Gå til hovedindhold
Bliv medlem Menu

Sådan skal du forholde dig til GDPR i praksis

Der er kommet nye, strammere regler for behandling af persondata. Det kommer til at påvirke dig som freelancer og/eller selvstændig. Men hvordan skal du forholde dig til det helt konkret?

Nedenfor kan du læse nogle eksempler på, hvordan personoplysninger kan behandles. Der er alene tale om eksempler til inspiration, og eksemplerne er ikke udtømmende. Eksemplerne kan derfor ikke erstatte individuel rådgivning:

Eksempel 1: (journalistisk øjemed, kildelister, kundeoplysninger, den dataansvarliges oplysningsforpligtelse)

Louise er journalist og har sin egen virksomhed (reglerne er de samme, uanset om Louise er freelancer eller selvstændig med CVR-nr.). Derfor anses hun juridisk set som dataansvarlig for de forskellige personoplysninger, som hun behandler i sin virksomhed, fx kundeoplysninger, kildelister mv. Louise får til opgave at skrive en artikel for Jyllands-Posten. Hun interviewer to personer og optager samtalerne på sin digitale optager. Hun laver research til artiklen og skriver forskellige noter om personerne, hun interviewer på sin computer. Derefter skriver hun artiklen. Alle behandlingerne - optagelse af interview, digital research om personer, nedskrivning af noter og selve skrivningen af artikler - sker udelukkende i journalistisk øjemed, og Louise skal derfor som dataansvarlig kun sørge for, at hun har en tilstrækkelig datasikkerhed, så personoplysningerne ikke bliver udsat for angreb. Louise skal altså i denne forbindelse ikke bekymre sig for de øvrige databeskyttelsesregler.

Det er Louise, der har kontaktet Jyllands-Posten. Inden hun ringede til Jyllands-Posten, havde hun fundet redaktørens navn på avisens hjemmeside, og noteret navnet på sin computer. Det er en behandling af en personoplysning, og her gælder alle databeskyttelsesregler, da en oplysning om fx en kunde ikke er omfattet af begrebet journalistisk øjemed. Louise har en berettiget interesse i at skrive navn og kontaktoplysninger i sin database, og derfor behøver hun ikke at have et samtykke til at behandle oplysningen.

Louise skal som dataansvarlig oplyse kontaktpersonen om flere forhold, fordi en dataansvarlig som udgangspunkt har en oplysningsforpligtelse, når vedkommende indsamler data om en person. Der sondres mellem indsamling hos personen selv og indsamling, der ikke sker hos personen. I det her tilfælde har Louise ikke indsamlet oplysningen hos personen selv, da hun har fået oplysningen fra hjemmesiden. Louise skal fx oplyse om, at hun er dataansvarlig, formålet med at hun får oplysningen og om eventuelle modtagere af personoplysningen. Hun skal blandt andet også oplyse personen om andre forhold, fx hvor længe hun vil opbevare kontaktoplysningen, at personen kan få indsigt i oplysningerne hos Louise og klage til Datatilsynet. Da Louise kontakter redaktøren, oplyser hun vedkommende om, at hun har noteret vedkommendes navn. De aftaler, at Louise efterfølgende sender en mail som aftalebekræftelse, og at hun i mailen linker til sin databeskyttelsespolitik, der står på hendes hjemmeside, så redaktøren kan læse, hvordan hun behandler oplysningerne.

Eksempel 2: (pressefotos, kundeoplysninger, fortegnelsespligten)

Thomas er pressefotograf og har sin egen virksomhed (reglerne er de samme, uanset om Thomas er freelancer eller selvstændig med CVR-nr.). Thomas behandler forskellige personoplysninger i sin virksomhed. Thomas har taget et billede til en artikel for Ekstra Bladet. Selve fotograferingen, billedbehandlingen og videregivelsen til mediet sker udelukkende i journalistisk øjemed. Thomas skal som dataansvarlig derfor kun sørge for, at han har en tilstrækkelig datasikkerhed, så personoplysningerne ikke bliver udsat for angreb. De øvrige databeskyttelsesregler skal Thomas ikke forholde sig til her.

