Alternate Text

Din version af [[BrowserName]] er forældet, og nogle funktioner på siden virker muligvis ikke korrekt. Vi anbefaler, at du bruger den seneste version af Google Chrome

Ignorér / luk

04. november 2020

Hvad er GDPR?

Du har måske hørt om GDPR i sammenhæng med enorme investeringer i datasikkerhed eller måske kender du det som persondataforordningen - men hvad betyder de fire bogstaver?

Hvad er GDPR?

GDPR står for “General Data Protection Regulation” og kaldes i almindelig tale for persondataforordningen. Det er en slags EU-lov, der gælder i alle lande, som er medlem af EU.

Kort fortalt er princippet bag GDPR, at vi alle har ret til et privatliv. Det skal alene være op til den enkelte, hvorvidt vores oplysninger skal deles. Dette grundprincip er også afspejlet i det ansvar, som nu er pålagt dem, der beskæftiger sig med indsamling og behandling af dine personoplysninger.

Se hvordan Legal Desk virker. Artiklen fortsætter under videoen

video

Hvornår gælder GDPR?

GDPR gør sig gældende, hver gang personoplysninger indsamles og behandles.  Hvis du vil vide om GDPR er relevant for dig og din virksomhed, skal du: (1) undersøge om der er tale om personoplysninger, og (2) om der sker en behandling.

Personoplysninger

Personoplysninger er oplysninger i en hvilken som helst form (tekst, billede, lyd, video osv.), som kan bruges til at identificere en bestemt person. Det betyder, at oplysningerne kan kobles direkte til denne person alene.

Personoplysninger kan have forskellig karakter og være mere eller mindre personlige, så at sige. Personoplysninger omfatter på den måde alt lige fra en persons yndlingsfarve til vedkommendes religion eller seksualitet. For at en oplysning defineres som en personoplysning, skal den dog indgå i en sammenhæng, hvor den bidrager til identifikationen af en bestemt person.

Eksempel: En beskrivelse af en ‘kvinde med rødt hår’ i et register over den danske befolkning er ikke en personoplysning, da du ikke kan identificere nogen bestemt person ud fra den. Der er mange kvinder med rødt hår i Danmark.
En beskrivelse af en ‘kvinde med rødt hår’ i et register over ansatte på Århus Politistation, hvor der kun arbejder en enkelt kvinde med rødt hår, er en personoplysning, da den identificerer én bestemt person.

Selv IP-adresser er i den rette sammenhæng personoplysninger, da de kan bruges til at identificere deres ejermand.

Personoplysninger inddeles desuden i to kategorier:

  • Almindelige personoplysninger er de såkaldte harmløse oplysninger, såsom navne, e-mails og alder
  • Følsomme personoplysninger er særligt personlige oplysninger, som nyder ekstra stærk beskyttelse i GDPR. Det kommer til udtryk i form af flere krav til, hvornår disse personoplysninger må behandles. Følsomme personoplysninger er bl.a. oplysninger om din seksualitet, religiøse og politiske overbevisning, etnicitet, helbred og fagforening.

Databehandling

Behandling eller databehandling er kort fortalt alle handlinger, hvor personoplysninger indgår. Listen over handlinger, der anses som databehandling er nærmest uendelig.I GDPR gives der en række eksempler på handlinger der kategoriseres som databehandling:

Indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Som tommelfingerregel er der næsten altid tale om databehandling, hvis der indgår personoplysninger.

Hvem gælder GDPR for?

GDPR gælder for alle personer, virksomheder, myndigheder, foreninger og andre fællesskaber i hele EU. Herudover gælder GDPR også uden for EU, hvis der behandles personoplysninger om EU-borgere. Derfor skal bl.a. amerikanske virksomheder, der beskæftiger sig med personoplysninger om EU-borgere, også overholde GDPR.

GDPR skelner mellem forskellige parter, når der behandles personoplysninger. De forskellige parter inddeles sådan:

  • Datasubjektet er dig som privatperson. Du er datasubjekt, når det er dine personoplysninger, der behandles. Som datasubjekt har du rettigheder gennem forordningen, der sikrer dig dit privatliv. Se bl. a. såsom retten til at blive glemt.
  • Dataansvarlig er den person eller virksomhed, der er ansvarlig for dine personoplysninger. Det er ikke nødvendigvis den dataansvarlige, der behandler dine personoplysninger. Den dataansvarlige er ansvarlig for ethvert brud på GDPR.
  • Databehandler er den person eller virksomhed, der behandler dine personoplysninger. Det er muligt både at være dataansvarlig og databehandler på samme tid - det er typisk tilfældet i mindre virksomheder, og i virksomheder der primært beskæftiger sig med personoplysninger. Databehandleren kan også være en ekstern virksomhed, der behandler personoplysningerne på vegne af den dataansvarlige. Databehandleren kan både være en person, men også en virksomhed, myndighed, forening osv.

Er du dataansvarlig og/eller databehandler, er du forpligtet til at følge bestemmelserne i GDPR. Udover at behandle personoplysninger på en ordentlig måde, skal du også sikre, at datasubjektet i praksis kender og kan gøre brug af sine rettigheder - det gør du til bl.a. ved at leve op til kravene, der følger af oplysningspligten.

Datasikkerhed

GDPR forpligter den dataansvarlige til selv at sørge for, at dens regler overholdes. Det betyder bl. a., at den dataansvarlige skal indtænke databeskyttelse i alt, hvad der foretages i myndigheden eller virksomheden.

Det betyder også, at der med GDPR er kommet et stort fokus på datasikkerhed. Det skyldes to ting:

  • For det første er værdien af personoplysninger stigende, og det er derfor blevet mere eftertragtet for hackere at angribe virksomheder og myndigheder, der arbejder med personoplysninger.
  • For det andet er der indført meget store bøder, hvis GDPR ikke overholdes. Det påvirker ikke kun virksomheder og myndigheder økonomisk, men giver også dårlig omtale og omdømme.

Hvad sker der, hvis man ikke overholder GDPR?

GDPR er blevet særligt kendt for sine høje bøder, der uddeles af de administrative myndigheder i medlemsstaterne. Den administrative myndighed i Danmark er Datatilsynet, som ikke kan uddele høje bøder. Det skyldes, at vi i Danmark hellere vil overlade bøderne til vores domstole. Datatilsynet politianmelder derfor slemme overtrædelser, så den dataansvarlige kommer for retten.

Bødernes størrelsesordning:

  • 10 millioner euro eller 2 % af et selskabs samlede globale årlige omsætning for milde overtrædelser af GDPR
  • 20 millioner euro eller 4 % af et selskabs samlede globale omsætning for grove overtrædelser af GDPR
Business
Borsen
Ekstra Bladet
Politiken
Leder