Hvad er GDPR? Alt, du bør vide om persondataforordningen

GDPR er et sæt regler vedrørende beskyttelse af personoplysninger og privatlivets fred for enkeltpersoner, også kaldet registrerede personer, i Den Europæiske Union (EU) og Det Europæiske Økonomiske Samarbejdsområde (EØS). Selv om direktivet om databeskyttelse blev nedfældet i EU, så gælder det faktisk for virksomheder eller organisationer i hele verden, når de behandler med base i EU’s medlemslande.

GDPR blev indført i 2018 og erstattede det tidligere databeskyttelsesdirektiv, der indtil da havde fungeret som rammen for databeskyttelse siden 1995. Den nye og udvidede databeskyttelsesforordning blev udformet for at harmonisere databeskyttelseslovgivningen i hele EU. Den styrkede de registreredes rettigheder til at kontrollere, hvordan deres personoplysninger indsamles, bruges og deles. Den pålagde også organisationer, der behandler personoplysninger, nye forpligtelser.

Forordningen giver også virksomhederne et sæt regler at følge, som har til hensigt at gøre det at drive virksomhed i EU mere transparent. Alle organisationer og virksomheder, der håndterer private oplysninger om EU-borgere, skal overholde de gældende GDPR-regler for at forhindre databrud og for at håndtere brugerdata korrekt. Bøderne for overtrædelse af databeskyttelseslovgivningen og manglende overholdelse kan være meget alvorlige for virksomheder, da de kan få store bøder for at overtræde reglerne.

Reglerne er gældende for alle i EU, også herhjemme i Danmark. Her er det Datatilsynet, der håndhæver GDPR-loven og fører tilsyn med om virksomhederne overholder databeskyttelsesforordningen. Tidligere opererede vi i Danmark med den såkaldte Persondatalov, men den er således blevet erstattet og udvidet af lovgivningen vedrørende GDPR, der nu er implementeret som en del af den danske Databeskyttelseslov. Fra og med foråret 2018 blev Persondataloven dermed ophævet til fordel for den bredere og mere omfattende lov om GDPR-personoplysninger.

GDPR-reglerne gælder for enhver dansk eller international virksomhed, der behandler GDPR-oplysninger. Men hvad er GDPR-oplysninger så, når alt kommer til alt? Det er enhver form for følsomme personoplysninger, som indsamles eller på anden vis behandles af virksomheder lokalt som på tværs af landegrænser. Et af de største krav i forbindelse med GDPR-reglerne er, at en virksomhed skal kunne dokumentere for, at den indsamler og behandler de pågældende personoplysninger på juridisk korrekt vis. GDPR-loven gælder således for enhver virksomhed, som indsamler oplysninger om sine ansatte, eller som indsamler oplysninger om sine kunder og klienter.

I takt med at digitaliseringen af samfundet er steget kraftigt igennem de seneste 20 år, er indsamlingen af personoplysninger på tværs af hjemmesider og online platforme også steget løbende. Denne udvikling har vækket en vis bekymring for beskyttelsen af personfølsomme oplysninger. GDPR-loven har i den forbindelse iværksat en lang række nye GDPR-regler for behandlingen af persondata, og den regulerer således alle datapunkter, der bruges til at identificere en person entydigt, og omfatter:

• Grundlæggende identitetsoplysninger (navn, adresse, CPR-nummer og pasnummer)
• Hjemmesidedata (IP-adresser, lokation, cookies)
• Helbredsmæssige, genetiske og biometriske data
• Race eller etnisk oprindelse
• Politiske eller religiøse overbevisninger
• Seksuel orientering
• Alle andre oplysninger, der identificerer en person

Persondataloven GDPR er ikke kun med til at beskytte borgernes rettigheder vedrørende personlige data, den tjener også som en effektiv GDPR-vejledning for virksomheder og organisationer, så de besidder et klarere og mere transparent regelsæt i behandlingen af data. På den måde får de forskellige virksomheder og organisationer indenfor EU klarere pejlemærker, som medvirker til at skabe mere tillid mellem virksomheder og privatpersoner såvel som virksomheder i mellem. Det er i sidste ende med til at opretholde et sundere grundlag for udviklingen af den digitale økonomi og samtidig medvirkende til at begrænse risikoen for misbrug af personoplysninger i forbindelse med cyberkriminalitet.

