreredes rettigheder.. 

LIA skal dokumenteres og opbevares, så organisationen kan demonstrere overholdelse af GDPR, hvis det kræves. Desuden skal LIA opdateres regelmæssigt, især hvis der sker ændringer i hvordan personoplysningerne behandles, eller hvis organisationen bliver opmærksom på ny information om konteksten for databehandlingen.

Ét af kravene til at overholde de generelle principper for behandling af persondata i databeskyttelsesforordningens artikel 5, er, at man som dataansvarlig skal slette oplysninger, når det ikke længere er nødvendigt at behandle oplysningerne for at opfylde formålene med behandlingen, jf. artikel 5, stk. 1, litra e.

Den dataansvarlige skal indføre retningslinjer for, hvornår personoplysninger skal slettes, således at den dataansvarlige kan påvise asvarlighed, jf. artikel 5, stk. 2. 

Databeskyttelsesforordningen opererer således ikke med fastsatte slettefrister, om hvor lang tid personoplysninger skal opbevares. Sådanne frister indgår dog i anden lovgivning, som skal overholdes. Her kan bl.a. nævnes reglerne om opbevaringspligt samt forældelsesreglerne. 

Hvordan skal personoplysninger slettes? 

Personoplysningerne skal slettes fuldstændigt fra alle de medier, hvor de er lagret. Dette gælder også hos databehandlere og eventuelle underleverandører. Personoplysningerne må ikke på nogen måde kunne genskabes. Det er den dataansvarlige, der skal kunne påvise, at der løbende er ført kontrol med, at sletningen rent faktisk sker. 

Når virksomheder registrerer oplysninger omkring kunder, samarbejdspartner, medarbejder eller andre i et form for register, så er man som dataansvarlig forpligtet til at oplyse den registrerede om, at man har vedkommendes oplysninger. Dette kaldes oplysningspligten og fremgår af artikel 13 og 14 i databeskyttelsesforordningen.

Modtager man oplysninger indsamles hos den registrerede, er det oplysningerne efter artikel 13 som den dataansvarlige skal give den registrerede. Er oplysningerne derimod ikke indsamlet hos den registrerede, men fx kommer fra en tredjepart, så er det oplysningerne i artikel 14 som den dataansvarlige skal give den registrerede.

Oplysningspligten er en pligt den dataansvarlige har, og såfremt denne pligt ikke iaggtages kan den dataansvarlige ifalde administrative bøder, jf. artikel 83.

Hvad er en cookie?

En cookie er en lille fil som lagres på computeren, og som indeholder oplysninger om den bruger, som browser. En cookie er browerspecifik, så der kan blive sat cookies i hver browser, og man giver sit samtykke til cookies i hver enkelt browser. 

Typer af cookies:

Der findes grundlæggende to typer cookies: 

Session cookies: cookies der kun varer i den aktuelle browsingperiode, hvor man er inde på fx en hjemmeside. Forlades browseren slettes cookien også. 

Persisten cookies: er cookies som lagres længere tid, evt. flere måneder eller år. Den der udarbejder cookien definerer hvor længe den skal ligge. 

Det er vigtigt i denne sammenhæng at nævne, at en IP-oplysning er en personhenførbar oplysning, selvom det er dynamiske IP-adresser. 

Regulering:

Cookies reguleres ikke alene af persondataforordningen. Ved cookies er det også relevant at inddrage ePrivacydirektivet, som regulerer brugen af elektronisk kommunikation og brugen af cookies.
I modsætning til persondata, så gælder ePrivacydirektivet også, hvor den elektroniske kommunikation ikke indebære personhenførbare oplysninger. Man skal være opmærksom på, at hvis begge regelsæt finder anvendelse, fordi brugen af cookies indebærer personhenførbare oplysninger, så er det nødvendigt at henvise til de gældende bestemmelser i begge regelsæt.

Ved brugen af cookies, er den vigtigste bestemmelse reglen om et informeret samtykke i artikel 5, stk. 3 i ePrivacydirektivet – disse krav er implementeret i den danske cookiebekendtgørelse. Af cookiebekendtgørelsen følger det, at forudsætningen for at lagre cookies er, at der er givet et samtykke. Forud for samtykke skal brugeren have modtaget klare og fyldestgørende oplysninger om brugen af cookies før samtykket bliver givet. kravene for et gylig samtykke følger bestemmelserne i databeskyttelsesforordningen. 

Det følger af artikel 5, stk. 3 at kravet kun er opfyldt, hvis brugeren på forhånd har modtaget forud indgående information om afsendelsen af og formålet med cookien. Hertil gælder det efter GDPR at informationen skal gives i et klart og enkelt sprog. 

Det er muligt at anvende lagdelt information, hvilket betyder, at de vigtigste informationer skal gives til den registrerede med det samme, såsom information om alle formål ved anvendelsen af cookies, og hvem der anvender cookies på hjemmesiden – herunder oplysninger om tredjeparts cookies. Herefter kan der så linkes til mere deltaljerede informationer. 

Vigtigt ift. samtykke

- Krav om aktiv viljetilkendegivelse: Et forud afkrydset felt kan ikke udgøre et gyldigt samtykke til brug af cookies. Et gyldigt samtykke forudsætter en aktiv handling fra brugerens side. 

- Granulering af samtykke: Datatilsynet har for nylig opdateret deres vejledning ift. samtykke, hvor de indskærper, at den registrerede frit skal kunne vælge, hvilke behandlingsformål der accepteres, når en tjeneste omfatter flere behandlingsoperationer til mere end ét formål. Et samtykket er således ikke givet frivilligt, hvis samtykkeerklæringen ikke giver den registrerede mulighed for at give særskilt samtykke til forskellige behandlingsaktiviteter. Det betyder, at hvis placeringen af cookies har forskellige formål, så skal der indhentes samtykke til hver enkelt formål. 

- Cookies som forudsætning for adgang: Der følger det af Erhvervsstyrelsen vejledning, at det ikke under dansk ret er et krav, at private hjemmesider kan fungere uden cookies eller lignende teknologier, hvormed afvisning af cookies kan medføre at brugerens eneste mulighed er, at forlade siden. Det offentlige skal derimod indrette sig sådan, at deres hjemmesider skal kun fungere helt uden cookies. Information fra det offentlige skal være tilgængelige for alle.

- Krav om muligheden for tilbagekaldelse af samtykke: Brugere skal have mulighed for at tilbagekalde et allerede givet samtykke. Den dataansvarlige skal omgående slette oplysningerne om den registrerede, hvis den registrerede anmoder om, at  få slettet sin profil, eller udøver sin ret til at trække samtykket tilbage. 

- Oplysning om tilbagekaldelse af samtykke: Det anbefales at man i sin cookiedeklaration beskriver, hvor samtykke kan tilbagetrækkes, evt. med links eller et ikon som findes på hjemmesiden uanset, hvor man bevæger sig rundt.