Hov. Du er ikke logget ind.
DU SKAL VÆRE LOGGET IND, FOR AT INTERAGERE PÅ DENNE SIDE
Hvor mange stjerner giver du?

Hvad er GDPR? Et kig på persondataforordningen

440 Visninger
Hvor mange stjerner giver du? :
17 October 2019

Hvad er GDPR? Et kig på persondataforordningen

Persondataforordningen (GDPR) er blandt de vigtigste tiltag inden for persondata i årtier. Forordningen, der blev vedtaget den 14. april 2016 og trådte i kraft på tværs af den Europæiske Union (EU) og det Europæiske Økonomiske Samarbejdsområde (EØS) den 25. maj 2018, erstatter et alvorligt forældet og utilstrækkeligt direktiv fra 1995 - vedtaget helt tilbage i internettets tidlige stadier.

Persondataforordningen er et forsøg på at give EU-borgere mere kontrol over deres persondata, for, blandt andet, at sikre europæiske borgere og virksomheder har de rette værktøjer til optimalt at udnytte digitaliseringens mange muligheder. Forordningen forsøger at opnå dette, ved at forenkle persondatalovgivningsmiljøet, hvilket primært sikres ved at pålægge alle virksomheder lignende krav og forpligtelser.

Virksomheder i strid med forordningen vil blive sanktioneret med betydelige bøder for deres overtrædelse. Størrelsen af bøden afhænger af en række faktorer, såsom omfanget af overtrædelsen samt virksomhedens størrelse. I værste fald kan bøden ende på 20 millioner euro (ca. 149.000.000 kr.) eller hvad der svarer til 4% af virksomhedens årlige globale indtægt.

I det omfang, at virksomheder siges at ’interagere med europæere’ bindes de af persondataforordningen – uanset hvorvidt virksomheden befinder sig i EU. En virksomhed anses for at ’interagere med europæere’, når den sælger produkter og tjenester til EU-borgere og/eller behandler og opbevarer deres persondata. GDPR har således fuldstændigt forandret den made hvorpå data behandles - på tværs af alle brancher og hele verden over. Enhver virksomhed, som underlægges GDPR, er bundet af forordningen og de forpligtelser som medfølger, hver gang de behandler data. I praksis betyder det primært to ting: 

  • (i) opbevaring og behandling af data må ikke finde sted uden et fornuftigt retsgrundlag (afgørende er specielt indhentningen af udtrykkeligt samtykke), og

  • (ii) virksomheder bør overveje hvorfor, hvordan og hvornår, de behandler deres besøgenes data - og altid tydeligt informere dem om dette.

Ifølge persondataforordningen anses, blandt andre, følgende informationer som værende persondata: 

  • Navn
  • Billede
  • Telefon nummer
  • Fysisk adresse
  • E-mailadresse
  • Opslag på sociale medier
  • Personlig information vedrørende sygdom/medicin
  • IP-adresser
  • Oplysninger om bank- og kreditkort

Persondata defineres i Artikel 4(1) af GDPR som “enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person.” Det vil sige al den information, der kan identificere en bestemt person. Følgelig anbefaler vi, at man i sit arbejde med GDPR antager begrebet bør fortolkes meget bredt.

Hvorfor har vi brug for persondataforordningen?

Reglerne for håndtering af data, før GDPR trådte i kraft, var betydeligt forældede og på mange måder dårligt udstyret til at følge med i den digitale verden, som vi nu lever i. GDPR moderniserer netop disse regler, så de korrekt reflekterer nutidens moderne, digitale verden. Forordningen har opdateret forpligtelserne inden for blandt andet data, privatliv, samtykke og sikkerhed på tværs af Europa.

Måden hvorpå vi kommunikerer har de sidste år forandret sig fuldstændigt og næsten alle aspekter af hverdagen påvirkes i dag af data, på den ene eller den anden måde. At sende og modtage mail, dele filer, betale regninger og købe produkter er blot få eksempler på de mange ting, der ofte finder sted online, og deling af personfølsomme data i processen er blevet normen. Denne data bliver så indsamlet, lagret, analyseret, og i nogle tilfælde ulovligt udnyttet af virksomheder, som dermed skaber behovet for lovtiltag såsom persondataforordningen.

