Persondatatesten

Book et gratis møde

Tag den hurtige eller grundige persondatatest

Vælg test

Persondataordbog

Få et overblik over de vigtigste persondataretlige begreber her

Ad hoc-kontraktbestemmelser

En ad hoc-kontrakt er en kontrakt, som ikke er formuleret i overensstemmelse med Kommissionens standardkontraktbestemmelser. Overførsel af personoplysninger til tredjelande eller internationale organisationer på grundlag af ad hoc-kontrakter kræver en forudgående tilladelse fra Datatilsynet. 

Almindelige personoplysninger

Almindelige personoplysninger er den brede betegnelse for personoplysninger, som ikke er følsomme personoplysninger. Almindelige personoplysninger er bl.a. oplysninger om e-mails, telefonnumre, CPR-numre, økonomiske- eller uddannelsesmæssige forhold, IP-adresser m.v.

Oplysninger vedrørende straffedomme og lovovertrædelser hører under kategorien almindelige personoplysninger. Denne type af personoplysninger er dog underlagt visse særregler. 

Ansvarlig person for persondatabeskyttelse

Virksomheder og myndigheder bør altid beslutte, hvor i organisationen ansvaret for databeskyttelsesspørgsmål skal ligge. Offentlige myndigheder og visse private virksomheder skal udpege en såkaldt databeskyttelsesrådgiver. Der kan udnævnes en fælles databeskyttelsesrådgiver for en koncern. På samme måde kan flere offentlige myndigheder gå sammen om en fælles databeskyttelsesrådgiver. 

Automatiske individuelle afgørelser

Den registrerede har som udgangspunkt ret til ikke at være underlagt fuldt automatiseret databehandling, herunder profilering, som har retsvirkning eller på tilsvarende vis påvirker den pågældende. Dette gælder dog ikke, hvis afgørelsen er nødvendig for indgåelsen eller opfyldelsen af en kontrakt mellem den dataansvarlige og den registrerede, hvis afgørelsen er hjemlet i retsregler, som gælder for den dataansvarlige, eller hvis den registrerede har meddelt udtrykkeligt samtykke.

Begrænsning af behandlingen

Retten til begrænsning indebærer en ret for den registrerede til i visse tilfælde at få begrænset den behandling, som den dataansvarlige foretager. Den dataansvarlige kan eksempelvis begrænse behandlingen af personoplysninger ved at flytte udvalgte oplysninger midlertidigt til et andet behandlingssystem eller gøre oplysningerne utilgængelige for visse brugere. 

Behandling af personoplysninger

En behandling er enhver aktivitet, som personoplysninger gøres til genstand for. Behandlingsbegrebet skal forstås bredt og kan f.eks. være indsamling, registrering, organisering, systematisering, opbevaring, tilpasning, ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse. 

Berigtigelse

Den dataansvarlige skal sikre, at indsamlede personoplysninger er korrekte og ajourførte. Der skal træffes enhver rimelig foranstaltning for at sikre, at personoplysninger, der er urigtige i forhold til de formål, som begrunder indsamling, behandling og opbevaring af oplysningerne, straks slettes eller berigtiges. En virksomhed skal eksempelvis have procedurer til løbende at sikre, at de oplysninger, der er registreret om virksomhedens ansatte, er korrekte og ajourførte.

Den registrerede har derudover ved fremsendelse af en anmodning herom til den dataansvarlige ret til at få rettet eller ajourført urigtige, vildledende eller forældede oplysninger. 

Bindende virksomhedsregler

Bindende virksomhedsregler er regler om beskyttelse af personoplysninger i forbindelse med tredjelandsoverførsler, som en dataansvarlig eller databehandler, der er etableret på en medlemsstats område, har fastsat inden for sin koncern eller gruppe af virksomheder, der udøver en fælles økonomisk aktivitet.

Virksomheden skal overholde reglerne i forbindelse med tredjelandsoverførsel af personoplysninger inden for koncernen eller gruppen af virksomheder, og kan kun anvendes til overførsler inden for koncernen. 

Brud på persondatasikkerheden

Den dataansvarlige og databehandleren skal udvikle tekniske og organisatoriske systemer, der gør dem i stand til at identificere et brud på persondatasikkerheden – dvs. et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.

