GDPR

 

Hvad er GDPR?

GDPR står for General Data Protection Regulation (på dansk: Generel forordning om databeskyttelse), men bliver normalt blot kaldt databeskyttelsesforordningen i Danmark. Formålet med GDPR er at opstille et fælles regelsæt for, hvordan personlig data bliver indsamlet, benyttet og gemt på internettet.

GDPR er en forordning skabt af EU (Europæiske Union), som blev vedtaget den 14. april 2016 og trådte i kraft den 25. maj 2018, og afløste det tidligere danske databeskyttelsesdirektiv. Forordningen har derfor direkte virkning i alle EU’s medlemslande, men vil også påvirke virksomheder uden for EU, som sælger varer og ydelser, og håndterer personlig data for borgere i EU’s lande. Derfor har forordningen den effekt, at reglerne for beskyttelse af personlige oplysninger bliver styrket og standardiseret i mange lande. Derved bliver det enklere for virksomheder der opererer i flere lande, at overholde databeskyttelseslovene, da det nu er et fælles regelværk for hele EU. Samtidig giver lovgivningen mere magt til forbrugeren i forhold til håndtering af personlige oplysninger på internettet.

I denne artikel vil de vigtigste punkter vedrørende GDPR blive gennemgået – for at læse den fulde forordning, kan du klikke her.

 

Personoplysninger og følsomme personoplysninger

GDPR beskæftiger sig især med behandling af personoplysninger, dvs. personlige oplysninger som kan identificere den individuelle person. Disse oplysninger inkluderer bl.a. navn, adresse, mailadresse, IP-adresse, identificerbare billeder mm. Hertil skelnes der ikke mellem oplysninger relateret til personens private eller arbejdsmæssige rolle. Oplysninger som alene ikke kan identificere den individuelle person, men som godt kan sammen med andre oplysninger, hører også ind under personoplysninger.

I artikel 5 i forordningen er der beskrevet seks principper relateret til behandling af personlig data. Disse seks principper er kort fortalt:

  1. Lovlighed, rimelighed og gennemsigtighed: Personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde.
  2. Formålsbegrænsning: Personoplysninger skal benyttes til legitime formål og må ikke viderebehandles på en måde der strider imod disse formål.
  3. Dataminimering: Personoplysninger skal være tilstrækkelige, relevante og behandlingen af dataen skal være begrænset til det som er nødvendigt for dets formål.
  4. Rigtighed: Personoplysninger skal være korrekte.
  5. Begrænsning af opbevaring: Personoplysninger skal opbevares, så det ikke er muligt at identificere de registrerede i længere tid end det er nødvendigt.
  6. Integritet og fortrolighed: Personoplysninger skal behandles, så de er beskyttede mod uetisk benyttelse og beskadigelse eller tab.

Derudover er der et syvende overordnet princip, som siger, at en ansvarlig i virksomheden skal sørge for at deres behandling af forbrugernes persondata, stemmer overens med de overordnede principper.

Derudover skelnes der mellem almindelige personoplysninger og følsomme personoplysninger. Følsomme personoplysninger er bl.a. race, politisk overbevisning, religiøs overbevisning, genetisk data, seksuelle præferencer, fagforeningsmæssige tilhørsforhold og helbredsoplysninger. Som udgangspunkt er det ikke tilladt for virksomheder, at opbevare og behandle kundernes følsomme personoplysninger, men i enkelte tilfælde kan virksomheden få lov, hvis de udtrykkeligt har fået samtykke af personen til at behandle dataen til helt specifikke formål.

 

Hvad skal man  være opmærksom på som forbruger?

Da GDPR-lovgivningen trådte i kraft tilbage i 2018, modtog du garanteret flere mails fra virksomheder der informerer dig om deres nye persondatapolitik. GDPR forpligter dem nemlig til at opdatere deres virksomhedspolitikker vedrørende indsamling af persondata, så de stemmer overens med forordningen og i den sammenhæng skal de også informere forbrugeren, dig, om ændringerne.

