Hvad er GDPR?

Hvis du arbejder med databeskyttelse eller bare er aktiv online, har du sandsynligvis hørt om GDPR. Den er udarbejdet og vedtaget af EU og er den strengeste lov om beskyttelse af personlige oplysninger og sikkerhed i verden. GDPR er dog ikke udelukkende relateret til EU-lande. Fordi GDPR pålægger organisationer overalt i verden forpligtelser, hvis de er i besiddelse af data fra EU-borgere.

Derfor er det så vigtigt at sikre, at din virksomhed overholder GDPR.

Her forklarer vi, hvad der præcist er GDPR og de vigtige konsekvenser. Det omfatter emner som samtykke, overholdelse og personoplysninger.

Hvad er GDPR?

Den generelle databeskyttelsesforordning (GDPR) er den juridiske ramme, der styrer indsamlingen og behandlingen af personoplysninger om indbyggere i Den Europæiske Union (EU). Rammen blev første gang vedtaget i april 2016, men trådte først i kraft i maj 2018.

GDPR er den strengeste privatlivs- og sikkerhedslov på verdensplan. Det skyldes, at et websted stadig er ansvarligt i henhold til GDPR, selvom det ikke markedsfører varer eller tjenester specifikt til EU-borgere. Ethvert websted, der tiltrækker europæiske besøgende, påvirkes.

Hvorfor blev GDPR implementeret?

Europæerne har længe anset privatlivets fred for at være en nødvendig ret. Derfor blev det i Den Europæiske Menneskerettighedskonvention fra 1950 kodificeret, at “Enhver har ret til respekt for sit privatliv og familieliv, sit hjem og sin korrespondance.”

Alligevel blev konventionen overskygget af teknologiske fremskridt.

I 1995 vedtog EU derfor det europæiske databeskyttelsesdirektiv – for at fastsætte minimumsstandarder for databeskyttelse og sikkerhed. Ved hjælp af disse standarder udarbejder hvert medlemsland derefter sin lovgivning.

Hvad standarderne ikke værdsatte, var det store omfang af indsamling af personoplysninger. Det, der var brug for, var en måde at sikre offentlighedens samtykke på, hvilket er grundlæggende for EU’s holdninger til privatlivets fred – så EU vendte tilbage til tegnebrættet.

Med stadig flere af vores personoplysninger, der findes online, tog EU skridt til at øge beskyttelsen af EU-borgerne robust. Der blev udtrykt bekymring over det begrænsede regionale anvendelsesområde for tidligere lovgivningsinitiativer på trods af onlinesfærens globale rækkevidde. Derfor foreslog EU-lovgiverne regulering med virkelig global rækkevidde.

Resultatet blev GDPR.

Hvad er principperne i GDPR?

Under GDPR blev syv brede principper skitseret. Det drejer sig bl.a. om:

  1. Lovlighed, retfærdighed og gennemsigtighed. Al dataindsamling skal være lovlig, retfærdig og gennemsigtig for den enkelte.
  2. Formålsbegrænsning. Dataindsamling bør begrænses til kun væsentlige formål.
  3. Minimering af data. Der indsamles ingen irrelevante personoplysninger – de skal vedrøre det angivne formål.
  4. Nøjagtighed. Personoplysninger skal være nøjagtige og opdaterede.
  5. Begrænsning af opbevaring. Personoplysninger må kun opbevares, så længe det er nødvendigt til det angivne formål.
  6. Integritet og fortrolighed. Personlige data, der samtykkes til indsamling, skal opbevares sikkert.
  7. Ansvarlighed. Den dataansvarlige skal demonstrere, hvordan de overholder GDPR.

Beskyttelse af personlige oplysninger og GDPR

Ud over de syv principper anerkender GDPR også mange privatlivsrettigheder for registrerede. Det grundlæggende mål er at give brugerne mere kontrol og adgang til deres personlige data. Således ejes personoplysninger ikke længere af organisationerne, men udlånes blot i en periode.

De registreredes ret til beskyttelse af personlige oplysninger omfatter:

  1. Retten til at blive informeret
  2. Retten til indsigt
  3. Retten til berigtigelse
  4. Retten til sletning
  5. Retten til at begrænse behandlingen
  6. Retten til dataportabilitet
  7. Retten til indsigelse
  8. Rettigheder i forbindelse med automatiseret beslutningstagning og profilering

Hvad er kravene i GDPR?

Har du bemærket disse cookiebokse på et websted? Det er resultatet af GDPR. De blev implementeret, da kunderne for at være GDPR-kompatible eksplicit skal være tilfredse med enhver informationsindsamling. Da “cookies” er små filer med personoplysninger, falder de ind under dets ansvarsområde.

Det er dog ikke alle GDPR-kravene.

Efter et databrud skal websteder straks informere eventuelle besøgende, hvis deres personlige data påvirkes. De bliver nødt til at gøre dette, selvom deres lokale lovgivning ikke er så streng.

Desuden skal organisationer foretage en datasikkerhedsgennemgang for at sikre overholdelse. Og vurder, om en dedikeret databeskyttelsesansvarlig (DPO) er nødvendig. Brugere af webstedet skal også kunne kontakte den dataansvarlige og bede om, at deres personoplysninger slettes.

Endelig skal alle personligt identificerbare oplysninger (PII) anonymiseres; Det er ikke nok blot at opnå samtykke. Pseudonymisering er også tilladt – hvor et pseudonym erstatter en forbrugers identitet. Det gør det muligt for dataansvarlige stadig at foretage dataanalyse uden at bringe brugernes privatliv i fare.

Hvad sker der, hvis du ikke overholder GDPR?

Antag, at du ikke får udtrykkeligt samtykke til indsamling af personoplysninger? Du overholder ikke længere GDPR.

Så hvad sker der?

I de fleste tilfælde vil alvorlige overtrædelser af GDPR resultere i store bøder – op til £ 17.000.000. I nogle tilfælde kan GDPR-håndhævelsesregulatorer dog ikke bøde virksomheden, men kræver blot handling fra webstedsejeren.

Det lyder måske bedre – men det kan stadig plette din virksomheds omdømme betydeligt, hvilket fører til tab af kunder.

Uanset hvad, kan og vil manglende overholdelse af GDPR synke virksomheder. De fleste har ikke de nødvendige midler til at betale de iøjnefaldende bøder eller lide tab af forretning.

Det har ført til en alvorlig kritik af GDPR. Kritikere hævder, at det har skabt en unødig administrativ byrde. Der er også bekymring for, at retningslinjerne på den ene side er for vage for visse områder, dvs. medarbejderdata. Mens der på den anden side er en bekymring for, at den lovgivningsmæssige byrde vil fortsætte med at stige over tid, hvilket yderligere hæmmer online-virksomheder.

Konklusion

Uanset hvad du mener om GDPR, er det kommet for at blive. Med næsten alle væsentlige online forretninger berørt, er det vigtigt at kende ind og ud af GDPR for at forblive kompatibel.

Hvis du mener, at du er berørt af GDPR, anbefaler vi fuldt ud at læse selve den 88 sider lange forordning .

Kilder:

https://www.investopedia.com/terms/g/general-data-protection-regulation-gdpr.asp
https://dma.org.uk/article/what-is-gdpr-and-why-is-it-important
https://gdpr.eu/what-is-gdpr/?cn-reloaded=1
https://assets.publishing.service.gov.uk/government/uploads/system/uploads/attachment_data/file/711097/guide-to-the-general-data-protection-regulation-gdpr-1-0.pdf

Sales & Support