Dataansvarlig

Den dataansvarlige er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler, der må foretages behandling af personoplysninger.

En dataansvarlig kan eksempelvis være en myndighed, der af lovgiver er blevet pålagt en given opgave, som involverer behandling af personoplysninger. Den dataansvarlige vil ligeledes kunne være en virksomhed, som til egne formål behandler personoplysninger om sine ansatte eller sine kunder.

Databehandler

En databehandler er den fysiske eller juridiske person, offentlige myndighed, institution eller ethvert andet organ, der behandler personoplysninger på den dataansvarliges vegne. 

Databehandleren må alene handle efter dokumenteret instruks fra den dataansvarlige. Databehandleren behandler således ikke personoplysninger til egne formål, og må ikke bruge de overladte oplysninger til andet end udførelsen af den opgave, som databehandleren udfører for den dataansvarlige.

Databehandleren kan eksempelvis være en virksomhed, som varetager driften af IT-systemer for en anden virksomhed eller for en offentlig myndighed. Databehandleren vil også kunne være et inkassobureau, som skal varetage gældsinddrivelsen hos en dataansvarlig og i den forbindelse får overladt personoplysninger om de skyldnere, som har gæld til inddrivelse hos den dataansvarlige.

Databehandleraftaler

En databehandleraftale er en kontrakt eller andet retligt dokument, som er bindende for databehandleren med hensyn til den dataansvarlige. Databehandleraftalen skal foreligge skriftligt, herunder elektronisk, og skal leve op til en række indholdsmæssige krav fastsat i databeskyttelsesforordningens artikel 28, stk. 3.

Databeskyttelsesrådgiveren

Offentlige myndigheder og visse private virksomheder skal udpege en såkaldt databeskyttelsesrådgiver. Der kan udnævnes en fælles databeskyttelsesrådgiver for en koncern. På samme måde kan flere offentlige myndigheder gå sammen om en fælles databeskyttelsesrådgiver.

Databeskyttelsesrådgiveren skal udpeges på grundlag af vedkommendes faglige kvalifikationer og navnlig ud fra personens ekspertise inden for databeskyttelsesret og databeskyttelsespraksis. Der skal endvidere tages højde for rådgiverens evne til at udføre arbejdsopgaverne som databeskyttelsesrådgiver.

Den registrerede

Den registrerede er den fysiske person, som der behandles personoplysninger om. Når en virksomhed opbevarer ansattes kontaktoplysninger i et elektronisk register, er det eksempelvis de ansatte, som er de registrerede.

Folkesundhedsområdet

Hensynet til folkesundhedsområdet omfatter bl.a. hensyn til beskyttelse mod alvorlige sundhedsrisici eller sikring af kvalitets- og sikkerhedsstandarder for sundhedspleje og lægemidler eller medicinsk udstyr. Folkesundhed skal forstås bredt, og omfatter alle elementer vedrørende sundhed.

Forpligtelser og rettigheder

Behandling af personoplysninger kan ske på baggrund af både den registreredes og den dataansvarliges forpligtelser og rettigheder. Der sigtes til enhver form for forpligtelse eller rettighed, der følger af en lov eller aftale på det relevante område. Omfattet er bl.a. behandlinger, som følger af en overenskomst mellem arbejdsmarkedets parter.

Fortegnelse

Både den dataansvarlige og databehandleren skal føre en skriftlig og elektronisk fortegnelse over behandlingsaktiviteter. De indholdsmæssige krav til en fortegnelse varierer afhængig af, om man er dataansvarlig eller databehandler. Fortegnelsen er et dokument, som giver et overblik over den dataansvarliges eller databehandlerens behandlingsaktiviteter. Fortegnelsen danner bl.a. grundlag for overholdelse af kravene til dokumentation.

Følsomme personoplysninger

Følsomme personoplysninger er helbredsoplysninger, oplysninger om genetisk og biometrisk data, medlemskab af fagforening, politisk, religiøs eller filosofisk overbevisning, race og etnisk oprindelse, seksualitet og seksuel orientering samt oplysninger om andre rent private forhold. Følsomme personoplysninger er pga. deres karakter underlagt en særlig og skærpet regulering.

