Databeskyttelsesloven 2018 – britisk lov om persondata og rettigheder

Databeskyttelsesloven 2018: Få overblik over britisk persondataret, dine rettigheder, ansvarsfordeling og regler for opbevaring af personoplysninger.

Forfatter: Leandro Alegsa

Data Protection Act 2018 (c 29) er en lov vedtaget af den britiske regering i 2018 og erstatter den lov, der blev vedtaget i 1998.

Den indeholder regler for personer, der anvender eller opbevarer oplysninger om levende personer, og giver rettigheder til de personer, hvis oplysninger er blevet indsamlet. Loven gælder for data, der opbevares på computere eller i enhver form for lagringssystem, selv papirregistre.

Loven omfatter personoplysninger, som er fakta som din adresse, dit telefonnummer, din e-mailadresse, din jobhistorik osv.

De personer, der bruger oplysningerne, kaldes de registeransvarlige. De personer, som oplysningerne vedrører, kaldes de registrerede.

Hvad indfører Data Protection Act 2018?

Data Protection Act 2018 gennemfører og supplerer den britiske udgave af GDPR (ofte omtalt som UK GDPR). Loven fastsætter bl.a.:

  • Hvilke krav der gælder for behandling af personoplysninger (lovlighed, formålsbegrænsning, dataminimering, nøjagtighed, opbevaringsbegrænsning og integritet/fortrolighed).
  • Særlige regler for behandling af følsomme/særlige kategorier af data (fx helbredsoplysninger, race, politiske holdninger, fagforeningsmedlemskab).
  • Regler for overførsel af personoplysninger til lande uden for Storbritannien.
  • Undtagelser og nationale særlige regler — fx for retshåndhævelse, national sikkerhed, journalistik og forskning.

Rettigheder for de registrerede

Personer hvis data behandles har en række rettigheder, herunder:

  • Ret til indsigt (subject access) — få adgang til de oplysninger en organisation behandler om dig.
  • Ret til berigtigelse — få urigtige oplysninger rettet.
  • Ret til sletning (”retten til at blive glemt”) — i visse situationer kan du kræve, at oplysninger slettes.
  • Ret til begrænsning af behandlingen — gøre behandlingen midlertidigt begrænset.
  • Ret til dataportabilitet — få dine personoplysninger overført i et almindeligt, maskinlæsbart format.
  • Ret til indsigelse — fx imod direkte markedsføring eller behandling baseret på legitime interesser.
  • Ret ved automatiseret beslutningstagning — du har ret til ikke at være underlagt en beslutning udelukkende baseret på automatiseret behandling, hvis den får væsentlige retsvirkninger for dig (med visse undtagelser).

Lovliggørende behandlingsgrundlag

Behandling af persondata må kun ske på et af de lovlige grundlag, fx:

  • Samtykke fra den registrerede.
  • Opfyldelse af en kontrakt.
  • Overholdelse af en retlig forpligtelse.
  • Varetægtelse af vitale interesser.
  • Udførelse af en offentlig opgave.
  • Legitime interesser, hvor disse afvejes mod den registreredes rettigheder.

Pligter for registeransvarlige og databehandlere

Registeransvarlige og databehandlere har konkrete forpligtelser, bl.a.:

  • Sikre passende tekniske og organisatoriske sikkerhedsforanstaltninger.
  • Føre fortegnelse over behandlingsaktiviteter (Records of Processing Activities) i visse tilfælde.
  • Underrette Information Commissioner’s Office (ICO) om alvorlige brud på persondatasikkerheden inden for 72 timer, når bruddet indebærer en risiko for personers rettigheder og friheder. Databehandlere skal underrette deres registeransvarlige uden unødig forsinkelse.
  • Gennemføre vurderinger af konsekvenser for persondatabeskyttelsen (DPIA) ved behandlinger, der kan medføre høj risiko.
  • Udpege en Data Protection Officer (DPO) i situationer hvor det kræves (fx offentlige myndigheder eller store, systematiske behandlinger).

Tilfælde, særlige kategorier og aldersgrænser

Data Protection Act 2018 indeholder særlige regler for behandling af følsomme data og fastsætter nationale detaljer, som fx aldersgrænser for samtykke til digitale tjenester. I Storbritannien er den for børn typiske aldersgrænse for digital samtykke sat til 13 år (dette er lavere end den almindelige GDPR-standard på 16 år, og er en national tilpasning).

Overførsler af data uden for Storbritannien

Efter Brexit kræver overførsel af personoplysninger fra Storbritannien til et tredjeland normalt en vurdering af, om landet har et passende beskyttelsesniveau (en såkaldt adekvansbeslutning) eller indførelse af passende garantier (fx standardkontraktbestemmelser eller Binding Corporate Rules).

