GDPR-junglen: Forstå de vigtigste regler

Bliv klogere på, hvordan og hvorfor GDPR påvirker os alle i stigende grad.

GDPR er en jungle, man let kan fare vild i. Læs artiklen her og bliv lidt klogere. Foto: Ólafur Steinar Gestsson/Ritzau Scanpix

GDPR, Databeskyttelsesforordningen og Persondataforordningen.

Kært barn har mange navne.

Men hvad står de fine navne og forkortelsen egentlig for? Og hvad betyder den for os alle? Læs med her og bliv klogere på GDPR.

GDPR står for General Data Protection Regulation og er en lovgivning, som er indført af EU.

Databeskyttelse blev særlig relevant den 25. maj 2018, da alle virksomheder fra denne dato skulle efterleve GDPR-reglerne.

Reglerne skal beskytte os alle og de data, vi efterlader os. Men de mange regler kan være lidt af en jungle, som det er nemt at fare vild i, selvom reglerne faktisk ikke er helt så nye, som man skulle tro.

Det fortæller Allan Frank, som er IT- og Sikkerhedskonsulent ved Datatilsynet.

- De regler, der trådte i kraft d. 25 maj. 2018, er faktisk stort set identiske med de regler, som har været gældende siden år 2000 i Persondataloven. Så det er faktisk ikke blevet sværere at være data-ansvarlig. Den store forskel ligger i, at der er kommet et større fokus på at overholde reglerne siden 2018, siger Allan Frank.

Et af de største krav i GDPR er kravet til at dokumentere, at personoplysninger behandles efter reglerne.

- Det er en af de ting, som der er kommet et øget fokus på efter GDPR trådte i kraft i 2018. Både forbrugere og dem, der har ansvaret for data, har ligesom fået anledning til at stille flere spørgsmål til, hvordan vores data bliver brugt, Siger Allan Frank.

5 vigtige GDPR-regler

En virksomhed skal:
 

  • Føre en fortegnelse.
  • Dokumentere, at lovgivningens principper for god databehandling efterleves.
  • Dokumentere, at virksomheden har indført passende tekniske og organisatoriske foranstaltninger.
  • Oplyse kunder og ansatte om, hvordan deres data behandles.
  • Bevise, at virksomheden efterlever lovgivningen, f.eks. hvis der anvendes samtykke, databehandlere, mv.

Kilde: Datatilsynet

Hvorfor er det vigtigt? 

GDPR handler først og fremmest om at sikre brugere, kunder og ansattes personoplysninger. Noget som aldrig har været vigtigere, efter internettet er blevet mainstream. 

Vi sender emails, deler dokumenter, betaler regninger og køber varer ved at indtaste vores personlige oplysninger online. Det er informationer og data, der kan misbruges i de forkerte hænder. 

- Hvis man kan blive identificeret, så er der en kriminel værdi i at prøve at udnytte de mange oplysninger, der er på os. Det kan være at få fat i netbankoplysninger, CPR-oplysninger eller andet. Det er klart, at jo flere oplysninger de kriminelle har, jo flere muligheder får de kriminelle, siger Allan Frank. 

Og det er her GDPR skal hjælpe. Som borger eller kunde har man for eksempel “retten til at blive glemt”. 
En rettighed, der kan indebære, at data skal slettes eller “anonymiseres”, så man ikke længere kan finde oplysningerne.

GDPR gælder næsten alle

Alle, der regelmæssigt behandler personoplysninger, er omfattet af lovgivningen.

Ifølge GDPR defineres personlige data som enhver form for information relateret til en person såsom navn, billede, en emailadresse, bankoplysninger, opslag på sociale medier, oplysninger om lokation, helbredsinformation eller en IP-adresse.

Det betyder for eksempel, at virksomheder eller kommuner er omfattet, hvis de behandler personoplysninger til lønudbetaling.

Det samme gælder kunder, som en virksomhed handler med. Her er blandt andet personoplysninger, som kunderne giver virksomheden, så varerne kan blive leveret og betalt, omfattet. 

Sådan kunne man blive ved med at remse op. Med andre ord er næsten alle omfattet af GDPR.

Mange virksomheder halter efter

Men selvom reglerne trådte i kraft for godt halvandet år siden, så er det først for nylig, at mange virksomheder er begyndt at røre på sig for at efterleve de nye regler. 

I en undersøgelse, som omfatter mere end 800 IT- og forretningsfolk med ansvar for persondatabeskyttelse hos virksomheder med europæiske kunder, har Dell and Dimension Research konstateret, at 80 procent af virksomhederne kun har lidt eller slet ingen viden om GDPR.

- Vi kan allesammen blive bedre til at sikre vores data, og man kan sige, at man kunne måske godt blive bedre til at løse de her opgaver fælles, ved at flere kommuner for eksempel går sammen om opgaven. Men i sidste ende er det den enkelte data-ansvarlige, som har ansvaret, siger Allan Frank. 

IT- og Sikkerhedskonsulenten mener, at GDPR "lige skal finde sit leje" i hele samfundet. Men han er overbevist om, at reglerne er gode nok til, at de nok skal ende med at sikre os allesammen bedre i den digitale verden. 

05:42

Se indslag: Det har taget overhånd med GDPR, mener både Favrskov og Viborg Kommune. Søren Gade giver dem ret.

Luk video

Test din virksomhed

For at hjælpe de mange virksomheder, som er i tvivl, har Erhvervsstyrelsen og Datatilsynet udviklet en test, som de kalder for PrivacyKompasset

Testen skal hjælpe virksomheder i gang med at efterleve databeskyttelsesreglerne og få svar på helt basale spørgsmål i forhold til ansvarlig datahåndtering.

Millionbøder skal afskrække

Virksomhederne skal kunne dokumentere, at de efterlever GDPR-lovgivningens mange regler. Så, hvis man ikke overholder reglerne, kan det ramme virksomheden ekstremt hårdt.

I EU har man ønsket, at bøderne skal have en afskrækkende effekt. Det betyder reelt, at en virksomhed kan risikere bøder på op mod næsten 150 millioner kroner.

Den ansvarlige kan også komme i fængsel.

Hvad er dine rettigheder?

1. Ret til indsigt

Du har ret til at se de personoplysninger, den dataansvarlige behandler om dig, og få en række oplysninger om behandlingen.


2. Ret til berigtigelse

Du har ret til at få urigtige/forkerte personoplysninger om dig rettet.


3. Ret til sletning

Du har som udgangspunkt ret til at få slettet dine personoplysninger, hvis én af en række betingelser, der nævnes i databeskyttelsesforordningen, er opfyldt.


4. Ret til begrænsning

Du har ret til at få begrænset behandlingen af dine personoplysninger, hvis én af en række betingelser er opfyldt.


5. Ret til dataportabilitet

Du har i visse tilfælde ret til at modtage dine personoplysninger og til at anmode om, at personoplysningerne overføres fra én dataansvarlig til en anden.


6. Ret til indsigelse

Du har ret til at gøre indsigelse mod en ellers lovlig behandling af dine personoplysninger.


7. Ret til ikke at være genstand for automatisk afgørelse

Du har ret til ikke at være genstand for en automatisk afgørelse udelukkende baseret på automatisk behandling, herunder profilering.

 

Kilde: Datatilsynet

Kan man ikke få nok af GDPR og gerne blive endnu klogere på emnet, så kan man læse mere her