Lær alt om GDPR på fem minutter

Lær alt om GDPR på fem minutter

9 minutters læsning. Udgivet den 23-04-2022 under kategorien: gdpr.

General Data Protection Regulation, eller GDPR, har gennemgående ændret, hvordan virksomheder må behandle og håndtere data. Dette blogindlæg forklarer alt, hvad der er at vide om GDPR-regler, og hvordan de påvirker dig.

Hvad er GDPR (General Data Protection Regulation)?

GDPR kaldes også for persondataforordningen eller databeskyttelsesforordningen. Det er en EU-lov, der gælder i alle lande, som er medlem af EU. GDPR suppleres i Danmark med databeskyttelsesloven.

Persondataforordningen beskriver, hvordan virksomhederne må indsamle, beskytte og opbevare relevant personlig information. Forordningen bestemmer også, at virksomhederne ikke må opbevare oplysningerne længere end nødvendigt.

Loven beskriver yderligere, hvad privatpersoner skal forvente og kan kræve af en virksomhed, organisation eller myndighed, som indsamler og bruger oplysninger om dem.

Historien om GDPR

Den 25. maj 2018 er en vigtig dag inden for datasikkerhed. Det var den dag, at den gensidigt aftalte General Data Protection Regulation (GDPR) begyndte at blive håndhævet.

GDPR erstattede tidligere databeskyttelsesregler i hele Europa, der var næsten to årtier gamle - hvor nogle af dem først blev udarbejdet i 1990'erne.

I Danmark erstattede databeskyttelsesforordningen den tidligere persondatalov, som var den gældende lovgivning om persondata fra år 2000 til 2018.

Ifølge EU blev GDPR designet til at "harmonisere" databeskyttelseslovgivningen på tværs af alle dets medlemslande samt give større beskyttelse og rettigheder til enkeltpersoner.

GDPR blev også oprettet for at ændre, hvordan virksomheder og andre organisationer kan håndtere personlige oplysninger fra de aktører, de har kontakt med.

GDPR kan betragtes som verdens stærkeste sæt af databeskyttelsesregler, som forbedrer, hvordan folk kan få adgang til oplysninger om dem og sætter grænser for, hvad organisationer kan gøre med personlige data. Det GDPR-regelsæt, som er gældende i dag, indeholder 99 individuelle artikler.

GDPR-lovgivningen blev færdiggjort efter mere end fire års diskussion og forhandlinger – den blev vedtaget af både Europa-Parlamentet og Det Europæiske Råd i april 2016. Den underliggende forordning og direktiv blev offentliggjort i slutningen af april 2016.

Hvem gælder GDPR for?

Essensen i GDPR er persondata. Persondata er i store træk information, der gør det muligt for en levende person at blive direkte eller indirekte identificeret ud fra tilgængelige oplysninger.

Dette kan være meget personnært og simpelt, såsom en persons navn, lokationsdata eller et klart online brugernavn, eller det kan være noget, der er mindre "personligt": IP-adresser og cookies kan også betragtes som personlige oplysninger.

Under GDPR er der også nogle få særlige kategorier af følsomme personoplysninger, som er givet større beskyttelse. Disse personoplysninger omfatter oplysninger om racemæssig eller etisk oprindelse, politiske holdninger, religiøse overbevisninger, medlemskab af fagforeninger, genetiske og biometriske data, helbredsoplysninger og oplysninger omkring en persons sexliv eller orientering.

Det afgørende ved, hvad der kendetegner persondata er, at det gør det muligt at identificere en person ud fra dem– pseudonymiserede oplysninger kan stadig falde ind under definitionen af persondata.

Personoplysninger er så vigtige i GDPR, fordi enkeltpersoner, organisationer og virksomheder, der enten er 'kontrollanter' eller 'behandlere' af personoplysningerne, er omfattet af loven.

Selvom GDPR er en EU-lovgivning, kan GDPR også gælde for virksomheder, der er lokaseret udenfor EU. Hvis en virksomhed i USA f.eks. driver forretning i EU, kan GDPR-reglerne gælde for den virksomhed.

Gælder GDPR-reglerne for alle virksomheder?

Alle der regelmæssigt behandler personoplysninger er omfattet af lovgivningen.

Din virksomhed er omfattet af GDPR-reglerne hvis:

  • Den har ansatte, skal deres personoplysninger regelmæssigt behandles, f.eks. til lønudbetaling.
  • Virksomhedens kunder er privatpersoner, skal deres personoplysninger regelmæssigt behandles, f.eks. til levering af en service, vare eller betaling.
  • Virksomhedens kunder er personligt ejede virksomheder, skal deres personoplysninger regelmæssigt behandles.
  • Virksomheden ejer en hjemmeside, der tracker de besøgendes adfærd på hjemmesiden, bliver der behandlet personoplysninger.
  • Virksomheden kommunikerer med besøgende på dens hjemmeside via en kontaktformular eller e-mail, vil I behandle personoplysninger.

