GDPR (Persondataforordningen): Hvad er reglerne i EU?
GDPR i EU: Få klar forklaring på reglerne, dine rettigheder og virksomheders forpligtelser — beskyttelse af persondata og konsekvenser ved overtrædelse.
Den generelle forordning om databeskyttelse (GDPR) (forordning (EU) 2016/679) blev vedtaget den 27. april 2016 og trådte i kraft den 25. maj 2018. Forordningen er vedtaget af Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen. Formålet er at beskytte personoplysninger om personer i Den Europæiske Union (EU) og at gøre reglerne for databeskyttelse mere ensartede i hele EU.
Hvad omfatter GDPR?
GDPR gælder for behandling af personoplysninger, dvs. enhver oplysning, som kan knyttes til en identificeret eller identificerbar fysisk person (fx navn, e-mail, IP-adresse, lokationsdata). Forordningen gælder både for organisationer i EU og for organisationer uden for EU, når de tilbyder varer eller tjenester til personer i EU eller overvåger deres adfærd.
Vigtige principper i GDPR
- Lovlighed, rimelighed og gennemsigtighed: Behandling skal ske på en lovlig og åben måde over for den registrerede.
- Formålsbegrænsning: Oplysninger må kun indsamles til bestemte, eksplicitte og legitime formål.
- Dataminimering: Kun de nødvendige data må indsamles og behandles.
- Korrekthed: Data skal være korrekte og ajourførte.
- Opbevaringsbegrænsning: Data må ikke opbevares længere end nødvendigt.
- Integritet og fortrolighed: Data skal beskyttes mod uautoriseret adgang, tab eller ødelæggelse.
- Accountability (ansvarlighed): Dataansvarlige skal kunne dokumentere overholdelse af reglerne.
Lovligt grundlag for behandling
Behandling af personoplysninger kræver et lovligt grundlag. De mest almindelige er:
- Samtykke fra den registrerede
- Opfyldelse af en kontrakt
- Retlig forpligtelse
- Beskyttelse af vitale interesser
- Udførelse af en opgave i samfundets interesse eller offentlig myndighedsudøvelse
- Legitime interesser, hvis disse ikke vejer tungere end den registreredes rettigheder
Rettigheder for registrerede
GDPR giver enkeltpersoner en række klare rettigheder. De vigtigste er:
- Ret til indsigt: Få oplyst, hvilke data en organisation har om dig.
- Ret til berigtigelse: Få urigtige oplysninger rettet.
- Ret til sletning (»retten til at blive glemt«): Under bestemte betingelser få persondata slettet.
- Ret til begrænsning af behandling: Få behandlingen begrænset i visse situationer.
- Ret til dataportabilitet: Modtage egne data i et struktureret, almindeligt anvendt og maskinlæsbart format og få dem overført til en anden dataansvarlig.
- Ret til indsigelse: Gøre indsigelse mod behandling, herunder profilering, under visse forhold.
- Ret til at trække samtykke tilbage: Hvis behandlingen bygger på samtykke, kan dette til enhver tid trækkes tilbage.
Pligter for dataansvarlige og databehandlere
- Føre ajourførte registreringer over behandlingsaktiviteter (for de fleste organisationer).
- Implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger.
- Gennemføre Data Protection Impact Assessments (DPIA) ved højrisikobehandling.
- Underrette tilsynsmyndigheden om brud på persondatasikkerheden inden for 72 timer, når det er påkrævet, og underrette berørte personer, hvis der er høje risici for deres rettigheder og friheder.
- Indgå klare databehandleraftaler, når tredjepart behandler data på vegne af den dataansvarlige.
- Etablere principper for databeskyttelse ved design og databeskyttelse som standardindstilling (privacy by design/by default).
- Udpege en databeskyttelsesrådgiver (DPO), når det er påkrævet.
Håndhævelse og sanktioner
Manglende overholdelse kan føre til betydelige bøder. Ifølge GDPR kan bøder nå op til 20.000.000 euro eller op til 4 % af den årlige globale omsætning fra det foregående år, alt efter hvilket beløb der er højest. Derudover kan brud give anledning til erstatningskrav fra registrerede personer og skade virksomhedens omdømme.
Overførsler af persondata uden for EU
GDPR stiller krav til overførsel af persondata til lande uden for EU/EEA. Overførsler er kun tilladt, hvis:
- EU-Kommissionen har fastslået, at landet har et tilstrækkeligt beskyttelsesniveau (»tilstrækkelighedsafgørelse«), eller
- der er passende garantier, fx standardkontraktbestemmelser (SCC), bindende virksomhedsregler (BCR) eller andre godkendte mekanismer, eller
- der foreligger en undtagelse, fx udtrykkeligt samtykke fra den registrerede i særlige tilfælde.
Praktisk tjekliste for virksomheder
- Kortlæg hvilke persondata I behandler og til hvilket formål.