Thomas laver en faktura til Ekstra Bladet. Han finder oplysninger som navn, adresse og CVR-nummer på Ekstra Bladets hjemmeside. Ekstra Bladet er dog et aktieselskab, og der er derfor ikke tale om personoplysninger. Oplysninger kan derfor frit indhentes af Thomas, da databeskyttelsesreglerne ikke finder anvendelse. Nogle gange får Thomas også oplysninger på en kontaktperson, fx navn, et personligt telefonnummer eller e-mailadresse. Det er personoplysninger, og så gælder databeskyttelsesreglerne. Oplysningen kan Thomas få og opbevare enten efter aftale med kontaktpersonen, eller fordi Thomas har en berettiget interesse. Et samtykke er derfor ikke nødvendigt. Læs mere under eksempel 1.

Thomas er ikke forpligtet til at lave fortegnelser over de pressefotos med personer på, som han har, fordi der er tale om arbejde i journalistisk øjemed, og pligten gælder derfor ikke.

Thomas er dog forpligtet til at lave fortegnelser over sine kunder, samarbejdspartnere og leverandøroplysninger og øvrige personoplysninger, som er fuldt omfattet af databeskyttelsesreglerne. Thomas har lavet en fortegnelse over sine kunder. Fortegnelsen er et dokument i et almindeligt tekstbehandlingsprogram. Thomas bruger den skabelon, som Datatilsynet har lavet til inspiration i deres vejledning bilag 6 

Eksempel 3: (kommunikation, samtykke, sletning af oplysninger, den dataansvarliges oplysningsforpligtelse)

Mette er kommunikationskonsulent og har sin egen virksomhed (reglerne er de samme, uanset om Mette er freelancer eller selvstændig med CVR-nr.) Hun har fået til opgave at skrive en tekst på en virksomheds hjemmeside, hvor hun skal skrive om tre medarbejdere. Virksomheden er dataansvarlig i forhold til deres behandling af oplysningerne om medarbejderne. Virksomheden skal derfor sørge for, at virksomheden har ret til at behandle oplysningerne om medarbejderne og publicere oplysningerne på hjemmesiden. Mette er dataansvarlig i forhold til sin måde at behandle oplysningerne på. Hun optager fx samtalerne med de tre medarbejdere, hun noterer deres navn og personlige arbejdstelefonnummer på sin telefon, og hun skriver teksten til hjemmesiden på sin computer. Både virksomheden og Mette bør indhente et samtykke fra medarbejderne, fordi de er dataansvarlige i forhold til hver deres behandling af personoplysninger. Mette får derfor medarbejderne til at underskrive en samtykkeblanket, hvor Mette oplyser om, hvad hun bruger oplysningerne til og hvorfor.

Virksomheden og Mette har hver en forpligtelse til at oplyse medarbejderne om visse forhold, fordi der indhentes oplysninger fra medarbejderne. Der sondres mellem indsamling hos personen selv og indsamling, der ikke sker hos personen selv. I det her tilfælde har Louise indsamlet oplysningen hos personen selv. Mette skal derfor blandt andet oplyse om, at hun er dataansvarlig, formålet med at hun får oplysningerne, sin berettigede interesse i at bruge oplysningerne og om personoplysningerne eventuelt skal gives videre til tredjepart. Mette skal også oplyse medarbejderne om andre forhold, fx hvor længe hun vil opbevare kontaktoplysningen, at medarbejderen kan få indsigt i oplysningerne hos Mette, trække sit samtykke tilbage og klage til Datatilsynet. Mette har lavet en databeskyttelsespolitik, der står på hendes hjemmeside. Hun har inden samtalerne med de tre medarbejdere sendt dem et link til hjemmesiden pr. mail og bedt dem om at læse oplysningerne. Hun gør også medarbejderne opmærksomme på, at hun gemmer oplysningerne i et år. Mette oplever ofte, at kunden har brug for yderligere og derfor kontakter hende igen. Efter et år gemmer Mette fortsat teksten fra denne opgave, da den kan bruges til inspiration for en anden opgave, men teksten gøres anonym, da alle personoplysninger eller personhenførbare oplysninger slettes eller anonymiseres.

Læs hele DJ's guidestof til GDPR

Kommentarer

Indholdet af dette felt er privat og bliver ikke vist offentligt.