GDPR – Startguide

55

Dette indlæg er et betalt indlæg og lavet I samarbejde med den/de omtalte virksomheder og/eller deres produkter. Alle hyperlænker er derfor betalte hyperlænker.

Hvad er GDPR?

GDPR (på dansk: persondataforordningen) blev vedtaget d. 4. maj 2016 og trådte i kraft d. 25. maj 2018. Loven sammenfatter og harmoniserer over 4 års lovgivning vedrørende databeskyttelse i den Europæiske Union.

GDPR indførte mange rettigheder for individer, bl.a. ved at skabe mange forpligtelser for databehandlere og dataansvarlige. Loven styrker borgeres ret til privatliv samt datasubjekters kontrol over, hvad data som deles og hvad der ikke skal deles med virksomheder. Dette opnås bl.a. ved at skærpe straffen, hvis virksomheder ikke overholder lovgivningen. Et eksempel på dette kan ses i bøder for overtrædelse af GDPR, som nu kan være op til 4% af et selskabs årlige omsætning globalt.

Grundlæggende begreber i GDPR

Nedenfor har vi samlet en liste over basale, men centrale begreber, som man bør være opmærksom på:

  • Persondata: Information, der enten er privat, professionel eller offentlig. Eksempler på dette er navne, adresser, email, bank adresse, sygeinformation og IP adresse mv.
  • Dataansvarlig: En dataansvarlig er en person eller virksomhed, der håndterer data og som driver sin forretning på baggrund af disse. Den dataansvarlige skal på ethvert tidspunkt kunne dokumentere, at behandlingen af personoplysninger ikke overtræder persondataforordningen.
  • Databehandler: En databehandler håndterer behandlingen af data på vegne af en dataansvarlig efter instrukser om, hvordan disse data skal behandles. I tilfælde af at databehandleren finder ud af, at den dataansvarlige håndterer persondata på ulovlig vis, har databehandleren pligt til at underrette Datatilsynet herom.
  • Databehandleraftale: Endatabehandleraftaleer en aftale, der indgås mellem en dataansvarlig og en ekstern partner, der håndterer data for kunden.
  • Datasubjekt: Et datasubjekt er den person, som man henfører data til.
  • Underleverandør: En underleverandør er i persondataforordningen betegnet som en tredjepart (databehandlerens partner), der træder til, hvis databehandleren ikke selv kan håndtere behandlingen af data eller levere en ydelse. Sådan en underleverandør kan eksempelvis supplere cloud-baseret server-løsninger.
  • DPO: En DPO (Data protection officer) skal sikre, at virksomheden overholder persondataforordningen. Det er i loven anbefalet, at en DPO hverken tilknyttes en IT- eller kommerciel afdeling, men i stedet har en fri rolle i organisationen. Hvor EU opfordrer alle, der håndterer persondata til at få en DPO, er det et lovkrav for en offentlig myndighed eller virksomhed, hvis dennes kerneforretning er at håndtere eller bearbejde persondata.
  • Konsekvensanalyse: En DPIA (Data protection impact assessment) skal udarbejdes, hvis man håndtere mange persondata. Den skal beskrive, hvad der sker, hvis der forekommer et sikkerhedsbrud. Beskrivelsen skal omfatte egne konsekvenser såvel som konsekvenser for de personer, hvis data er kompromitteret.

GDPR Bistand

GDPR kan være et kompliceret felt at få overblik over, og få implementeret i en organisation. Derfor kan man med fordel søge juridisk rådgivning indenfor GDPR på Legalhero, en platform for jurister, hvor man får en fast pris på projektet og kan vælge mellem forskellige rådgivere, alle eksperter indenfor GDPR.

Værd at vide om GDPR:

GDPR påvirker et bredere omfang end direktivet, da det ikke kun omfatter:

  • organisationer etableret i EU, men også
  • EU-baseret organisationer, uanset om data er behandlet inden- eller uden for EU og
  • organisationer uden for EU, der enten opererer inden for EU eller sælger produkter eller ydelser til datasubjekter i EU.

GDPR finder anvendelse på organisationer uanset hvor stor eller lille en organisation, der er tale om.

Hensigten bag loven var at bl.a. stoppe virksomheder i at lave uretfærdige beslutninger baseret på en anvendelse af algoritmer. Når en beslutning er lavet baseret på en algoritme, kan det udfordres.

Datasubjekter kan som følge af GDPR nu anmode om, at virksomheder, der behandler dennes persondata nu skal slette dette, hvis en række krav opfyldes. Det er eksempelvis en forpligtelse for databehandlere og dataansvarlige at slette data, hvis denne data ikke længere er nødvendig for virksomheden og dens funktion. Endvidere skal alt data, der indsamlet uden udtrykkelig samtykke eller underrettelse slettes. Det samme gælder for alt data, der benyttes ulovligt.

Centrale ændringer

GDPR medførte mange ændringer på den forhenværende databeskyttelseslovgivning, herunder:

  • Et krav om at anvende lovprincipper såsom ‘privacy by design’ og ‘privacy by default’, når der skal udvikles og lanceres en ny teknologi, produkt, ydelse mv.
  • En forpligtelse til at lave en konsekvensanalyse (på engelsk: DPIA eller data protection impact assessment).
  • Nye rettigheder i form af dataportabilitet og retten til at blive glemt.
  • Et krav om at underrette databeskyttelsesmyndigheder (Datatilsynet), hvis en overtrædelse finder sted.
  • Bøder for overtrædelse på op til 20 mio. euro eller (hvis bøden overstiger dette) 4% af selskabets årlige omsætning globalt og
  • særlige regler omkring målretning og benyttelse af børns data.

Hvad skal jeg ellers vide?

Når man har at gøre med GDPR, er det vigtigt først at stille sig selv disse spørgsmål:

Er jeg omfattet af GDPR?

GDPR finder anvendelse på alle virksomheder etableret i EU eller på organisationer som er uløseligt forbundet med sådan en virksomhed.

Behandler jeg persondata?

Databehandling er et meget bredt term, der inkluderer indsamling, opbevaring og anvendelse af persondata. Persondata indebærer information, der relaterer til en identificeret eller et identificerbart individ. Dette inkluderer online identifikation, såsomcookies, så længe det relaterer sig til det identificerede individ.

Er jeg en dataansvarlig eller en databehandler?

En dataansvarlig er en person, der fastlægger formålet og metoden for databehandlingen.

En databehandler er en person, der handler efter instruktioner fra den dataansvarlige.

Det er muligt, at der kan være flere dataansvarlige.