Genoprette adgangen til personoplysninger

Den dataansvarlige og databehandleren skal sikre evnen til rettidigt at kunne genoprette tilgængeligheden af og adgangen til personoplysninger i tilfælde af en fysisk eller teknisk hændelse. En sådan genoprettelse kan eksempelvis ske gennem datarekonstruktion.

Hjemmel

En hjemmel er det retlige grundlag for lovlig behandling af personoplysninger. Den dataansvarlige kan således lovligt behandle personoplysninger, hvis behandlingen f.eks. er nødvendig for at beskytte den registreredes vitale interesser, eller hvis behandlingen sker på baggrund af et gyldigt samtykke fra den registrerede.

Inddragelse af databeskyttelsesrådgiveren

Den dataansvarlige og databehandleren har pligt til at inddrage databeskyttelsesrådgiveren tilstrækkeligt og rettidigt i alle spørgsmål vedr. beskyttelse af personoplysninger. De skal desuden støtte rådgiveren ved at tilvejebringe de ressourcer der er nødvendige for, at rådgiveren kan udføre opgaver vedr. databeskyttelse. Ligeledes skal den dataansvarlige bidrage til, at rådgiverens ekspertise opretholdes, samt at rådgiveren sikres adgang til personoplysninger og behandlingsaktiviteter.

Indsigelse

En registreret har ret til at gøre indsigelse mod behandling af sine personoplysninger, hvis behandlingshjemlen er, at behandlingen er nødvendig for udførelse af opgaver i samfundets interesse, en offentlig opgave pålagt den dataansvarlige eller behandling baseret på en interesseafvejning. I disse tilfælde må oplysningerne kun behandles, hvis den dataansvarlige påviser vægtige legitime grunde, der går forud for den registreredes interesser og rettigheder, eller at behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.               

Indsigtsretten

Den registrerede har ret til indsigt og dermed til at få den dataansvarliges bekræftelse på, om der bliver behandlet personoplysninger om den pågældende. Er det tilfældet, har den registrerede også ret til at modtage de pågældende oplysninger samt informationer om behandlingen, bl.a. information om formålet med behandlingen, hvilke kategorier af personoplysninger, behandlingen har omfattet, hvem oplysningerne er videregivet til, hvor længe de vil blive opbevaret, og hvor personoplysningerne stammer fra.

Instrukser

Den dataansvarlige skal sikre sig, at oplysninger, som er overladt til en databehandler, bliver behandlet i overensstemmelse med kravene til datasikkerhed og den dataansvarliges instrukser. Den dataansvarlige skal således aktivt sikre, at de påkrævede sikkerhedsforanstaltninger bliver overholdt hos databehandleren. Det kan i den sammenhæng bl.a. være relevant at indhente en årlig revisionserklæring fra en uafhængig tredjepart.

Interesseafvejning

Behandling af personoplysninger kan ske, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne er blevet videregivet, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse. Det er den dataansvarliges opgave at foretage denne interesseafvejning.

Konsekvensanalyse

Ved enhver form for behandling af personoplysninger skal den dataansvarlige foretage en såkaldt risikovurdering med henblik på at sikre et passende sikkerhedsniveau. Hvis risikovurderingen viser, at behandlingen i medfør af sin karakter, omfang, sammenhæng og formål sandsynligvis vil indebære en høj risiko for de registreredes rettigheder, skal den dataansvarlige herefter gennemføre en konsekvensanalyse. Den dataansvarlige skal således foretage en analyse af de påtænkte behandlingsaktiviteters konsekvenser for beskyttelse af personoplysningerne forud for behandlingen.

Konsekvensanalysen skal som minimum indeholde en systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen. Den skal også indeholde en vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene, samt en vurdering af risiciene for de registreredes rettigheder samt information om de foranstaltninger, der påtænkes for at imødegå disse risici.

Kryptering

Kryptering er betegnelsen for en proces, der matematisk omdanner data til uforståelig information/kode, og dermed understøtter oplysningernes fortrolighed og mindsker risikoen for manglende integritet, tilgængelighed og robusthed. Kryptering gør således dataene ubrugelige, medmindre de kan omdannes til et forståeligt format med den rigtige krypteringsnøgle. Kan data omdannes, anses de for at være personoplysninger.

