Må mine oplysninger håndteres uden mit samtykke?

Det korte svar er ja.

Samtykke er bare én af seks hjemler, som myndigheder og virksomheder kan benytte, når de håndterer dine oplysninger. Nogle gange vil håndteringen af dine oplysninger kræve dit samtykke, men ikke altid.

Her på siden kan du blive klogere på dine rettigheder, og hvordan du får indsigt i, hvorfor dine data håndteres.

Hvad kan vi hjælpe med?

Svar på en række spørgsmål herunder, og lad os hjælpe dig videre.

Drejer din henvendelse sig om en offentlig myndighed eller privat virksomhed?

Før du kontakter Datatilsynet

Vi anbefaler altid, at du kontakter den virksomhed eller myndighed, som håndterer dine oplysninger, før du kontakter Datatilsynet. Jo mere viden du har om, hvilke oplysninger der håndteres, og hvorfor oplysningerne håndteres, jo bedre kan vi vejlede i den konkrete sag.

Datatilsynet kan nemlig ikke fortælle dig, hvilke af dine oplysninger en virksomhed eller myndighed håndterer. Vi kan heller ikke svare på, hvorfor de gør det.

Når du har indsamlet information om, hvilke oplysninger en virksomhed eller myndighed håndterer om dig og hvorfor, hjælper vi gerne med at svare på spørgsmål.

Men...

Nej, ikke altid - man kan f.eks. ikke bare bede Skattestyrelsen om at slette, hvad de har registreret om en.

Dem, der har dine oplysninger, skal ifølge GDPR slette personoplysninger, bl.a. hvis:

  • det ikke længere er nødvendigt for dem at have oplysningerne om dig,
  • de har dine oplysninger, fordi du har givet dit samtykke, men nu trækker du dit samtykke tilbage (og de har ikke andre lovlige grundlag for fortsat at have dine oplysninger),
  • det er ulovligt, at de overhovedet behandler oplysninger om dig/håndterer dine oplysninger.

Du skal dog være opmærksom på, at det ikke nødvendigvis er alle oplysninger om dig, en virksomhed kan og må slette. Der kan nemlig være andre regler end GDPR, der bestemmer, at en virksomhed skal opbevare oplysninger om deres kunder i en bestemt årrække, f.eks. bogføringsloven og hvidvaskningsloven. En virksomhed skal f.eks. efter bogføringsloven opbevare visse oplysninger om kunder i 5 år, før de må slettes.

Læs mere om retten til sletning her.

Har du mistanke om, at dine data bliver misbrugt, skal du kontakte den ansvarlige virksomhed eller myndighed for at afklare, om dine data er bliver videregivet af dem med vilje, og i så fald hvorfor de har videregivet dem. Herefter kan du kontakte Datatilsynet med spørgsmål til din sag.

Er du blevet udsat for identitetstyveri?

Datatilsynet kan ikke tage stilling til eller hjælpe dig med spørgsmål om identitetstyveri. Hvis du har været udsat for identitetstyveri eller har mistanke om, at det er ved at ske for dig, kan du få hjælp på sikkerdigital.dk - hotline om identitetstyveri.

Samtykke er ikke den eneste mulighed for at indsamle og bruge dine personoplysninger.

Virksomheder kan f.eks. også bruge dine oplysninger, hvis det er nødvendigt for at opfylde en kontrakt med dig. Det kan eksempelvis være, at du har købt en vare på nettet, og nu skal virksomheden bruge dine kontakt- og kortoplysninger for at kunne opkræve betaling og sende dig varen.

Offentlige myndigheder må i mange tilfælde også indsamle og bruge dine oplysninger, uden at myndigheden indhenter dit samtykke til at behandle oplysningerne. Det skyldes i det fleste tilfælde, at det står i loven, at myndigheder skal varetage en bestemt opgave. Og det er som oftest en forudsætning for at løse denne opgave, at myndigheden behandler dine oplysninger. Det er eksempelvis tilfældet, når skattemyndighederne modtager oplysninger om din indkomst og formue for at kunne lave din årsopgørelse og beregne den skat, du skal betale.

I nogle sager, f.eks. i sociale sager, vil myndigheden imidlertid efter andre regler skulle indhente et samtykke, der har til formål at sikre dine rettigheder og din indflydelse ved behandling af sagen. Sådan et samtykke er ikke et ”GDPR-samtykke”.

Læs mere om samtykke og de lovlige grundlag her.

Du kan til enhver tid trække dit samtykke tilbage.

Hvis du tilbagekalder dit samtykke, skal den offentlig myndighed eller private virksomhed stoppe med at håndtere dine oplysninger, hvis IKKE de samtidig håndterer oplysningerne til et andet formål og med anden hjemmel. Opbevaring af dine oplysninger skal ophøre, når du tilbagetrækker dit samtykke, men KUN de oplysninger, der håndteres eller behandles på baggrund af samtykke. Oplysninger, hvor hjemlen er en anden - eksempelvis ved en kontrakt eller aftale som et ansættelsesforhold, kan fortsat blive håndteret eller opbevaret.

Hvis en offentlig myndighed eller privat virksomhed f.eks. opbevarer eller håndterer dine oplysninger af hensyn til overholdelse af reglerne om bogføring, vil de fortsat kunne gøre dette.

