Det betyder GDPR

25. maj skal du være klar til at overholde EU's persondataforordning.

GDPR Personal Data Protection ERP

Alle virksomheder, som indsamler personoplysninger fra EU-borgere, skal overholde GDPR. Foto: Colourbox

Fra den 25. maj skal alle private og offentlige virksomheder i Danmark overholde EU's nye persondataforordning. Overtrædes reglerne, som gælder i alle EU-lande, kan det blive dyrt.

- GDPR er sat i verden for at harmonisere reglerne til beskyttelse af borgernes privatliv i relation til indsamling af data og informationer i hele Europa. Målet har været at beskytte EU-borgernes ret til privatliv samt at ændre måde, hvorpå virksomheder og organisationer forholder sig til persondata, fortæller Jan Sandtrø, advokat og partner i DLA Piper.

EU-bureaukraterne og -politikerne har arbejdet med EU's nye persondataforordning, GDPR (General Data Protection Regulation) siden 2012. Den nye forordning erstatter tidligere lovgivning fra 1995, som også Persondataloven fra 2000 er baseret på her i Danmark. Derfor kommer der også en ny lov om behandling af persondata, som vil træde i kraft allersenest den 25. maj 2018.

GDPR er blevet nødvendig ikke mindst på grund af fremkomsten af globale it-giganter som Facebook og Google, som lever af at indsamle information. Hertil kommer stadigt nye teknologiske muligheder for at indsamle, sammenkøre og analysere data.

Tydelige aftaler
EU-Kommissionen fremhæver især tre punkter som de vigtigste ændringer i forhold til den tidligere lovgivning:

1. Dem omfatter flere virksomheder – GDPR gælder for alle virksomheder, der behandler persondata knyttet til EU-borgere, uafhængigt af virksomhedens adresse eller hvor disse data bliver behandlet.

2. Dyrere at bryde loven – den maksimale bøde er fastsat til 20 millioner euro eller 4 procent af virksomhedens globale omsætning.

3. Kræver tydelige aftaler – borgere, som der indsamles data fra, får enklere og tydeligere aftaler at forholde sig til. Virksomhederne må ikke længere bruge lange, uklare og komplekse vilkår som betingelse for brugen af f.eks. en app eller en tjeneste. Samtykke skal kunne gives i en forståelig og let tilgængelig form, som skal indeholde grunden til, at de pågældende oplysninger indsamles.

Aftale om behandling af personoplysninger
- Set med teknologiske briller er den vigtigste ændring i GDPR, at kravene om beskyttelse af persondata skal være indbygget i it-løsninger ved såkaldt Privacy by Design, og der kommer strengere krav til aftaler om håndtering af data, fortsætter Sandtrø.

- Hvad er en databehandleraftale?

- En aftale om behandling af personoplysninger er en aftale mellem en behandlingsansvarlig og en databehandler. En behandlingsansvarlig er den, som bestemmer, at personoplysninger skal indsamles og behandles. F.eks. vil en virksomhed, der har ansatte, være behandlingsansvarlig for personoplysninger om de ansatte, eksempelvis oplysninger som er knyttet til lønudbetalinger. Hvis virksomheden bruger et andet firma til at håndtere lønudbetalingerne, som f.eks. Bluegarden, Visma eller andre, så vil dette firma i denne sammenhæng være databehandler, eftersom de behandler personoplysninger på vegne af den behandlingsansvarlige, svarer Sandtrø.

GDPR indebærer flere krav til aftaler om databehandling. Kravene følger specielt artikel 28 i GDPR, hvor der bl.a. står, at en aftale om behandling af personoplysninger skal indeholde:

  • Formålet med behandlingen
  • Varigheden af behandlingen
  • Hvilken type personoplysninger og hvilke kategorier af registrerede data, som skal behandles
  • Den behandlingsansvarliges rettigheder og pligter

Kontrol over egne data
GDPR styrker også brugernes rettigheder i relation til data, som virksomheder har indsamlet om dem. EU-Kommissionen fremhæver især følgende fem punkter som særligt vigtige:

1. Varsel ved dataindbrud – Sker der dataindbrud skal kunder og tilsynsmyndigheder varsles senest 72 timer efter, virksomheden opdagede indbruddet.

2. Adgang til data – Borgerne har krav på at få at vide, præcis hvilke data, der er blevet indsamlet, hvordan de anvendes samt til at få en gratis, elektronisk kopi af ens egne persondata.

3. Ret til at blive glemt – Man har ret til at få alle personoplysninger om sig selv slettet samt at anvendelsen af de pågældende data bringes til ophør.

4. Flytning af data – Man har ret til at få udleveret sine data i en almindeligt format, som kan læses af andre it-systemer, og udlevere disse til andre parter.

5. Privacy by Design – Beskyttelse af persondata og informationssikkerhed skal som standard være indbygget i it-systemer, der behandler personoplysninger.

Dyr brøler
Har man ikke en aftale om databehandling, overtræder man persondataforordningen, og resultatet kan blive (meget) dyre bøder. Det samme kan ske, hvis selve aftalen ikke lever op til lovkravene. For manglende aftaler om databehandling er gebyrsatsen maksimalt 10 millioner euro eller 2 procent af den globale omsætning, afhængig af hvad der er dyrest. Hvis personoplysninger videregives til databehandlere i lande uden for EU kan bøderne blive på op til 20 millioner euro eller 4 procent af den globale omsætning.

Hold dig opdateret ...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.

 

Annonce

EU-GDPR

Hvorfor:
EU's persondataforordning (GDPR) har til formål at sikre borgere, slutkunder og brugeres data blandt andet for at forebygge cyberkriminalitet – men også for at regulere virksomheders kommercielle udnyttelse af persondata.

Hvordan:
EU-GDPR indeholder regler om, hvornår og hvordan personoplysninger kan og må behandles, hvilke pligter man har som dataansvarlig og databehandlere, og hvordan man skal dokumentere sin brug af persondata. Fx:

  • Krav om løbende risikovurdering og compliance
  • Mulighed for myndighedsinspektion
  • Krav om rapportering inden for 72 timer efter et datalæk
  • Mulighed for at udstede bøder på op til 20 millioner euro eller fire procent af den dataansvarlige virksomheds globale omsætning.

Målet er at styrke tilliden til udbydere af services og produkter, som i større eller mindre grad bygger på indsamling af personlige data, som i mange tilfælde vil have en digital komponent.

Reglerne handler altså ikke om industrispionage eller tyveri af produktinformationer eller intellektuelle rettigheder.

Hvornår:

  • EU-GDPR blev aftalt i december 2015
  • Trådte formelt i kraft i maj 2016
  • Det nye regelsæt får virkning fra maj 2018
Annonce