Legitime interesser

Behandlingen af personoplysninger er lovlig, hvis behandlingen er nødvendig for at den dataansvarlige eller tredjemand kan forfølge en legitim interesse, og hensynet til den registrerede ikke overstiger denne interesse. Dette vil typisk gælde for behandling af personoplysninger, der sker som et naturligt led i virksomhedens eller myndighedens normale drift.

Logning

Der skal foretages maskinel registrering af alle anvendelser af fortrolige personoplysninger.

Registreringen skal mindst indeholde oplysninger om tidspunkt, bruger, type af anvendelse og angivelse af den person, de anvendte oplysninger vedrører, eller det anvendte søgekriterium. Der findes enkelte undtagelser til logningskravet i forbindelse med behandling af personoplysninger, der indgår i tekstbehandlingsdokumenter, der ikke foreligger i endelig form.

Nødvendige personoplysninger

Indsamlede personoplysninger skal være tilstrækkelige, relevante og begrænsede til, hvad der er nødvendigt i forhold til de oprindelige formål med behandlingen. Dette bygger på et princip om dataminimering og proportionalitet, hvilket indebærer, at der skal behandles så få personoplysninger som muligt.

Oplysningerne skal være relevante, hvilket betyder, at behandlingen ikke må omfatte personoplysninger, som ikke har sammenhæng med behandlingens formål.  

At oplysningerne skal være tilstrækkelige skal ses i sammenhæng med kravet om, at oplysningerne skal være begrænset til det nødvendige ift. formålet med behandlingen.

Om behandlingen af personoplysninger er nødvendig for at opfylde det angivne formål må vurderes konkret under hensyn til, om behandlingen af oplysninger går videre end, hvad der kræves til opfyldelse af de formål, som den dataansvarlige er berettiget til at forfølge.

Offentlig myndighedsudøvelse

Offentlige myndigheder kan behandle almindelige personoplysninger, hvis behandlingen er nødvendig for, at myndigheden eller en tredjemand, til hvem oplysningerne videregives, kan udføre en pålagt opgave, der hører under offentlig myndighedsudøvelse. Det er navnlig tilfældet, når offentlige myndigheder træffer afgørelser. Som oftest vil faktisk forvaltningsvirksomhed også være omfattet.

Opbevaring af personoplysninger

Opbevaring af personoplysninger udgør en behandling af personoplysninger. Af sikkerhedsmæssige grunde skal den dataansvarlige derfor have et præcist overblik over, hvor oplysningerne er opbevaret. Der skal i den sammenhængudvises forsigtighed ved anvendelse af cloud-leverandører, der bruger datacentre både i og uden for EU.

Oplysningspligten

Den dataansvarlige skal underrette den registrerede i forbindelse med indsamling og behandling af den registreredes personoplysninger. Den dataansvarlige skal bl.a. informere om formålene med behandling af personoplysningerne, retsgrundlaget for behandlingen, opbevaringsperioden, eventuelle modtagere af personoplysningerne, logikken, der ligger bag en automatisk behandling af personoplysninger, og konsekvenserne af en sådan automatisk behandling.

Overførsel til tredjeland

En overførsel skal ikke udelukkende forstås som fysisk overførsel af personoplysninger til et andet land, hvor oplysningerne efterfølgende bliver lagret. En overførsel kan ligeså vel foreligge, hvis personoplysninger, der er lagret i EU, kan tilgås fra et andet land.

Personoplysninger

En personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person.

Profilering

Profilering dækker over enhver form for automatisk behandling af personoplysninger, der evaluerer personlige forhold om en fysisk person. Profilering sker navnlig for at analysere eller forudsige forhold om den fysiske person, f.eks. om personens arbejdsindsats, økonomiske situation, helbred, indkøbsmønstre, interesser eller geografisk position. 

Pseudonymisering

Pseudonymisering er behandling af personoplysninger på en sådan måde, at oplysningerne ikke kan henføres til en bestemt registreret uden brug af supplerende oplysninger. De supplerende oplysninger skal opbevares separat, og være underlagt tekniske og organisatoriske foranstaltninger, der sikrer, at de ikke henfører til en identificeret eller identificerbar fysisk person.

Relevante interessenter

Relevante interessenter kan f.eks. være nøglepersoner i forretningen, en databeskyttelsesrådgiver (DPO) eller en anden person, som er ansvarlig for behandling af personoplysninger, it-kyndige eller informationssikkerhedsmedarbejdere. 