GDPR har fastsat syv nøgleprincipper for beskyttelse af personfølsomme data. Disse principper definerer, hvordan registeransvarlige for personfølsomme data bør indsamle, anvende og beskytte personoplysninger. De syv principper i GDPR-forordningen er som følger:

Organisationer og virksomheder skal kunne garantere, at deres databehandling ikke er i strid med GDPR-loven, at den er klar og tydelig, og at den udelukkende tjener forbrugeren eller det enkelte individ.

Organisationer og virksomheder, der indsamler de pågældende privatoplysninger, skal angive formålet med dataindsamlingen og kun opbevare dem, så længe det er nødvendigt for at nå dette formål.

Virksomhederne og organisationerne må kun indsamle de relevante forbrugeroplysninger, som er tilstrækkelige i bestræbelserne på at nå det tilsigtede formål.

Databeskyttelsesloven kræver på det kraftigste, at de indsamlede personoplysninger er nøjagtige. Alle irrelevante eller ukorrekte brugerdata skal slettes eller berigtiges.

Virksomheder og organisationer må kun opbevare personoplysninger i det tidsrum, det er nødvendigt for at opfylde det formål, som de bruger dem til.

De registeransvarlige skal behandle personoplysninger på en måde, så de kan sikre en passende overvågning af oplysningerne. Databehandlere skal træffe rimelige foranstaltninger til at beskytte private oplysninger mod uautoriseret og ulovligt misbrug og utilsigtet tilintetgørelse eller tab.

De dataansvarlige skal sikre og kunne bevise, at de behandler personoplysninger i overensstemmelse med loven og de gældende principper i GDPR-databeskyttelsesordningen.

Alle data skal behandles på retfærdig, lovlig og transparent vis ved hjælp af “passende tekniske og organisatoriske foranstaltninger” i henhold til GDPR. Hvis organisationer eller virksomheder behandler data i overensstemmelse med lovgivningen om databeskyttelse, vil det netop mindske risikoen for sikkerhedsbrud og derved øge informationssikkerheden for personer i Danmark såvel som i resten af EU.

Overholdelse af GDPR-loven henviser til, at staten er i overensstemmelse med den generelle databeskyttelsesforordning, en forordning om databeskyttelse og beskyttelse af privatlivets fred for alle EU’s medlemsstater. For at være i overensstemmelse med GDPR-loven skal en organisation eller virksomhed således følge de principper og krav, der er beskrevet i GDPR, når den behandler kundeoplysninger, medarbejderoplysninger eller anden form for personfølsom data. Organisationer og virksomheder, der ikke overholder GDPR, kan blive pålagt bøder og andre juridiske sanktioner.

Organisationer eller virksomheder, som ikke formår at sikre overholdelse af GDPR-loven, kan blive pålagt bøder og andre sanktioner. De specifikke bøder og sanktioner afhænger af overtrædelsens art og alvoren af den manglende overholdelse samt af organisationens størrelse og ressourcer.

GDPR har fastsat to bødeniveauer for manglende overholdelse af databeskyttelsesreglerne:

1. Mindre overtrædelser: For mindre alvorlige overtrædelser, som for eksempel manglende registrering af behandlingsaktiviteter eller manglende udpegelse af en databeskyttelsesansvarlig, kan organisationer idømmes bøder på op til 10 millioner euro, eller hvad der svarer til 2 procent af deres samlede årlige omsætning, afhængigt af hvilket beløb der er højest.
2. Alvorlige overtrædelser: For de mere alvorlige overtrædelser, som for eksempel behandling af personoplysninger uden retsligt grundlag eller manglende indberetning af brud på persondatasikkerheden, kan organisationer idømmes bøder på op til 20 millioner euro, eller hvad der svarer til 4 procent af deres samlede årlige omsætning, afhængigt af hvilket beløb der er højest.