- Fastlæg lovligt grundlag for hver behandlingsaktivitet.
- Udarbejd eller opdater privatlivspolitikker og oplysningskrav til registrerede.
- Sikre, at samtykke indhentes korrekt, når det bruges (frivilligt, specifikt, informeret og utvetydigt).
- Indfør tekniske og organisatoriske sikkerhedsforanstaltninger (kryptering, adgangskontrol mv.).
- Udarbejd procedure for håndtering af databrud og for anmodninger fra registrerede.
- Overvej behovet for DPIA og eventuel udpegning af DPO.
Afsluttende bemærkninger
GDPR er en omfattende lovgivning, der stiller krav til både store og små organisationer. Reglen er direkte gældende i EU, men giver samtidig medlemsstaterne mulighed for at fastsætte visse nationale bestemmelser inden for udpegede områder. Hvis din organisation behandler personoplysninger, er det en god idé at søge juridisk rådgivning eller kontakte den nationale tilsynsmyndighed, hvis du er i tvivl om konkrete fortolkninger eller krav.
Regler, der håndhæves
|
| Dette afsnit kræver flere oplysninger. |
![[icon]](https://www.alegsaonline.com/image/Wiki_letter_w_cropped.svg.png){kind=small}
Den generelle forordning om databeskyttelse håndhæver regler, der beskytter folk mod en lang række spørgsmål vedrørende privatlivets fred. Den styrker folks ret til lovligt at give virksomheder tilladelse til at bruge deres private oplysninger. Den sikrer også, at folk har ret til at få deres private oplysninger ikke længere tilgængelige for en virksomhed. Den håndhæver også, at brugerne har ret til at tillade, at deres private oplysninger bliver offentliggjort eller ej. Forordningen sikrer også, at der ikke behandles personoplysninger, medmindre brugeren har givet tilladelse til, at databehandleren af personoplysninger må gøre det.
Tidslinje
- 25. januar 2012: Forslaget til den generelle forordning om databeskyttelse blev offentliggjort.
- 21. oktober 2013: Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige og Indre Anliggender (LIBE) stemmer om, hvorvidt GDPR skal blive den nye forordning for mennesker i Europa.
- 15. december 2015: Europa-Parlamentet, Rådet og Kommissionen (formelt trilogmøde) drøfter den generelle forordning om databeskyttelse. Den dag har GDPR resulteret i et fælles forslag.
- 17. december 2015: Europa-Parlamentets LIBE-udvalg stemte for forhandlingerne mellem de tre parter.
- 8. april 2016: Den generelle forordning om databeskyttelse er blevet vedtaget af EU. Den eneste medlemsstat, der stemte imod, var Østrig, som argumenterede for, at flere aspekter af den nye forordning ikke er tilfredsstillende sammenlignet med databeskyttelsesdirektivet.
- 14. april 2016: Den generelle forordning om databeskyttelse er blevet vedtaget af Europa-Parlamentet og erstatter det databeskyttelsesdirektiv, som de tidligere brugte.
- 24. maj 2016: Den generelle forordning om databeskyttelse er begyndt at blive anvendt i hele verden, men den er endnu ikke fuldt ud håndhævet. Det er 20 dage efter, at den generelle forordning om databeskyttelse er blevet offentliggjort i Den Europæiske Unions Tidende.
- 25. maj 2018: Den generelle forordning om databeskyttelse træder fuldt ud i kraft i hele verden. Det er to år siden, at forordningen blev oprettet.
- Juli/august 2018: GDPR træder i kraft i Island, Liechtenstein og Norge. Disse tre lande er blevet medlem af Det Fælles EØS-udvalg, da de alle er enige om at følge forordningen.
Spørgsmål og svar
Q: Hvad er den generelle forordning om databeskyttelse (GDPR)?
A: GDPR er en forordning vedtaget af Europa-Parlamentet, Rådet for Den Europæiske Union og Europa-Kommissionen, som beskytter folks personlige data i hele EU.
Q: Hvornår trådte den i kraft?
A: Den trådte i kraft den 25. maj 2018.
Q: Hvad har GDPR til formål at gøre?
A: GDPR har til formål at give borgerne kontrol over deres personoplysninger og forenkle reglerne for økonomiske forbindelser med andre lande ved at standardisere EU's procedurer.
Spørgsmål: Erstatter den eksisterende love?
A: Ja, den erstatter databeskyttelsesdirektivet fra 1995.
Spørgsmål: Skal lokale love ændres for at overholde GDPR?
Svar: Nej, der er ikke behov for ændringer af lokale love i EU, da forordningen er bindende.
Q: Hvad sker der, hvis nogen eller en virksomhed ikke overholder GDPR-loven? A: De kan risikere en bøde på op til 20.000.000 euro eller op til 4 % af deres virksomheds overskud fra det foregående år, alt efter hvilket tal der er højest.
Søge