Sådan overholder man UK-GDPR

Den britiske GDPR – også omtalt UK-GDPR – trådte i kraft den 31. januar 2020. UK-GDPR opstiller regler for, hvordan virksomheder indsamler, bruger og deler personlige data. Denne forordning er en international datalovgivning, hvis mål det er at beskytte enkeltpersoners privatliv og rettigheder samt at sikre, at enkeltpersoners personlige data ikke misbruges. Den britiske GDPR blev indført som en del af Storbritanniens forpligtelse til databeskyttelsesstandarder efter at have forladt EU. Det svarer til EU’s GDPR i forhold til en række specifikke bestemmelser, med undtagelser af visse dele af forordningen, som er skræddersyet til Storbritanniens juridiske og regulatoriske rammer. I Storbritannien regulerer den britiske GDPR databeskyttelse sammen med Data Protection Act fra 2018 og Privacy and Electronic Communication Regulations (PECR) fra 2003.

UK-GDPR gælder for jer, hvis:

• I driver virksomhed i Storbritannien og behandler personoplysninger
• I behandler personoplysninger om personer i Storbritannien

Hvis I driver forretning i Storbritannien eller tilbyder varer eller tjenester til borgere i Storbritannien, skal I sørge for, at blive bekendte med UK-GDPR, og hvordan den påvirker jeres virksomhed.

Den britiske databeskyttelsesforordning stammer fra den europæiske GDPR, som UK-GDPR deler nøgleprincipper med. Her er en vejledning i, hvordan I kan overholde regler i UK-GDPR:

1. Behandl data retfærdigt og lovligt, og fortæl folk, hvad I gør med deres data og hvorfor
2. Indsaml kun personlige data til specifikke, eksplicitte og legitime formål
3. Begræns de data, I indsamler, til det, der er tilstrækkeligt, relevant og nødvendigt for jer
4. Hold personlige data nøjagtige og opdaterede. Sørg for at rette eller slette unøjagtige eller ufuldstændige data
5. Slet persondata, når I ikke længere har brug for dem til det oprindelige formål
6. Implementer sikkerhedsforanstaltninger til at beskytte data mod uautoriseret adgang, tab, ødelæggelse eller skade
7. Sørg for dokumentation, der viser, at I overholder reglerne

I UK GDPR refererer “følsomme personoplysninger” til særlige kategorier af personoplysninger. Disse særlige kategorier ligner dem, der er skitseret i EU GDPR, og de omfatter:

• Race eller etnicitet
• Politiske holdninger
• Religion
• Fagforening
• Genetik
• Biometri
• Helbred
• Seksuelle oplysninger

Derudover kræves der specifikke sikkerhedsforanstaltninger for data om straffedomme og lovovertrædelser. Hvis I ønsker at indsamle nogen af de ovennævnte data, skal I vise, at I har en god grund. For eksempel for at beskytte folkesundheden eller for at udføre vigtig videnskabelig forskning. Ellers skal I have udtrykkeligt samtykke fra personen.

Der er seks lovlige grundlag, man kan bruge til at indsamle og behandle persondata.

1. At udføre en opgave i offentlighedens interesse eller som en del af en officiel funktion
2. For legitime interesser – enten for jer eller for en tredjepart
3. For at opfylde en kontrakt, I har med den registrerede
4. For at overholde juridiske eller lovgivningsmæssige forpligtelser eller for at forhindre eller opdage en forbrydelse
5. For at beskytte en persons vitale interesser, normalt for at beskytte deres liv og sikkerhed
6. Når I får et klart, informeret samtykke til at behandle en persons personlige data

I skal have mindst ét af disse juridiske grundlag for at indsamle persondata, der kan bruges til at identificere nogen. Husk at specificere jeres juridiske grundlag og formål med at indsamle persondata i jeres privatlivspolitik.

I henhold til DPA og UK-GDPR skal samtykke opfylde følgende:

• Samtykke skal gives frit. I skal give personer et valg og fuld kontrol over, om de vil give deres personlige data til jer. Giv dem derefter en chance for at nægte samtykke eller trække det tilbage, når som helst uden negative konsekvenser.
• Samtykke skal gives på et informeret grundlag. Fortæl altid folk, hvorfor I har brug for deres data, og hvad I agter at gøre med dem. Sørg for, at denne information er kortfattet og let at forstå.
• Samtykke skal være specifik. Sørg for at få samtykke til de specifikke formål, I skal bruge dem til. I bedes derfor adskille samtykkeerklæringer fra andre vilkår og betingelser.
• Samtykke skal gives entydigt. Brug eksempelvis afkrydsningsfelter, der skal markeret, for at få samtykke. Brug ikke afkrydsningsfelter, der er markeret på forhånd.

