Følg os
Hvad er GDPR-lovgivningen?
Den “nye” GDPR-lovgivning er ved at være velkendt af mange. Den blev en realitet på præcis datoen 25. maj 2018 og gælder for myndigheder og virksomheder inden for EU – samt virksomheder uden for EU, hvis de sælger varer/tjenester til EU-borgere.
Omdrejningspunktet i GDPR-loven er som sådan data, der kan identificere personer – også kaldet personfølsomme data. F.eks. ting som e-mail, telefonnumre, cpr.nr. samt etniske oprindelse, politiske eller religiøse holdninger, seksualitet og genetisk data som DNA.
Det primære formål med GDPR er at skabe større gennemsigtighed og tillid imellem virksomheder, offentlige myndigheder og privatpersoner. Lovgivningen dikterer således, hvordan offentlige myndigheder og private virksomheder skal beskytte og håndtere persondata i form skærpede krav, som skal efterleves, og samtidig giver den enkelte person større kontrol over egen data og privatliv i form af rettigheder.
GDPR er en engelsk forkortelse, der står for General Data Protection Regulation. Typisk betegnes reglerne som Databeskyttelsesforordningen i dansk jura.
Reglerne bevirker i vort regi, at danske myndigheder og virksomheder skal efterleve følgende specifikke krav opsummeret i listen herunder
- “PSEUDONYME DATA”
Myndigheder og virksomheder skal dokumentere alle persondata, som de arbejder med. Derudover skal de overholde konceptet “pseudonyme data” som er måden hvorpå persondata håndteres, hvor dataene og de tilhørende informationer, der er med til at identificere personerne bag dataene, bliver holdt klart adskilt på grund af lovgivningen på området.
Det rent etiske aspekt kan måske også have noget at sige for mange typer af virksomheder, der ønsker at tænke i bæredygtighed og andre CSR-baner.
- PRIVACY BY DESIGN & PRIVACY BY DEFAULT
Myndigheder og virksomheder skal have klare procedurer og privatlivspolitikker, der sikrer og påviser, at reglerne for persondatabeskyttelse bliver overholdt – dette kaldes Privacy By Design og Privacy by Default
- THE RIGHT TO BE FORGOTTEN
Myndigheder og virksomheder skal overholde retten til at blive glemt eller “the right to be forgotten”, som giver personer ret til at få slettet alle registrerede oplysninger, om dem, hvis de ønsker dette, og når disse oplysninger ikke længere bliver brugt. Dette gælder også gratis søgemaskiner på nettet og lignende databaser.
Herunder skal de også overholde retten til oplysning, som giver personer ret til at få adgang til deres personlige data, få rettet unøjagtigheder, kræve deres persondata udleveret, eller flyttet til en anden dataansvarlig, hvis dette rent teknisk er muligt.
- “PRIVACY IMPACT ASSESSMENTS”
Myndigheder og virksomheder skal udarbejde en vurdering af, hvilke konsekvenser eventuelle læk og tab af data har for den enkelte person i en række situationer, hvor behandlingen af persondata kan medføre særlige risici for den enkelte person.
- SAMTYKKE
Myndigheder og virksomheder må ikke behandle persondata om en enkelt person, uden der er indhentet samtykke til det fra den pågældende person. Lovgivningen lever visse myndigheder formentlig stadig ikke helt op til herhjemme, da der eksempelvis har været visse sager med sagsbehandlere, der går for langt i kampen for spare på de offentlige ydelser til borgere.
- UNDERRETNINGSPLIGT
Myndigheder og virksomheder er forpligtet til at informere relevante myndigheder – herunder de nationale datatilsyn, inden for 72 timer, hvis der sker alvorlige brud på datasikkerheden. Interessant og en god regel af kende.
En underretning skal indeholde følgende informationer: Hvilke typer af data, der er tale om, antal registrerede, hvilke konsekvenser lækket/tabet har, og hvordan lignende forhindres i fremtiden.
- DPO (skal vi virkelig have en Data Protection Officer?)
Dette krav inden for GDPR-lovgivningen gælder KUN virksomheder og myndigheder, hvis kerneaktivitet er behandling af persondata såsom CPR-registret, sociale medier med videre.
De skal udpege en såkaldt Data Protection Officer (DPO), med et indgående kendskab til GDPR og persondataret. DPO’en skal rådgive, kontrollere og sørge for, at kravene bliver overholdt.
Det betaler sig at overholde GDPR
Det er værd at understrege, at GDPR langt fra kan betrækkes som værende ligegyldig.
Myndigheder og virksomheder skal overholde reglerne, ellers skal der vanke bøder i form af 4 % af deres omsætning eller 20 millioner euros, afhængigt af hvilket af de to beløb, der er størst. I Danmark er Datatilsynet den myndighed, der fører tilsyn og sikrer håndhævelsen af den pågældende lov.
Hos 24Support tilbyder vi blandt andet kurser og Office 365-systemer inden for GDPR-loven. Hjælp jer selv med at holde styr på reglerne nu.