Skip to main content

Hvad står GDPR for?

GDPR står for Generel databeskyttelsesforordning.

 

Hvornår trådte GDPR i kraft?

Den generelle databeskyttelsesforordning, eller GDPR, trådte i kraft den 25. maj 2018 og erstatter EU’s databeskyttelsesdirektiv fra 1995.

 

Hvad er GDPR?

General Data Protection Regulation 2016/679 (GDPR) er EU-forordningen om databeskyttelse og privatliv for alle personer i EU. Det gælder for virksomheder, der håndterer data fra EU-borgere, der befinder sig i og uden for EU. Det er lige meget, hvor virksomhederne fysisk er placeret: Hvis du som virksomhed håndterer data fra EU-borgere, skal din virksomhed overholde GDPR. Forordningen træder i kraft den 25. maj 2018.

Formålet med GDPR er at give EU-borgere kontrol over deres personlige data tilbage. Folk skal (og bør) have ret til at vide, hvilke oplysninger virksomheder har om dem. Fra et samfundsmæssigt synspunkt giver GDPR folk rettigheder til at kræve indsigt i et hidtil ukendt territorium. Og det er en god ting. Når det så er sagt, kan GDPR være besværligt for virksomheder, da GDPR-overholdelse er mere end en mundfuld.

 

GDPR-lovgivning

GDPR gælder for alle organisationer med EU- eller nationale kunder og gælder for enhver form for data, herunder navne, adresser, e-mailadresser og IP-adresser. EU’s databeskyttelseslovgivning er fastsat i chartret om grundlæggende rettigheder, som blev medtaget i Lissabontraktaten i 2007. EU’s databeskyttelsesdirektiv fra 1995 (direktiv 95/46/EF) etablerede en ordning for beskyttelse af personoplysninger, der behandles af arbejdsgivere og andre.

 

GDPR-regler

Organisationer skal tage skridt til at beskytte brugerdata mod utilsigtet eller uautoriseret adgang, ødelæggelse, ændring eller uautoriseret brug. De skal også sikre, at data kvalitetskontrolleres for at beskytte mod uautoriseret adgang, ændring eller ødelæggelse. Endelig skal de træffe foranstaltninger til at sikre, at enkeltpersoner har ret til information om deres databeskyttelsesrettigheder og adgang hertil. Blandt reglerne er, at alle virksomheder, der indsamler og behandler personoplysninger fra enkeltpersoner, skal overholde GDPR. Dette omfatter virksomheder, der opererer uden for EU, og som indsamler og behandler data om EU-borgere. Forordningen giver også enkeltpersoner mulighed for at bede om deres personoplysninger i et bærbart format, som de kan adgang til fra enhver enhed. Forordningen pålægger også virksomhederne et større ansvar for at offentliggøre overtrædelser inden for 72 timer.

 

Hvem skal overholde GDPR?

Fra den 25. maj 2018 skal alle virksomheder, der driver forretning i EU, overholde den generelle databeskyttelsesforordning. Denne forordning fastsætter strenge regler for, hvordan personoplysninger skal indsamles, bruges og beskyttes. Forordningen fastsætter strenge regler for, hvordan personoplysninger skal indsamles, bruges og beskyttes. Det giver også EU-borgerne mere kontrol over deres personoplysninger. Det betyder, at virksomheder skal kunne beskytte personoplysninger og overholde GDPR for at kunne drive forretning i EU. Forordningen gælder for både dataansvarlige og databehandlere.

 

En forordning til beskyttelse af personoplysninger

Efterhånden som den digitale tidsalder fortsætter med at udvikle sig, gør den måde, virksomheder indsamler og opbevarer forbrugerdata på, det også. I et forsøg at beskytte folks privatliv har mange lande implementeret regler for, hvordan personoplysninger kan indsamles og bruges. Disse regler varierer fra land til land, men de har alle til formål at give enkeltpersoner mere kontrol over deres personlige data. I Den Europæiske Union gælder den generelle databeskyttelsesforordning for enhver virksomhed, der behandler eller har til hensigt at behandle personoplysninger om enkeltpersoner i EU.

 

Hvorfor er GDPR vigtigt?

Den generelle databeskyttelsesforordning (GDPR) er lavet for at beskytte privatlivets fred for digitale data. Forordningen er vigtig, fordi den skaber præcedens for, hvordan virksomheder skal håndtere EU-borgeres personoplysninger. Forordningen er også vigtig, fordi den giver enkeltpersoner ret til at vide, hvilke personoplysninger der indsamles om dem, ret til at disse data slettet og ret til at gøre indsigelse mod behandlingen heraf.

 

Få en GRATIS licens til ShareSimple i dag!

Hvordan påvirker GDPR min virksomhed?