GDPR-lovgivningen er en fordel for forbrugeren, da den tildeler dem mere magt i forhold til håndtering af deres persondata. Med forordningen trådt i kraft så skal forbrugeren frivilligt give samtykke, for at en virksomhed kan få lov til at behandle hans eller hendes personoplysninger. Samtidig har virksomheden pligt til at fortælle om, hvordan dataen bliver behandlet, og hvis forbrugeren beder om det, skal virksomheden udlevere en kopi af alle forbrugerens persondata, som bliver behandlet.

Forbrugeren vil altid have mulighed for at tilbagetrække sit samtykke og bede om at få dataen slettet, så virksomheden ikke længere kan benytte det. Hvis forbrugeren ønsker personoplysningerne tilrettet, så deres data bliver opdateret, eller begrænset, så virksomheden ikke kan bruge oplysningerne til databehandling, så kan de også bede virksomheden om dette.

Ved anmodning fra forbrugeren, skal virksomheder overføre persondataen til andre virksomheder. Hvis der skulle ske brud på datasikkerhed i en virksomhed, og forbrugerens persondata bliver kompromitteret, så skal forbrugeren underrettes indenfor 72 timer efter at sikkerhedsbruddet er opdaget.

 

Hvad skal man være opmærksom på som virksomhed?

GDPR-reglerne giver mindre magt til virksomhederne vedrørende indsamling, benyttelse og opbevaring af forbrugerens data. Alle virksomheder som er oprettet og/eller opererer i lande inden for EU’s grænser og som behandler personoplysninger for borgere i EU er omfattet af GDPR. Brud på reglerne i forfatningen kan medføre bøder som svarer til 4 % af virksomhedens omsætning, eller 20 millioner Euro, afhængigt af det beløb som er højest. Overraskende nok, så er det stadig kun et mindretal af virksomheder, der lever op til alle GDPR-reglerne.

 

Datatilsynet

Datatilsynet er den danske centrale uafhængige myndighed, som fører tilsyn med, at databeskyttelseslovene bliver overholdt hos alle gældende virksomheder i Danmark. Datatilsynet kommer højst sandsynligt ikke tilfældigt forbi din virksomhed for at tjekke om reglerne bliver overholdt, men reagerer på, hvis en kunde anmelder din virksomhed for at bryde reglerne. Samtidig har virksomheder pligt til at anmelde sikkerhedsbrud til Datatilsynet – altså, hvis personlige oplysninger ved en fejltagelse falder i hænderne på de forkerte personer.

 

Hvad skal man gøre for at overholde GDPR-reglerne?

Alle virksomheder som er omfattet af forordningen, er ansvarlige for overholdelse af GDPR-reglerne og for beskyttelse af kundernes persondata. For at benytte forbrugerens data, så skal virksomheden kunne bevise, at forbrugeren har givet samtykke til dette. Dette kunne f.eks. være, at forbrugeren ved et klik eller anden vis har accepteret at modtage nyhedsbreve til sin mail.

Som virksomhed er det en god ide at oprette eller opdatere deres retningslinjer vedrørende indsamling af data, så det er præcist defineret til forbrugeren, hvilken data der bliver indsamlet, hvordan den bliver indsamlet, hvad dataen bruges til, hvordan dataen bliver gemt og hvordan den kan slettes igen, hvis forbrugeren ønsker det. Derudover er det også en god ide, at virksomheden kan dokumentere, at de har indført passende foranstaltninger, så lovgivningens seks principper efterleves bedst muligt – bl.a. ved at oprette en passende persondatapolitik.

Internet-cookies indhenter informationer om forbrugeren, som sammenlagt kan bruges til at identificere dem – derfor indeholder cookies personoplysninger, så forbrugeren skal ligeledes også give samtykke før at virksomheden kan benytte cookies. Du kan læse mere om hvad cookies er her.

Ved punktlig overholdelse af GDPR-reglerne vil det uden tvivl forbedre virksomhedens brand og image, da man vil fremstå mere professionel og skabe større tillid til sine kunder.

Skriv et svar