Hvad er GDPR's nøgleprincipper?

Kernen i GDPR er syv nøgleprincipper, som er designet til at fastsætte, hvordan personers data kan håndteres. De fungerer ikke som hårde regler, men i stedet som en overordnet ramme, der er designet til at omfavne de brede formål med GDPR.

Principperne er stort set de samme som dem, der fandtes under tidligere databeskyttelseslove.

GDPRs syv principper er:

  • Lovlighed, retfærdighed og gennemsigtighed
  • Formålsbegrænsning
  • Dataminimering
  • Nøjagtighed
  • Opbevaringsbegrænsning
  • Integritet og fortrolighed (sikkerhed)
  • Ansvarlighed

I virkeligheden er kun ét af disse principper – ansvarlighed – nyt for databeskyttelsesreglerne.

Få styr på GDPR-reglerne

Det vigtigste at have styr på inden for GDPR er korrekt indsamling, håndtering, opbevaring, oplysning og dokumentering af persondata.

Behandling af persondata

Behandling eller databehandling er de handlinger, der udføres, hvor personoplysninger indgår. Listen over den slags handlinger, der anses som databehandling, er meget lang. I GDPR gives der en række eksempler på handlinger, der kategoriseres som databehandling:

Indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Som tommelfingerregel er der næsten altid tale om databehandling, hvis der indgår personoplysninger.

Krav om databehandleraftale

En virksomhed skal indgå de nødvendige databehandleraftaler, hvis den benytter sig af databehandlere.

Dette kan være et svært område for mange virksomheder, da mange er i tvivl om, hvad præcis det vil sige at være en databehandler, og hvornår databehandleren behandler personoplysninger på vegne af den dataansvarlige.

Helt overordnet skal du lave en databehandleraftale, hvis du er dataansvarlig og instruerer en databehandler i at behandle personoplysninger på vegne af dig selv.

Almene databehandlere er bl.a.:

  • Bogholdere og bogføringssystemer, som f.eks. Dinero og e-conomics
  • Lønsystemer, som f.eks. Dataløn og Danløn
  • Digitale programmer til at generere og levere nyhedsbreve, som f.eks. Mailchimp og Active Campaign

Virksomheder skal have samtykke

Det er et krav ifølge GDPR, at virksomheder behandler personoplysninger lovligt. Det indebærer, at virksomheden skal have en gyldig grund til at behandle personoplysningerne.

En gyldig grund kan være, og oftest er, at virksomheden har fået samtykke til det. Samtykke betyder, at virksomheden har fået lov af en person til at behandle vedkommendes personoplysningerne.

Der er dog en række krav til, at et samtykke er gyldigt. Kravene er bl.a.:

  • Virksomheden skal kunne dokumentere, at den har fået skaffet samtykket korrekt, f.eks. ved at få det på skrift
  • Samtykket skal være utvetydigt og specifikt
  • Samtykket skal være givet frivilligt
  • Samtykket skal være en med aktiv viljestilkendegivelse
  • Samtykket skal være informeret

Anmeldelsespligt ved databrud

Databeskyttelsesforordningen har indført en selvanmeldelsespligt ved databrud, f.eks. ved ransomware-angreb, hvor persondata kompromitteres. Anmeldelsen skal ske inden for 72 timer.

"Databrud" kan være rigtig mange ting, men det kan også være meget simple situationer, som f.eks. en e-mail med personoplysninger, der sendes til den forkerte modtager. Det er derfor vigtigt, at virksomheder ved, hvad der tæller som et databrud.

Tekniske foranstaltninger skal beskytte data

Virksomheder skal indføre passende IT-systemer til at håndtere personoplysninger. GDPR-reglerne kræver, at IT-systemer og applikationer, der anvendes til behandling af persondata, skal have standardindstillinger, der sikrer den størst mulige beskyttelse af persondata.

Hvorfor skal virksomheder overholde persondataforordningen?

Lovgivning. GDPR er en officiel EU-lovgivning, og virksomheder skal derfor overholde den.

Image. Ved at have styr på GDPR fremstår jeres virksomhed som professionel overfor jeres kunder og samarbejdspartnere.

Databeskyttelse. GDPR handler først og fremmest om at sikre menneskers personoplysninger. Det er jeres ansvar som virksomhed at sørge for, at jeres kunders og ansattes persondata i praksis bliver beskyttet.