Ret til dataportabilitet

Retten til dataportabilitet indebærer en ret for den registrerede til at modtage de personoplysninger om sig selv, som vedkommende har givet til den dataansvarlige i et struktureret, almindeligt anvendt og maskinlæsbart format.

Den registrerede har ret til at overføre oplysningerne til en anden dataansvarlig uden hindring fra den dataansvarlige, som personoplysningerne først er givet til.

Retten til dataportabilitet gælder, når behandlingen er baseret på samtykke eller på en kontrakt, og når behandlingen foretages automatisk.

Retlig forpligtelse

Udtrykket retlig forpligtelse omfatter forpligtelser, der påhviler den dataansvarlige, og som følger af lovgivning, administrative forskrifter fastsat ved lov, internationale og EU-retlige forpligtelser samt afgørelser truffet af domstolene eller administrative myndigheder. Derimod er aftaleretlige forpligtelser ikke omfattet.

Retningslinjer for behandling af personoplysninger

For at danne et passende sikkerhedsniveau skal den dataansvarlige og databehandleren fastsætte retningslinjer for behandling af personoplysninger. Eksempelvis retningslinjer for indsamling af oplysninger, underretning af de registrerede om behandling af deres oplysninger, adgang og autorisering til oplysningerne samt instrukser om brugen af kryptering og hyppigheden af backups.

Rettighedsstyring

Det bør sikres, at systemer og data kun kan tilgås af de personer, der har et arbejdsbetinget behov herfor. Dette forudsætter en formel autorisationsordning og arbejdsgang, der kun autoriserer personer, der er beskæftiget med de formål, hvortil oplysningerne behandles. Det er her nødvendigt at etablere en teknisk adgangskontrol i systemerne – som f.eks. en brugeridentifikation med tilhørende password.

Samfundets interesse

Med udtrykket opgave i samfundets interesse menes, at der skal være tale om opgaver af almen interesse, f.eks. behandling i statistisk, historisk eller videnskabeligt øjemed.

Samtykke

Den dataansvarlige kan anvende et samtykke fra den registrerede som et retligt grundlag for at behandle oplysninger om den pågældende. Samtykke skal gives i form af en klar bekræftelse, der indebærer en frivillig, specifik, informeret (dvs. veloplyst om, hvad der gives samtykke til) og utvetydig viljestilkendegivelse fra den registrerede. Ved samtykket accepterer vedkommende, at personoplysninger om denne behandles.

Ved ordet viljestilkendegivelse forstås, at den registrerede som udgangspunkt selv skal meddele sit samtykke. Der er dog intet til hinder for, at et samtykke bliver givet af en person, der har fuldmagt til at meddele samtykket på vegne af den registrerede.

Er der tale om behandling af følsomme personoplysninger, gælder der et krav om, at samtykket er udtrykkeligt. Kravet om at et samtykke skal være udtrykkeligt indebærer, at samtykket ikke kan indhentes stiltiende eller indirekte.

Den registrerede har til enhver tid ret til at trække sit samtykke tilbage.

Sikkerhedsmæssig risikovurdering

Ved enhver form for behandling af personoplysninger skal den dataansvarlige foretage en såkaldt risikovurdering med henblik på at klarlægge, hvilket sikkerhedsniveau, der er passende, samt sikre, at behandlingen lever op til dette sikkerhedsniveau.

Vurderingen skal tage hensyn til det aktuelle tekniske niveau, implementeringsomkostninger, behandlingens karakter, omfang, sammenhæng og formål samt risici af varierende sandsynlighed og alvor for fysiske personers rettigheder.

Hvis en type behandling sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, er det herefter pålagt den dataansvarlige, forud for behandlingen, at foretage en såkaldt konsekvensanalyse. 

Sikre tredjelande

Et sikkert tredjeland er et land, hvor Kommissionen har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, har et tilstrækkeligt beskyttelsesniveau.

Sletning

Den dataansvarlige skal indføre procedurer eller tekniske løsninger, der sikrer, at personoplysninger bliver slettet løbende, når de ikke længere er nødvendige til at opfylde indsamlingsformålet.

