Den generelle forordning om databeskyttelse (GDPR) (forordning (EU) 2016/679) blev vedtaget den 27. april 2016 og trådte i kraft den 25. maj 2018. Forordningen er vedtaget af Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen. Formålet er at beskytte personoplysninger om personer i Den Europæiske Union (EU) og at gøre reglerne for databeskyttelse mere ensartede i hele EU.

Hvad omfatter GDPR?

GDPR gælder for behandling af personoplysninger, dvs. enhver oplysning, som kan knyttes til en identificeret eller identificerbar fysisk person (fx navn, e-mail, IP-adresse, lokationsdata). Forordningen gælder både for organisationer i EU og for organisationer uden for EU, når de tilbyder varer eller tjenester til personer i EU eller overvåger deres adfærd.

Vigtige principper i GDPR

  • Lovlighed, rimelighed og gennemsigtighed: Behandling skal ske på en lovlig og åben måde over for den registrerede.
  • Formålsbegrænsning: Oplysninger må kun indsamles til bestemte, eksplicitte og legitime formål.
  • Dataminimering: Kun de nødvendige data må indsamles og behandles.
  • Korrekthed: Data skal være korrekte og ajourførte.
  • Opbevaringsbegrænsning: Data må ikke opbevares længere end nødvendigt.
  • Integritet og fortrolighed: Data skal beskyttes mod uautoriseret adgang, tab eller ødelæggelse.
  • Accountability (ansvarlighed): Dataansvarlige skal kunne dokumentere overholdelse af reglerne.

Lovligt grundlag for behandling

Behandling af personoplysninger kræver et lovligt grundlag. De mest almindelige er:

  • Samtykke fra den registrerede
  • Opfyldelse af en kontrakt
  • Retlig forpligtelse
  • Beskyttelse af vitale interesser
  • Udførelse af en opgave i samfundets interesse eller offentlig myndighedsudøvelse
  • Legitime interesser, hvis disse ikke vejer tungere end den registreredes rettigheder

Rettigheder for registrerede

GDPR giver enkeltpersoner en række klare rettigheder. De vigtigste er:

  • Ret til indsigt: Få oplyst, hvilke data en organisation har om dig.
  • Ret til berigtigelse: Få urigtige oplysninger rettet.
  • Ret til sletning (»retten til at blive glemt«): Under bestemte betingelser få persondata slettet.
  • Ret til begrænsning af behandling: Få behandlingen begrænset i visse situationer.
  • Ret til dataportabilitet: Modtage egne data i et struktureret, almindeligt anvendt og maskinlæsbart format og få dem overført til en anden dataansvarlig.
  • Ret til indsigelse: Gøre indsigelse mod behandling, herunder profilering, under visse forhold.
  • Ret til at trække samtykke tilbage: Hvis behandlingen bygger på samtykke, kan dette til enhver tid trækkes tilbage.

Pligter for dataansvarlige og databehandlere

  • Føre ajourførte registreringer over behandlingsaktiviteter (for de fleste organisationer).
  • Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger.
  • Gennemføre Data Protection Impact Assessments (DPIA) ved højrisikobehandling.
  • Underrette tilsynsmyndigheden om brud på persondatasikkerheden inden for 72 timer, når det er påkrævet, og underrette berørte personer, hvis der er høje risici for deres rettigheder og friheder.
  • Indgå klare databehandleraftaler, når tredjepart behandler data på vegne af den dataansvarlige.
  • Etablere principper for databeskyttelse ved design og databeskyttelse som standardindstilling (privacy by design/by default).
  • Udpege en databeskyttelsesrådgiver (DPO), når det er påkrævet.

Håndhævelse og sanktioner

Manglende overholdelse kan føre til betydelige bøder. Ifølge GDPR kan bøder nå op til 20.000.000 euro eller op til 4 % af den årlige globale omsætning fra det foregående år, alt efter hvilket beløb der er højest. Derudover kan brud give anledning til erstatningskrav fra registrerede personer og skade virksomhedens omdømme.

Overførsler af persondata uden for EU

GDPR stiller krav til overførsel af persondata til lande uden for EU/EEA. Overførsler er kun tilladt, hvis:

  • EU-Kommissionen har fastslået, at landet har et tilstrækkeligt beskyttelsesniveau (»tilstrækkelighedsafgørelse«), eller
  • der er passende garantier, fx standardkontraktbestemmelser (SCC), bindende virksomhedsregler (BCR) eller andre godkendte mekanismer, eller
  • der foreligger en undtagelse, fx udtrykkeligt samtykke fra den registrerede i særlige tilfælde.

Praktisk tjekliste for virksomheder

  • Kortlæg hvilke persondata I behandler og til hvilket formål.
  • Fastlæg lovligt grundlag for hver behandlingsaktivitet.
  • Udarbejd eller opdater privatlivspolitikker og oplysningskrav til registrerede.
  • Sikre, at samtykke indhentes korrekt, når det bruges (frivilligt, specifikt, informeret og utvetydigt).
  • Indfør tekniske og organisatoriske sikkerhedsforanstaltninger (kryptering, adgangskontrol mv.).
  • Udarbejd procedure for håndtering af databrud og for anmodninger fra registrerede.
  • Overvej behovet for DPIA og eventuel udpegning af DPO.

Afsluttende bemærkninger

GDPR er en omfattende lovgivning, der stiller krav til både store og små organisationer. Reglen er direkte gældende i EU, men giver samtidig medlemsstaterne mulighed for at fastsætte visse nationale bestemmelser inden for udpegede områder. Hvis din organisation behandler personoplysninger, er det en god idé at søge juridisk rådgivning eller kontakte den nationale tilsynsmyndighed, hvis du er i tvivl om konkrete fortolkninger eller krav.