Ud over de respektive bøder kan virksomheder også blive pålagt andre sanktioner for manglende overholdelse af databeskyttelsesreglerne. Det kan for eksempel bestå af et midlertidigt eller permanent forbud mod behandling af personoplysninger eller suspension af databehandlinger.

Hovedformålet med den overordnede forordning om databeskyttelse er at styrke enkeltpersoners rettigheder til deres personoplysninger og give dem mere kontrol over behandlingen af personoplysninger. Sæt dig ind i dine rettigheder på internettet, og hvad du giver samtykke til, og husk, at du altid har ret til at få adgang til den dataopbevaring, som den dataansvarlige har indsamlet om dig. Du bør også huske på, at du altid har retten til at blive glemt.

GDPR-loven omfatter en liste på otte basale rettigheder, som ethvert enkeltindivid har, når han eller hun giver samtykke til, at organisationer eller virksomheder får adgang sine personoplysninger.

• Retten til at blive informeret

Ifølge GDPR har de registrerede personer ret til at blive informeret om, hvordan virksomheder indsamler, bruger og behandler deres følsomme personoplysninger. Enkeltpersoner har ret til at vide, hvor længe organisationen vil opbevare personoplysningerne, og hvem der i givet fald vil have adgang til dem.

• Retten til adgang

Den registrerede har ret til at anmode om adgang til sine personoplysninger og til at få oplysninger om formålet med indsamlingen og oplysninger om, hvordan den dataansvarlige opbevarer og behandler dem.

Hvis en person ønsker at vide, hvilke oplysninger en organisation har om vedkommende, skal vedkommende have en anmodning om aktindsigt. Kun den registrerede kan indsende anmodningen, og den dataansvarlige skal sende et svar i et læsbart format inden for en måned.

• Retten til berigtigelse

I henhold til GDPR loven har enkeltpersoner ret til at anmode om, at eventuelle ukorrekte, ufuldstændige eller unøjagtige personoplysninger om dem bliver rettet.

• Retten til sletning

Denne rettighed er også kendt som “retten til at blive glemt”. De registrerede har ret til at anmode den registeransvarlige om at få slettet deres personoplysninger permanent. Den dataansvarlige er dog ikke forpligtet til at slette en persons oplysninger, hvis det er nødvendigt for at overholde en virksomheds juridiske forpligtelser.

• Retten til at begrænse behandlingen

Hvis en person af særlige grunde ikke kan anmode om sletning, eller hvis oplysningerne ikke kan slettes, har vedkommende ret til at anmode om at få begrænset brugen og behandlingen af sine oplysninger.

• Retten til dataportabilitet

En person har ret til at anmode om at få personoplysninger overført til en anden organisation i et struktureret, almindeligt anvendt og læsbart format.

• Retten til at gøre indsigelse

I visse tilfælde har den registrerede ret til at gøre indsigelse mod behandlingen af personoplysninger. For eksempel hvis oplysningerne anvendes til direkte markedsføring, videnskabelig forskning eller enhver anden opgave i offentlighedens interesse.

• Retten til ikke at blive underlagt automatiseret beslutningstagning

Den registrerede har ret til at anmode om, at afgørelser, der vedrører eller i væsentlig grad påvirker den pågældende person, træffes af et menneske frem for ved hjælp af automatiserede processer.

Disse rettigheder gælder for alle personer med bopæl i EU, uanset hvor personoplysningerne behandles, eller hvor virksomheden eller organisationen har hovedsæde. De gælder også for dem, der køber tjenester eller varer fra ikke-europæiske organisationer eller virksomheder, der opererer i Europa. Det er vigtigt at notere sig, at disse rettigheder ikke nødvendigvis er absolutte, og at de kan være omfattet af visse undtagelser eller begrænsninger.