GDPR medfører blandt andet:

  1. Samtykke er afgørende

Virksomheder må ikke behandle vedkommendes persondata, hvis denne person ikke forinden har givet sit udtrykkelige og frivillige samtykke til dette, i en ubestridelig erklæring eller en klart bekræftende handling.

  1. Ret til adgang

Personer har ret til at få adgang til og indsigt i alle deres persondata og samtidigt blive informeret om, hvorvidt og hvordan virksomheden behandler og anvender deres data. Hvis en person anmoder om adgang til deres persondata, så er virksomheden straks forpligtet til - uden omkostninger for personen - at videregive en elektronisk kopi heraf.

  1. Ret til sletning/retten til at blive glemt

Personer har ret til at have al deres persondata slettet, hvis de anmoder om dette. Hermed tager de deres samtykke tilbage, hvilket betyder virksomheden ikke må behandle deres data igen, uden først at indhente et nyt samtykke. I praksis er det ikke al data, som virksomheden er forpligtet til at slette. For eksempel er data, som er påkrævet af lov i relation til for eksempel skat og revision, beskyttet. Derudover må virksomheden nægte at slette diverse persondata, hvis der er en legitim offentlig interesse i at bevare denne data online.

  1. Ret til dataoverførsel

Personer har ret til at have deres data overført fra en serviceudbyder til en anden.

  1. Ret til at blive informeret

Virksomheder skal informere personer før enhver form for indhentning og brug af deres persondata. Virksomheder er (i forlængelse af kravet om samtykke er afgørende) forpligtet til at indhente personens frivillige og udtrykkelige samtykke for at få ret til at anvende persondata. Samtykke kan ikke længere indhentes implicit, men skal, som nævnt tidligere, finde sted i en ubestridelig erklæring eller en klart bekræftende handling.

  1. Ret til at have deres data opdateret

Personer har ret til at have deres persondata ændret, hvis denne data, for eksempel, er forældet, utilstrækkelig eller direkte forkert.

  1. Ret til indsigelse

Personer har en ret til at gøre indsigelse mod indhentningen og brugen af deres persondata, hvilket, blandt andet, medfører at virksomheden skal stoppe med at anvende deres data til markedsføring øjeblikkeligt. Der er ingen undtagelser til denne regel og alt brug af persondata for den person, der har gjort indsigelse, skal stoppes øjeblikkeligt fra det tidspunkt virksomheden modtager indsigelsen. Det er virksomhedens eget ansvar at informere alle personer tilstrækkeligt om denne ret til indsigelse på en klar og tydelig måde.

  1. Ret til at blive underrettet

Personer har ret til at blive underrettet i tilfælde af brud på datasikkerhed, som kan påvirke deres persondata. Dette kan for eksempel være i forbindelse med et hackerangreb eller en anden påvirkning af systemet, der gør brugernes data usikker. Personer skal underrettes inden for 72 timer, gældende fra det tidspunkt, hvor virksomheden opdager sikkerhedsbruddet. 

Konklusion

Data er blevet en central del af hverdagen og påvirker næsten alle danskere på den ene eller den anden måde. Med data medfølger et væld af muligheder – positiver for både privatpersoner og virksomheder – men der er også mange risici forbundet og hermed potentielle negative følgevirkninger. Nødvendigheden for GDPR er tydelig. Ikke desto mindre, så bør det også stå klart, at GDPR på ingen måder er perfekt. Forordningen pålægger virksomheder og iværksættere verden over, store som små, et væld af udfordringer, bekymringer og udgifter. Når det er sagt, så medfølger også en række muligheder for de virksomheder, som gør det tydeligt, at de står inde for individets rettigheder og beskytter og respekterer persondata. De virksomheder, der er åbne omkring brugen af persondata og tydeligt informerer individet og henter ordentlige samtykke, har muligheder for at øge deres troværdighed og i sidste ende potentielt også kundeloyaliteten.

Hvor mange stjerner giver du? :
Vær den første til af få Emil blogindlæg Skriv dig op