Den nye persondataforordning (GDPR)

image
EU's flag med GDPR skrevet i midten

Den 25. maj 2018 trådte den nye persondataforordning udstedt af EU i kraft. Forordningen har til formål at indføre ens regler på især det digitale marked i EU, men også for skriftligt indsamlet data omkring personer/brugere.

En forordning med fokus på jer, der arbejder med persondata

Den nye persondataforordning gælder for alle, der behandler persondata både elektronisk og manuelt. Virksomheder, der registrerer oplysninger omkring deres medarbejdere er også inkluderet. Persondata, som betegnelse, dækker over alt information, som kan være med til at identificere en person, herunder adresse, e-mail, cpr. nr., mm.

Forordningen har til formål at gøre brugernes rettigheder bedre ved at give dem større kontrol over deres egne data. Det vil blandt andet sige, at forordningen opsætter regler for, hvordan håndteringen af persondata skal foregå.

I forordningen bliver der opstillet nogle grundprincipper for behandlingen af persondata, som I skal overholde:

  • Brug dataen lovligt, rimeligt og gennemsigtigt
    – Brugerens oplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde, så brugernes data ikke bliver brugt ulovligt eller på en måde, som de ikke har godkendt.

  • Forklar formålet med indsamlingen af dataen
    – Brugeren skal vide, hvilket formål oplysningerne skal bruges til og dataen må ikke bruges til andet end det angivne formål

  • Minimer dataindsamlinge
    – Virksomheden må ikke indsamle mere data end det, der er nødvendigt for at opnå formålet

  • Hold brugernes data ajour
    – Brugernes oplysninger skal være korrekte og opdaterede. Oplysninger, der viser sig at være urigtige eller unøjagtige, skal rettes eller slettes hurtigst muligt

  • Opbevaring af persondata
    – Brugerens oplysninger må kun opbevares så længe, der er et sagligt formål for at opbevare dem

  • Dataens integritet og fortrolighed
    – Oplysningerne skal beskyttes mod ikke bemyndiget eller ulovlig behandling, ødelæggelse og beskadigelse

Hvad betyder persondataforordningen for jer?

Nogle af de vigtigste ting, som I skal være opmærksom på er:

At I som en virksomhed, der behandler persondata, skal kunne dokumentere, at I overholder reglerne, der er angivet i persondataforordningen. Det vil blandt andet sige, at I skal have fuld adgang til den data, der bliver indsamlet på jeres vegne. En udfordring ved denne regel er, at hvis I bruger Google Analytics, så kan I ikke få denne adgang. Det er fordi, Google ikke giver adgang til deres servere og data.

Der er også risiko for, at I får en bøde. Bødeniveauet bliver forhøjet således, at I kan komme til at skulle betale bøder på op til € 20 mio. eller 4 % af jeres virksomheds/koncerns globale omsætning.

Forordningen skærper også kravene for den samtykke brugere skal give, når de registreres som medarbejdere eller jobansøgere hos jer. Disse regler kommer dog til at afhænge af den danske implementering af reglerne bl.a. i forhold til muligheden for at indhente straffeattester.

I offentlige og nogle private virksomheder, skal I udpege en databeskyttelsesansvarlig (DPO). Den databeskyttelsesansvarlige kan enten være en medarbejder eller en ekstern person. Hvis det er en medarbejder, vil personen være omfattet af persondataforordningens regler omkring afskedeligelsesbeskyttelse.

I skal informere relevante myndigheder, hvis der sker et brud på jeres datasikkerhed.  I forlængelse hertil, er det også angivet, at I skal have samlet alle jeres data et sted. Udover, at reglerne angiver dette, bliver det også nemmere for jer, at holde styr på alt den data, som jeres virksomhed har fået indsamlet.

Som en sidste note, indeholder forordningen også mange tiltag, der kan øge kravene til ‘privacy by design’ og ‘retten til at blive glemt’, hvilket betyder at I skal være klar til at efterleve dette en gang i fremtiden.

Læs persondataforordningen her (engelsk)