GDPR-forordningen er en ændring af det foregående direktiv, men med nogle vigtige ændringer, som påvirker jeres virksomhed væsentligt. Nedenfor kan I finde nye og ændrede retningslinjer, som er vigtige at være opmærksomme på. Listen nedenfor skal ikke ses som en udtømmende liste, men en oversigt over vigtige områder, der vil påvirke jeres virksomhed:

  • Samtykke
  • Orientering om databrud
  • Ret til adgang
  • Ret til at blive glemt
  • Data-portabilitet

Samtykke
Samtykke vedrører personers udtrykkelige godkendelse, der giver jeres virksomhed mulighed for at bruge deres data på adskillige måder. Dette betyder ikke, at virksomheder skal kræve samtykke fra personen, hver gang der indsamles personlige data. For at give jer et eksempel, tænk på scenariet, hvor I gik til et websted, der tilbyder en gratis sund madplan. For at give dig den bedste plan, skal du give oplysninger (personlige data) om jer. Du skal udfylde, hvor gammel du er, hvor meget du vejer osv. Alle disse oplysninger er nødvendige for at give dig en sund madplan. Du behøver ikke samtykke til at indsamle de personlige data i dette tilfælde, da dataene er en del af at give dig en god madplan, det vil sige en “legitim brug”. Men. Hvis oplysningerne også bruges til markedsføringsformål, vil der være behov for samtykke for at bruge dataene i den forbindelse.

Orientering om databrud
Alle databrud er ikke skabt lige. Spektret af, hvad der defineres som et databrud, er meget bredt. De nødvendige handlinger ændrer sig langs spektret afhængigt af det specifikke databrud. Hvis en medarbejder mister sin firmatelefon, skal I som virksomhed ikke anmelde det til datamyndighederne, så længe telefonen er kodeordsbeskyttet eller på anden måde krypteret. I den anden ende af spektret, hvis din virksomhed oplever, at jeres database er hacket, er det jeres ansvar at informere relevante datamyndigheder om bruddet inden for 72 timer efter, at I er blevet opmærksom på bruddet.

Ret til adgang
Personer har ret til at anmode om indsigt i alle personoplysninger om dem. Det betyder, at jeres virksomhed skal præsentere alle de personlige data, I har om den specifikke person, gratis og i et format, der er elektronisk og forståeligt. Og prøv ikke at sende det i binær kode.

Ret til at blive glemt
I er forpligtet til at glemme alt, hvad I ved om en person. Dette betyder det, at jeres virksomhed skal slette de pågældende persondata og stoppe med at formidle dataene videre. Dette dog kun, hvis en virksomhed ikke har en legitim brug af dataene OG personen aktivt anmoder om at få dem slettet.

Data-portabilitet
Personen kan under forskellige omstændigheder anmode om, at jeres virksomhed enten udleverer alle de personoplysninger, der vedrører den pågældende, eller at I sender disse data til en anden virksomhed. Vær opmærksom på, at det skal være i et maskinlæsbart format! Derfor er der heller ingen binær kode her.

 

Hvad sker der, hvis jeg ikke overholder GDPR?

Kort sagt – ikke at overholde GDPR kan have ødelæggende konsekvenser for jeres virksomhed. Manglende overholdelse kan koste jer bøder på op til 20 millioner EUR eller 4% af jeres globale omsætning – alt efter hvad der er højest. Uanset størrelsen på jeres virksomhed eller omfanget af jeres virksomhed har I ikke råd til ikke at overholde GDPR.

Hvis ikke dette virker skræmmende, så gør en undersøgelse foretaget af Veritas måske, som hævder, at 40 % af EU-borgerne planlægger at udøve deres ret til at få adgang til de data, som virksomhederne har om dem. Rent praktisk er der en stor chance for, at tidligere eller nuværende kunder eller medarbejdere vil kræve, at I informerer dem om de data, I har på dem. For ikke at nævne den overhængende trussel om enorme bøder, så tænk på den tid, det vil koste jeres virksomhed at håndtere disse anmodninger. I skal ikke kun sende dataene til personer, men jeres virksomhed skal finde disse data hurtigt for at opretholde driftseffektiviteten. I har en måned fra anmodningen er modtaget til levering af data. Desuden, hvis jeres virksomhed modtager mange adgangsanmodninger, kan det være en for stor opgave, hvis I ikke har procedurer på plads – hvilket i sidste ende kan føre til et brud.

 

Hjælp til GDPR

Til at starte med er I nødt til at acceptere, at rejsen til at blive compliant ikke umiddelbart slutter, men er en kontinuerlig proces. Opdel jeres proces i trin, og tag dem én ad gangen. Vi har lavet en tjekliste her.

Sebastian Allerelli