I Storbritannien er den alder, hvor et barn kan give sit samtykke til, at I behandler deres personlige data, i øjeblikket 13 år. Hvis et barn er under 13 år, skal barnets forældre eller værge derfor give samtykke på barnets vegne.

Dette er kendt som “the digital age of consent”. Dette er en anerkendelse af, at unge mennesker bruger digitale tjenester, og formålet er at beskytte deres privatliv. GDPR, sætter denne aldersgrænse til 16 år, men den britiske regering har valgt at sænke aldersgrænsen til 13 år.

Det er vigtigt at bemærke, at aldersgrænsen kun gælder for behandling af personoplysninger i forbindelse med onlinetjenester. For eksempel sociale medier, alle typer mobilapps og webshops. Andre former for behandling, som f.eks. medicinsk behandling eller retssager, kan have andre aldersgrænser eller krav om forældresamtykke.

Hvis I har tænkt jer at dele eller sælge en persons personlige data, skal I gøre det meget klart for vedkommende på forhånd. I skal angive, hvem I vil dele dataene med, hvorfor, hvad jeres juridiske grundlag er for at gøre det, og hvordan personen kan fravælge det. I skal også være sikker på, at alle, I deler personlige data med, beskytter dem ordentligt.

UK-GDPR og DPA kræver, at I beskytter alle de data, Iindsamler, med tekniske, fysiske og organisatoriske sikkerhedsforanstaltninger, som f.eks:

• Stærke adgangskoder
• Adgangskontrol
• Kryptering og pseudonymisering, afhængigt af dataenes risikoniveau
• Politikker, der garanterer fortrolighed, integritet og tilgængelighed af data
• En plan og procedurer til hurtigt at genoprette adgangen til personlige data i tilfælde af et sikkerhedbrud
• Regelmæssige test, vurderinger og evalueringer for at sikre, at alle disse foranstaltninger er effektive

Ja. UK-GDPR indeholder en række velkendte rettigheder, der skal give folk mere kontrol over deres egne data. Når en person beder jer om at respektere en af disse rettigheder, skal I normalt svare inden for 1 måned. I Storbritannien har folk ret til at anmode jer om at gøre følgende:

• Hvordan I bruger deres data
• Adgang til deres personlige data
• Opdatering af forkerte data
• Sletning af deres data
• Begrænsning af den måde, I behandler deres data på
• Videresendelse af deres data til en tredjepart

Her er nogle yderligere regler under UK-GDPR, man skal være opmærksom på:

• Fortegnelse: Oprethold en fortegnelse over alle dine databehandlingsaktiviteter
• Databrud: Rapporter brud på datasikkerheden inden for 72 timer
• DPIA: Visse typer databehandlingsaktiviteter kræver en konsekvensanalyse af databeskyttelse.
• Beskyttelse på tværs af grænser: Tjek, om de lande, I sender data til, har et tilstrækkeligt beskyttelsesniveau i forhold til Storbritannien, og om organisationer, I deler data med, garanterer tilstrækkelig beskyttelse
• DPO’er: Udpeg en DPO, hvis I er en offentlig myndighed, hvis I udfører omfattende, regelmæssig og systematisk overvågning, eller hvis jeres kerneaktiviteter omfatter omfattende behandling af særlige kategorier af data eller data relateret til straffedomme og lovovertrædelser

Overordnet set er principperne, kravene og endda ordlyden i den britiske GDPR meget lig EU’s GDPR. Men her er et par vigtige forskelle mellem EU’s GDPR og den britiske GDPR:

• Et barn kan give samtykke til databehandling, når det er 13 år, mens GDPR sætter det til 16 år som standard
• Private virksomheder kan i nogle tilfælde behandle data om strafbare handlinger
• Automatiseret beslutningstagning er tilladt med legitime grunde og indbygget beskyttelse
• Der er visse undtagelser fra den registreredes rettigheder til historiske, videnskabelige, statistiske og arkiveringsformål
• Man skal sikre yderligere lovlige grundlag for behandling af følsomme personoplysninger (og implementere rette sikkerhedsforanstaltninger)
• Der er visse undtagelser, når man behandler persondata til offentliggørelse i offentlighedens interesse
• Retsforfølgelse eller ubegrænsede bøder i nogle tilfælde. For eksempel hvis man bevidst eller uagtsomt indhenter eller videregiver personlige data uden samtykke