GDPR-ordbog: de vigtigste begreber forklaret

Hvad betyder alle de tunge GDPR-ord egentlig?
Her får I dem forklaret i et sprog, I kan bruge.

GDPR lyder ofte mere kompliceret, end det er. Meget af forvirringen handler bare om ordene: dataansvarlig, databehandler, behandlingshjemmel og alt det andet. Når først begreberne sidder fast, bliver resten langt mere overskueligt for jer i bestyrelsen.

Finder I ikke svaret her, kan I altid slå op på Datatilsynets hjemmeside – eller læse, hvordan I beskytter persondata i foreningen.

De grundlæggende roller og begreber

Start her. De første begreber handler om, hvad persondata er, og hvem der har hvilket ansvar, når data behandles.

Persondata+
Enhver information, som direkte eller indirekte kan identificere en person. Det kan omfatte navn, adresse, e-mail, IP-adresser eller endda billeder.

Når en grundejerforening indsamler navne og kontaktoplysninger på medlemmerne for at sende information eller opkræve fællesudgifter.
Dataansvarlig+
Den enhed (person, virksomhed eller organisation), der bestemmer formålene med og midlerne til behandlingen af persondata.

Grundejerforeningens bestyrelse fungerer som dataansvarlig, når den beslutter at indsamle og anvende persondata fra medlemmerne til organisering af fælles aktiviteter eller vedligeholdelse.
Databehandler+
En enhed, der behandler personoplysninger på vegne af den dataansvarlige. Databehandleren handler under instruks fra den dataansvarlige og må ikke bruge informationerne til egne formål – for eksempel HOODI.
Underdatabehandler+
En tredjepart, der er ansat af en databehandler til at udføre datahåndteringsopgaver på vegne af den dataansvarlige. Underdatabehandlere må kun behandle personoplysninger i overensstemmelse med instrukserne fra databehandleren, som følger den dataansvarliges retningslinjer.
Databeskyttelsesrådgiver (DPO)+
En ekspert i databeskyttelse, som hjælper en organisation med at overvåge intern overholdelse af GDPR. Ikke alle organisationer kræver en DPO, men de, der behandler store mængder følsomme data, skal have en.

Håndterer en grundejerforening mange følsomme personoplysninger, kan det være nødvendigt at overveje en DPO for at sikre korrekt håndtering og beskyttelse af data.
Samtykke+
Enhver frit givet, specifik, informeret og entydig tilkendegivelse af den registreredes ønsker, hvormed vedkommende ved en erklæring eller en tydelig bekræftende handling accepterer behandling af sine personoplysninger.

Jeres medlemmer skal aktivt markere "ja" på en samtykkeformular, når de giver tilladelse til, at deres e-mail bruges til nyhedsbreve.
Databrud+
Et sikkerhedsbrud, der fører til, at personoplysninger uforvarende eller ulovligt slettes, mistes, ændres, offentliggøres, eller at adgangen til dem er uautoriseret.

Bliver en computer med foreningens medlemsliste stjålet, og dataene ikke er ordentligt sikret, betragtes det som et databrud.
De registreredes rettigheder+
Retten for den enkelte til at få adgang til, rette, slette, begrænse behandlingen af eller protestere mod behandlingen af sine persondata.

Et af jeres medlemmer kan bede bestyrelsen om adgang til alle de persondata, foreningen har gemt om vedkommende, og kan kræve fejlagtige data rettet eller slettet.

Dokumentation, hjemmel og overførsel

De næste begreber dukker op, når I skal dokumentere jeres behandling af data og vise, at I har styr på det. Det er her, meget af det praktiske GDPR-arbejde ligger.

Behandlingshjemmel+
Det juridiske grundlag, der gør det lovligt at behandle personoplysninger. GDPR kræver, at enhver behandling har et solidt juridisk fundament. Det kan være samtykke fra den registrerede, nødvendighed i forbindelse med en kontrakt, overholdelse af en retlig forpligtelse, beskyttelse af vitale interesser, opgaver i offentlig interesse eller legitim interesse.
Privatlivspolitik+
En formel politik eller erklæring, der forklarer, hvordan en organisation håndterer personlige data – herunder hvordan data indsamles, opbevares, beskyttes og deles.

Jeres privatlivspolitik kan beskrive, hvordan I opbevarer medlemmernes kontaktoplysninger, hvilke sikkerhedsforanstaltninger I har, og hvem der har adgang til oplysningerne.
Behandlingsaktiviteter+
Enhver handling eller række af handlinger, som involverer personoplysninger – herunder indsamling, registrering, organisering, strukturering, opbevaring, tilpasning, opslag, brug, videregivelse, begrænsning, sletning eller tilintetgørelse.
Risikovurdering+
En proces, hvor organisationen vurderer de potentielle risici forbundet med behandling af personoplysninger – især de risici, der kan påvirke de registreredes rettigheder og friheder.
Overførsel af data+
Enhver flytning af personoplysninger, der er underlagt GDPR, fra en EU-medlemsstat til et andet land – enten inden for eller uden for EU. Sådanne overførsler skal overholde GDPR for at sikre, at personoplysningerne fortsat er beskyttet.
Klageadgang+
Muligheden for en registreret person for at klage til en tilsynsmyndighed, hvis vedkommende mener, at behandlingen af deres personoplysninger ikke overholder databeskyttelseslovgivningen.

I behøver ikke lære det hele udenad. De fleste foreninger er dataansvarlige for medlemmernes oplysninger, og et system som HOODI fungerer som databehandler på jeres vegne. Når I kender de to roller, er I allerede godt på vej.

HOODI er bygget på GDPR-reglerne og gør det lettere for jer at behandle medlemmernes data lovligt og trygt. Se hvordan HOODI er bygget til GDPR.

Er HOODI det rigtige for jer?

Vi vil meget gerne høre mere om jeres behov og samtidig lave en online præsentation af systemet. Udfyld formularen, så kontakter vi jer.

Bestil et opkald