Compliance Artikel Datadrevet markedsføring Smarte beslutninger

GDPR kort fortalt - hvornår, hvorfor, hvem og hvad?

17 jul 2017

Hvornår?

Den 25. maj 2018 træder EU's persondataforordning med navnet General Data Protection Regulation (GDPR) i kraft i hele EU. Derefter skal virksomheder, offentlige myndigheder og organisationer, der behandler persondata opfylde den nye forordning.

Hvorfor?

GDPR har som formål at styrke og ensrette databeskyttelsen for individer i EU. Det primære mål med GDPR er at sikre borgerne kontrol over deres persondata og forenkle lovgivningen vedrørende international handel, ved at ensrette love og regelsæt inden for EU.

Hvem?

GDPR gælder alle organisationer verden over, der behandler persondata om borgere fra Den Europæiske Union (EU). 

  • "Persondata" betyder alle informationer i relation til en identificeret og identificerbar fysisk person. De inkluderer data om genetiske, mentale, kulturelle, økonomiske og sociale oplysninger.
  • "Følsomme persondata" er persondata, fx om racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, medlemskab af faglige organisationer, data vedrørende sundhed, seksualliv og seksuel orientering, genetiske data eller biometriske data.

Hvad?

GDPR pålægger organisationer at beskytte persondata via organisatoriske, administrative og tekniske tiltag og denne beskyttelse skal dokumenteres.

GDPR udstikker strenge krav til samtykke og transparens. For at opfylde kravene skal organisationer, der bruger persondata om individer, indhente personernes udtrykkelige samtykke.

Individer har ret til at:

  • Få besked når deres persondata behandles
  • Få adgang til de informationer der behandles
  • Få korrigeret ukorrektheder
  • Blive glemt
    Retten til at blive glemt giver individer ret til at kræve sletning af persondata. I tilfælde, hvor en organisation allerede har offentliggjort persondata, har denne organisation ansvaret for at få andre organisationer, der anvende disse data, til at efterleve anmodningen. Denne ret er dog ikke ubegrænset. Den skal være balanceret i forhold til ytringsfrihed, offentlighedens sundhedsinteresse, videnskabelig og historisk forskning og udøvelse eller forsvar af juridiske anmeldelser.
  • Retten til portabilitet
    Retten til dataportabilitet kræver, at organisationer, der anvender persondata, ved anmodning fra berørte individer skal overføre data til andre organisationer.
  • Individer kan også gøre indsigelse mod behandling af deres persondata, med mindre den dataansvarlige har tungtvejende juridiske grunde hertil.
  • Udtrykkeligt samtykke betyder en frivilligt afgivet, specifik og forståelig, informeret og utvetydig indikation af den enkeltes ønsker, enten ved udsagn eller tydelig, bekræftende handling. Fravalgsmodeller er ikke nok. Samtykke opnås typisk via en meddelelse om beskyttelse af personoplysninger. Ifølge GDPR skal en meddelelse om personoplysninger indeholde:
    • Identiteten på og kontaktoplysninger for den dataansvarlige (eller en repræsentant herfor).
    • Formålet som dataene indsamles og behandles til.
    • Yderligere information, der er nødvendig for at sikre, at data behandles retmæssigt.
    • De specifikke "juridiske formål" for virksomheden, der anvender dataene.
    • Modtagere eller modtagerkategorier. 
    • Perioden, hvor persondata vil blive opbevaret.
    • De forskellige rettigheder, der er tilgængelige for individer, fastlagt ved lov.
    • Retten til at fremsætte indsigelser til en datasikkerhedsmyndighed og kontaktoplysningerne på denne myndighed.
    • Om persondata vil blive overført til en tredjepart, fx uden for EU eller EØS.
    • Om angivelsen af persondata er obligatorisk eller frivillig (når de indsamles direkte fra individer).
    • Datakilden (når data indsamles fra tredjeparter)
    • Informationer, som en organisation oplyser i en meddelelse om beskyttelse af persondata, skal være:
    • Præcis, transparent, forståelig, lettilgængelig samt skrevet i et klart og tydeligt sprog, især hvis modtageren er et barn.
      At være transparent og give adgang til information om individer om, hvordan deres persondata vil blive anvendt, er et centralt element i GDPR, uanset hvordan man indsamler og behandler persondata. Organisationer er forpligtet til at oplyse individer om deres rettigheder. GDPR inkluderer regler om detaljerede og specifikke personoplysninger for individer og lægger vægt på, at meddelelser om personoplysninger skal være letforståelige og tilgængelige. Information skal præsenteres i en forståelig form ved hjælp af et klart, enkelt og tydeligt sprog. Kravene til meddelelser har været mindre restriktive, hvis levering til den pågældende person af disse informationer ville medføre en uforholdsmæssigt stor indsats.

Organisationer, der er afhængige af behandling af personoplysninger, skal udpege en databeskyttelsesansvarlig
Den databeskyttelsesansvarlige vil fungere som en forlængelse af databeskyttelsesmyndigheden for at sikre, at behandling af persondata, aktiviteter og systemer overholder lovgivningen og tænkes ind i designet.

GDPR kræver, at organisationer, der bruger persondata, skal gennemføre konsekvensanalyser (Privacy Impact Assessments, PIA) for at minimere risici for den registrerede.
Før virksomheder kan starte projekter, der involverer behandling af persondata, skal de gennemføre konsekvensanalyser vedrørende databeskyttelse og involvere den databeskyttelsesansvarlige for at sikre compliance i hele projektets varighed. At være compliant betyder, at du som virksomhed har fastlagt nogle processer og retningslinjer for at sikre at overholde de krav og regulativer, der findes.”

GDPR kræver, at organisationer informerer de nationale tilsynsmyndigheder i tilfælde af databrud inden for 72 timer efter, at et sådant brud er konstateret.
Det er vigtigt, at organisationerne har teknologien og processerne på plads, der gør dem i stand til at konstatere og reagere på databrud.

GDPR pålægger databehandlere et udvidet ansvar.
Alle organisationer, der udbyder databehandlingstjenester til dataansvarlige, inklusive tjenesteudbydere, der arbejder med persondata, skal opfylde de gældende regler i GDPR.

Beskyttelse af personoplysninger skal være være indtænkt i designet af systemer og processer (data protection by design).
Software, systemer og processer skal være opbygget, så de opfylder principperne for databeskyttelse. I fremtiden skal al software kunne slette data helt.
Organisationerne skal som standard kunne behandle den minimale, nødvendige mængde data.

GDPR introducerer en one-stop-shop, hvilket betyder, at alle europæiske databeskyttelsesmyndigheder (DPA) kan skride til handling, og at organisationer kun skal forholde sig til en DPA i Den Europæiske Union.
Det vil gøre det lettere og billigere for organisationer og give EU-borgere mulighed for at kontakte en databeskyttelsesmyndighed efter eget valg i forhold til indsigelser.

Organisationer, der ikke opfylder GDPR, risikerer bøder på op til 4 % af den årlige omsætning eller maksimalt EUR 20 mio. 

Arbejder du med Compliance?

Overhold lovgivningen og undgå dårlig omtale

Læs mere

Vil du modtage vores nyhedsbrev?

Interesser