Dokumentering. Som virksomhed skal I kunne dokumentere, at I holder GDPR-lovgivningen. Det betyder, at virksomheden skal kunne bevise over for Datatilsynet, at den overholder reglerne og kravene. Virksomheden skal kunne vise, at den har indgået de nødvendige databehandleraftaler, har styr på deres samtykke, oplysningspligten mm.

Internt overblik. Udover at GDPR sikrer databeskyttelse, giver den også en mulighed til at få et overblik af virksomhedens processer, datatyper og IT-systemer.

Kommunikation med kunder. Alle medarbejdere i virksomheden skal kende GDPR-reglerne, så I kan kommunikere effektivt og korrekt med jeres kunder. Og som virksomhedsejer skal man kende reglerne, så kommunikationen med alle medarbejdere foregår korrekt.

Efterleve kundernes rettigheder. Kunder i en virksomhed bliver "registreret" i virksomheden, og de har derfor har nogle rettigheder med GDPR, som virksomheden skal imødekomme.

Det er f.eks. retten til oplysning om, hvordan deres oplysninger behandles af virksomheden og “retten til at blive glemt”, dvs. at persondata skal slettes eller anonymiseres.

Hvad er en privatpersons GDPR-rettigheder?

Mens GDPR uden tvivl påvirker virksomheder, dataansvarlige og databehandlere, er lovgivningen designet til at hjælpe med at beskytte enkeltpersoners rettigheder. Der otte rettigheder fastsat af GDPR, som gælder for alle. Disse spænder fra at give enkeltpersoner lettere adgang til de data, virksomhederne har om dem, til sletningen af data, når der ikke længere er brug for dem.

De fulde GDPR-rettigheder for enkeltpersoner er:

  • Retten til at blive informeret om oplysninger i et klart sprog, der er til at forstå
  • Retten til at vide, hvem der har adgang til oplysningerne
  • Retten til at vide, hvor lang tid oplysningerne bliver opbevaret
  • Retten til sletning af oplysninger
  • Retten til at få ændret forkerte oplysninger
  • Retten til at trække samtykket tilbage
  • Retten til at modsige sig direkte markedsføring
  • Retten til at få udleveret alle relevante oplysninger

Bøder ved brud på GDPR-reglerne

Et af de største og mest omtalte elementer i GDPR har været muligheden for regulatorer til at udstede bøder til virksomheder, der ikke overholder GDPR-reglerne.

Hvis en organisation ikke behandler en persons data på den rigtige måde, kan den blive idømt en bøde. Hvis en virksomhed skal have en databeskyttelsesansvarlig, men ikke har en, kan den idømmes en bøde. Hvis der sker et sikkerhedsbrud, som ikke anmeldes, kan virksomheden blive idømt en bøde.

Inden GDPR blev implementeret, var der mange spekulationer om, at databeskyttelsesmyndigheder ville idømme virksomheder, der brød lovgivningen, enorme bøder, men skete stort set aldrig. Databeskyttelsesundersøgelser kan være langvarige og komplekse – og hvis de er forkerte, kan de anfægtes gennem domstolene.

Efter implementeringen af GDPR er der imidlertid sket ændringer inden for håndhævelsen af GDPR-reglerne, og nu kan, og bliver, virksomheder ramt af store bøder.

En af de største bøder under GDPR til dato har været mod Google: Den franske databeskyttelsesmyndighed, National Data Protection Commission (CNIL), idømte virksomheden en bøde på 50 millioner euro i 2020.

Ifølge CNIL blev bøden udstedt af to hovedårsager: Google gav ikke tilstrækkelig information til brugerne om, hvordan virksomheden bruger deres data, som den får fra 20 forskellige tjenester, og Google fik heller ikke ordentligt samtykke til at behandle brugerdata.

CNIL har også udset bøder til La Ligas app, der udspionerede de folk, der downloadede den, og Bulgariens DSK Bank for ved et uheld at afsløre kundeoplysninger.

Brud på GDPR i Danmark

Selvom GDPR er blevet kendt for sine høje bøder til virksomheder, der uddeles af de administrative myndigheder, fungerer det ikke helt sådan i Danmark.

Den administrative myndighed i Danmark er Datatilsynet, som ikke har retten til at udstede høje bøder. Det skyldes, at tankegangen i Danmark er, at høje bøder skal overlades til domstolene. Datatilsynet politianmelder i stedet alvorlige overtrædelser, så den dataansvarlige i den pågældende virksomhed kommer for retten.

Forfatter Sofie Meyer

Kort om forfatteren

Sofie Meyer er copywriter og phishing-aficionado her i Moxso. Hun er uddannet cand.mag. i dansk og har gennem sin uddannelse haft en stor interesse for cyberkriminalitet, hvilket resulterede i et specialeprojekt om phishing.

Lignende indlæg