A10.200 Personoplysninger og behandling af personoplysninger
A10.210  Personoplysninger er enhver form for information, der kan
henføres til bestemte personer. Fingeraftryk, billeder eller biologisk materiale er også personoplysninger. Selv om oplysningerne er erstattet af et laboratorie- eller tappenummer, er det
stadig personoplysninger, hvis nummeret kan føres tilbage til
den oprindelige personoplysning (pseudonymiserede oplysninger).
A10.220 Følsomme personoplysninger er race, etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning, fagforeningsmæssige
forhold samt behandling af genetiske data, helbredsoplysninger eller oplysning om seksuel orientering. Almindelige personoplysninger er fx navn og adresse.
A10.230 Behandling af personoplysninger må ske

  • når den person, der behandles oplysning om, har fået oplyst, hvem der er ansvarlig for behandlingen og formålet
    med denne
  • når formålet er beskrevet og sagligt velbegrundet
  • når det begrænses til det nødvendige for at opfylde formålet
  • når oplysningerne er rigtige og ajourførte
  • så længe, det er nødvendigt for at opfylde formålet. Data
    skal slettes eller gøres anonyme, når der ikke længere er etformål med data. Dette skal defineres af den dataansvarlige
  • når oplysningerne beskyttes mod uautoriseret eller ulovlig
    adgang, og det sikres, at oplysningerne ikke kan gå tabt eller blive beskadiget
A10.240 Har man ret til at foretage en bestemt form for databehandling, fx indsamling af oplysninger, medfører det ikke nødvendigvis, at man også har ret til at foretage andre former for behandling fx videregivelse af de samme oplysninger. Dette skal
vurderes særskilt.
A10.250 Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko
for, at oplysningerne stjæles, mistes, beskadiges eller behandles ulovligt.
A10.260 Der skal foretages en konsekvensanalyse forud for databehandlinger, som kan indebære en høj risiko. Analysen skal omfatte

  • systematisk beskrivelse af aktiviteterne og formålet
    med disse
  • en vurdering af, om de er nødvendige og om formålene
    er rimelige
  • en vurdering af de risici, som behandlingen indebærer
    for de personer, der behandles oplysninger om
  • garantier, sikkerhedsforanstaltninger og mekanismer,
    der skal sikre beskyttelse af personoplysninger og sikre
    overholdelse af persondataforordningen.