Håndhævelse og sanktioner

ICO håndhæver loven og kan udstede:

  • Advarsler og påbud.
  • Påbud om at bringe en behandling til ophør.
  • Tvungne sletninger eller begrænsninger.
  • Administrative bøder — under UK GDPR kan bøder være meget betydelige (op til flere millioner pund afhængigt af overtrædelsens karakter, herunder maksimumsbeløb fastsat i lovgivningen).

Praktiske råd

For organisationer:

  • Kortlæg hvilke personoplysninger I behandler, formålene og opbevaringsperioderne.
  • Implementér passende sikkerhed og adgangskontrol.
  • Dokumentér beslutninger om behandlingsgrundlag og før fortegnelser.
  • Udfør DPIA ved højrisikobehandlinger og træf foranstaltninger i overensstemmelse hermed.
  • Sørg for aftaler med databehandlere og klare procedurer for brudmelding.

For enkeltpersoner:

  • Spørg den organisation, der behandler dine oplysninger, hvis du ønsker indsigt eller rettelse.
  • Hvis din anmodning ikke efterkommes eller du oplever overtrædelse af dine rettigheder, kan du klage til Information Commissioner’s Office (ICO) eller søge erstatning ved domstolene.
  • Vær opmærksom på, hvem du giver samtykke til, og hvilke oplysninger du deler online.

Data Protection Act 2018 erstattede den tidligere Data Protection Act 1998 og tilpasser britisk lovgivning til moderne krav om persondatabeskyttelse. Loven fungerer i praksis sammen med UK GDPR og fastsætter både rettigheder for enkeltpersoner og pligter for organisationer, så personoplysninger behandles ansvarligt og sikkert.

Hovedpunkterne i databeskyttelsesloven

Dette er et kort og forenklet resumé af hovedprincipperne i den britiske databeskyttelseslov.

Det gælder f.eks. oplysninger om personale, kunder og kontohavere;

  • Hvis du indsamler oplysninger om personer af én grund, må du ikke bruge dem til en anden grund;
  • Du må ikke give personers oplysninger til andre personer eller organisationer, medmindre de giver deres samtykke;
  • Folk har ret til at se de data, som organisationer gemmer om dem;
  • Du må ikke opbevare oplysningerne i længere tid end nødvendigt, og de skal holdes ajour;
  • Du må ikke sende oplysningerne til steder uden for Det Europæiske Økonomiske Samarbejdsområde, medmindre der findes et passende beskyttelsesniveau;
  • Organisationer, der opbevarer oplysninger om personer, skal registrere sig hos Information Commissioner's Office;
  • Hvis du gemmer data om personer, skal du sørge for, at de er sikre og velbeskyttede;
  • Hvis en organisation har oplysninger om dig, der er forkerte, har du ret til at bede dem om at ændre dem.



Relaterede sider



Spørgsmål og svar

Q: Hvad er databeskyttelsesloven fra 2018?


A: Data Protection Act 2018 er en lov, der blev vedtaget af den britiske regering i 2018, og den erstatter den, der blev vedtaget i 1998. Den fastsætter regler for folk, der bruger eller opbevarer data om levende mennesker, og giver rettigheder til de mennesker, hvis data er blevet indsamlet.

Q: Hvilke typer data gælder loven for?


A: Loven gælder for persondata, som er fakta som din adresse, telefonnummer, e-mailadresse, jobhistorik osv.

Q: Hvilke typer af lagringssystemer dækker loven?


A: Loven gælder for data, der opbevares på computere eller enhver form for lagringssystem, selv papirarkiver.

Q: Hvad kaldes de mennesker, der bruger oplysningerne?


A: Folk, der bruger oplysningerne, kaldes dataansvarlige.

Q: Hvad kalder man de mennesker, som dataene handler om?


A: De mennesker, som dataene handler om, kaldes de registrerede.

Q: Giver Data Protection Act 2018 nogen rettigheder til dem, hvis data er blevet indsamlet?


A: Ja, databeskyttelsesloven fra 2018 giver rettigheder til de personer, hvis data er blevet indsamlet.

Q: Hvilke rettigheder har personer, hvis data er blevet indsamlet i henhold til Data Protection Act 2018?


A: Databeskyttelsesloven fra 2018 giver rettigheder til personer, hvis data er blevet indsamlet, såsom retten til at få adgang til deres oplysninger, retten til at få deres oplysninger rettet eller slettet og retten til at gøre indsigelse mod, at deres oplysninger bliver brugt til bestemte formål.


Søge
AlegsaOnline.com - 2020 / 2025 - License CC3