Den registrerede har i visse tilfælde ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse. Oplysningerne skal f.eks. slettes, hvis de ikke længere er nødvendige til at opfylde de formål, hvortil de blev indsamlet/behandlet, eller hvis den registrerede vælger at trække det samtykke tilbage, der er grundlaget for behandlingen.

Ved sletning forstås, at personoplysninger uigenkaldeligt bliver fjernet fra alle lagringsmedier, og at oplysningerne på ingen måde kan blive genskabt.

Standardindstillinger

Den dataansvarlige skal gennem standardindstillinger fastsætte passende tekniske og organisatoriske foranstaltninger. Formålet er at sikre, at kun personoplysninger, der er nødvendige under hensyn til formålet, behandles.

Statistiske formål

Personoplysninger kan behandles til formål relateret til historisk og videnskabelig forskning, herunder teknologisk udvikling, grundforskning og privat finansieret forskning samt statistiske formål. Ved statistiske formål forstås indsamling og behandling af personoplysninger med henblik på statistiske undersøgelser eller frembringelse af statistiske resultater. Personoplysninger kan overføres til opbevaring i arkiv efter reglerne i arkivlovgivningen.

Tekniske foranstaltninger

Den dataansvarlige og databehandleren skal gennemføre tekniske foranstaltninger med henblik på at sikre, at databeskyttelse i tilstrækkeligt omfang er tænkt ind i it-systemer og lignende.

Tredjeland

Et tredjeland er en stat, som ikke indgår i Det Europæiske Fællesskab eller EØS.

Udtrykkeligt angivne formål

Den dataansvarlige må kun indsamle personoplysninger til udtrykkeligt angivne og legitime formål. Indsamlingen kan ske til ét såvel som flere formål. Ved ”udtrykkeligt angivne formål” forstås, at den dataansvarlige i forbindelse med indsamlingen skal angive et formål, som er tilstrækkeligt veldefineret og afgrænset til at skabe åbenhed og klarhed omkring behandlingen. En generel, åben eller vag beskrivelse af formålet med behandlingen, som f.eks. ”til administrative formål”, er derfor ikke tilstrækkelig.

Senere behandling af indsamlede personoplysninger må ikke være uforenelig med de oprindelige indsamlingsformål. Det betyder, at den dataansvarlige ikke frit kan vælge at genbruge eller videregive allerede indsamlede personoplysninger.

Underdatabehandler

Efter forudgående godkendelse fra den dataansvarlige kan databehandleren vælge at gøre brug af en anden databehandler - en såkaldt underdatabehandler.

Underdatabehandleren er pålagt de samme databeskyttelsesforpligtelser som den oprindelige databehandler. Opfylder underdatabehandleren ikke disse forpligtelser, er den oprindelige databehandler fuldt ansvarlig for opfyldelsen af underdatabehandlerens forpligtelser.

Underretning inden for 72 timer

Bliver den dataansvarlige bekendt med, at der er sket et brud på persondatasikkerheden, skal bruddet anmeldes til Datatilsynet uden unødig forsinkelse og om muligt senest 72 timer efter bruddet. Kan den dataansvarlige påvise, at bruddet på persondatasikkerheden sandsynligvis ikke indebærer risiko for fysiske personers rettigheder, er en anmeldelse ikke nødvendig.

Underrette de registrerede

Indebærer et brud på persondatasikkerheden med sandsynlighed en høj risiko for fysiske personers rettigheder, skal den dataansvarlige uden unødig forsinkelse underrette den registrerede herom i et klart og forståeligt sprog. Den dataansvarlige skal beskrive karakteren af bruddet samt bl.a. oplyse de sandsynlige konsekvenser heraf og de foranstaltninger, som den dataansvarlige har truffet for at håndtere bruddet.

Usikre tredjeland

Et usikkert tredjeland er at land, hvor Kommission ikke har fastslået, at tredjelandet, et område eller en eller flere specifikke sektorer i dette tredjeland, har et tilstrækkeligt beskyttelsesniveau.

Vitale interesser

Behandlingen af personoplysninger må ske, hvis behandlingen er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser. Det er bl.a. tilfældet, hvor den registrerede som følge af sygdom eller bortrejse ikke er i stand til at samtykke til behandlingen i tilfælde, og behandlingen har fundamental betydning for den registrerede.