En tilbagekaldelse af et samtykke har ikke tilbagevirkende kraft, og tilbagekaldelsen påvirker derfor ikke den håndtering af oplysninger, der er sket forud for tilbagekaldelsen.

Hvad betyder det?

Når du er i kontakt med os i Datatilsynet, kan du møde forskellige ord, der kan kræve en forklaring. Herunder får du en forklaring på de oftest anvendte ord inden for databeskyttelse.

Personoplysninger omfatter al information om dig. En personoplysning kan f.eks. være dit fulde navn, dine økonomiske forhold eller oplysninger om dit helbred.

GDPR gælder for alle personoplysninger.

Visse typer af personoplysninger nyder særlig beskyttelse. Der gælder derfor strengere regler for at håndtere dem. Det er tilfældet med de særlige kategorier af personoplysninger, f.eks. helbredsoplysninger. Det er også tilfældet med oplysninger om strafbare forhold og oplysninger om personnummer.

Læs mere om personoplysninger her.

Når en offentlig myndighed eller privat virksomhed håndterer dine oplysninger, skal de altid have lov til det. Dette gør de ved at have en hjemmel. Der findes seks forskellige hjemler, hvoraf samtykke er ét af dem. 

Du kan læse mere om de andre hjemler her eller i boksen "Samtykke er ikke altid nødvendigt" nedenfor.

Samtykke betyder, at du har givet lov til noget. For at et samtykke er gyldigt, skal det være frivilligt, specifikt, informeret og utvetydigt. Det betyder blandt andet, at et samtykke ikke kan afgives stiltiende, og at der ikke må være tilknyttet (unødvendige) negative konsekvenser ved ikke at afgive et samtykke. Derudover kan et samtykke altid trækkes tilbage.

Den dataansvarlige afgør hvorfor (med hvilket formål) og hvordan (med hvilke hjælpemidler), personoplysningerne behandles. En dataansvarlig er som regel en offentlig myndighed, en virksomhed eller en anden type organisation, men det kan i princippet også være en person.

At behandle en personoplysning betyder, at en virksomhed eller offentlig myndighed fx har dit navn og adresse stående i et af deres systemer. De håndterer så at sige dine oplysninger. Man kan ikke give en personoplysning en god eller dårlig behandling, det betyder blot at dine personoplysninger, f.eks. opbevares.

Registrerede er personer, hvis oplysninger bliver behandlet. Du kan derfor kalde dig selv "den registrerede", når det kommer til GDPR.

Samtykke er ikke altid nødvendigt

En offentlig myndighed eller virksomhed behøver ikke altid at indhente dit samtykke for at kunne håndtere dine oplysninger. Det skyldes, at samtykke kun er en blandt flere mulige hjemler, der giver en offentlig myndighed eller privat virksomhed ret til at håndtere dine personoplysninger.

Samtykke kan i nogle tilfælde være den mest egnede hjemmel til håndtering af personoplysninger, men i andre tilfælde er det mere relevant at basere håndteringen på en af de andre hjemler – eksempelvis offentlig myndighedsudøvelse.

I nogle sager, f.eks. i sociale sager, vil offentlige myndigheder imidlertid efter andre regler skulle indhente et samtykke, der har til formål at sikre dine rettigheder og din indflydelse ved behandling af sagen. Sådan et samtykke er ikke et ”GDPR samtykke”.

Herunder kan du læse mere om de øvrige hjemler.

Håndteringen af personoplysninger er nødvendig af hensyn til en aftale med dig (den registrerede)

Det er nogle gange nødvendigt for en offentlig myndighed eller privat virksomhed at håndtere oplysninger om dig, for at kunne opfylde en aftale med dig. Dette gælder f.eks., hvis du køber noget på nettet.

Den private virksomhed skal have en god grund til at håndtere dine oplysninger, samtidig med at håndteringen ikke krænker dine interesser eller rettigheder

Denne hjemmel kan oftest kun benyttes af en privat virksomhed og ikke af offentlige myndigheder.

Håndtering af dine oplysninger er nødvendig af hensyn til en retlig forpligtelse

Den offentlige myndighed eller private virksomhed (den dataansvarlige) kan håndtere dine oplysninger, hvis det følger af en anden lov – eksempelvis hvidvaskloven eller bogføringsloven.

Håndteringen af oplysninger er nødvendig af hensyn til dine eller en anden persons vitale interesser

Dette kan være tilfældet, hvis du (den registrerede) ikke er i stand til at give samtykke – eksempelvis på grund af alvorlig sygdom.

Håndteringen er nødvendig af hensyn til en opgave i samfundets interesse eller offentlig myndighedsudøvelse

Når offentlige myndigheder håndterer dine oplysninger, vil det ofte være på baggrund af denne hjemmel. Det betyder blandt andet, at offentlige myndigheder som udgangspunkt ikke vil skulle have dit samtykke.

Behandling af klagesager

Her kan du læse om, hvordan vi behandler klagesager, hvilken sagsbehandlingstid du kan forvente, og hvordan vi drager nytte også af de klager, der ikke leder til en omfattende undersøgelse.

Send os et tip

Hvis du ikke kan klage, fordi en sag ikke handler om dine egne oplysninger, kan du sende os et tip. Så vil vi overveje, om vi selv skal undersøge det nærmere.

Er du i tvivl?

Hvis du er i tvivl, kan du læse mere om dine muligheder for at klage. Du kan også ringe til os for at få afklaret, om en klage kan være vejen frem for dig.