GDPR
GDPR

Den generelle forordning om databeskyttelse

Den lovgivning, der gjorde cookie-bannere til den popup, ingen kan lide

Den generelle forordning om databeskyttelse (GDPR) er EU's banebrydende lovgivning om privatlivets fred, der regulerer, hvordan personoplysninger indsamles, behandles og beskyttes. Siden maj 2018 har den været den gyldne standard for databeskyttelse på verdensplan – og årsagen til, at din indbakke blev oversvømmet med e-mails med overskriften »Vi har opdateret vores privatlivspolitik«.

Omfang

Enhver organisation, der behandler personoplysninger om personer i EU/EØS – uanset hvor organisationen har hjemsted. Ja, det gælder også dig, Silicon Valley.

Geografisk dækning

EU/EØS + enhver organisation på verdensplan, der tilbyder varer eller tjenesteydelser til personer i EU eller overvåger disse personers adfærd.

Trådt i kraft den

25. maj 2018

Formål

For at give enkeltpersoner kontrol over deres personoplysninger og forenkle de lovgivningsmæssige rammer for international handel. Et sjovt faktum: forordningen er 88 sider lang, indeholder 99 artikler og har genereret omkring 4,2 milliarder pop op-vinduer om samtykke til cookies (uofficielt skøn).

Gå til din rolle:

Dataansvarlig

Det er dig, der fastlægger formålene med og midlerne til behandlingen af personoplysninger. Kort sagt: Det er dig, der bestemmer, hvorfor og hvordan personoplysningerne bruges. Hvis det var dig, der sagde: »Lad os indsamle e-mailadresser til vores nyhedsbrev«, så tillykke – du er den dataansvarlige.

Dine forpligtelser

  • Der skal foreligge et retsgrundlag for enhver databehandling (artikel 6) — »fordi vi kan« er ikke et gyldigt retsgrundlag
  • Før et register over behandlingsaktiviteter (RoPA), der dokumenterer, hvilke oplysninger du behandler, og hvorfor (artikel 30)
  • Gennemføre konsekvensanalyser vedrørende databeskyttelse (DPIA) for databehandling med høj risiko — såsom profilering eller overvågning i stort omfang (artikel 35)
  • Indberet brud på persondatasikkerheden til din tilsynsmyndighed inden for 72 timer (artikel 33) — herunder weekender og helligdage
  • Sørg for, at de registrerede kan udøve deres rettigheder: indsigt, berigtigelse, sletning (»retten til at blive glemt«), dataportabilitet og indsigelse (artikel 15–22)
  • Iværksætte passende tekniske og organisatoriske foranstaltninger for at sikre datasikkerheden (artikel 32) — en Post-it-seddel med databaseadgangskoden er ikke tilstrækkeligt
  • Udnævn en databeskyttelsesansvarlig (DPO), hvis det er påkrævet (artikel 37)
  • Anvend kun databehandlere, der giver tilstrækkelige garantier — og fastlæg dette i en databehandleraftale (artikel 28)

Vigtige artikler

§ 5 — Principper§ 6 — Retsgrundlag§ 13–14 — Oplysningspligt§ 28 — Aftaler med databehandlereArtikel 30 — Registreringer vedrørende behandling§ 32 — Sikkerhedsforanstaltninger§ 33–34 — Anmeldelse af brud§ 35 — DPIA
Et godt råd

Start med din RoPA. Hvis du ikke ved, hvilke data du behandler, kan du ikke beskytte dem. Tænk på det som et kort – du ville jo heller ikke finde vej i en by uden et (medmindre du nyder at fare vild).

Databehandler

Du behandler personoplysninger på vegne af en dataansvarlig. Tænk f.eks. på en udbyder af cloud-hosting, en lønadministrationsservice eller en platform til e-mailmarkedsføring. Du bestemmer ikke selv, hvad der skal ske med oplysningerne – du følger blot den dataansvarliges anvisninger. Ligesom en meget velbetalt assistent med strenge instrukser.

Dine forpligtelser

  • Behandl kun data i overensstemmelse med den dataansvarliges dokumenterede instrukser (artikel 28) — det er ikke tilladt at handle på egen hånd med personoplysninger
  • Før din egen fortegnelse over behandlingsaktiviteter (artikel 30, stk. 2)
  • Gennemføre passende sikkerhedsforanstaltninger (artikel 32)
  • Underret den dataansvarlige uden unødig forsinkelse, hvis du opdager et brud på datasikkerheden (art. 33, stk. 2) — »Jeg var på ferie« er ikke en unødig forsinkelse
  • Bistå den dataansvarlige med konsekvensanalyser vedrørende databeskyttelse og anmodninger fra registrerede, når der anmodes herom (artikel 28, stk. 3)
  • Der må kun anvendes underdatabehandlere med den dataansvarliges forudgående tilladelse (artikel 28, stk. 2)
  • Slette eller tilbagelevere alle personoplysninger, når behandlingsforholdet ophører (artikel 28, stk. 3, litra g)

Vigtige artikler

§ 28 — Behandlerens forpligtelserArtikel 29 — Behandling på grundlag af en bemyndigelse§ 30.2 — Behandlerens registreringer§ 32 — Sikkerhed§ 33, stk. 2 — Anmeldelse af brud til den dataansvarlige
Et godt råd

Få dine databehandlingsaftaler på plads, inden din største kunde beder om dem. At have en skabelon klar er for databehandleren det samme som altid at have en paraply med – du vil være glad for, at du gjorde det.

Databeskyttelsesansvarlig (DPO)

Du er organisationens uafhængige ekspert i databeskyttelse. Du rådgiver, overvåger overholdelsen af reglerne og fungerer som kontaktperson over for tilsynsmyndigheden. Du rapporterer direkte til den øverste ledelse, og ingen kan diktere, hvilke konklusioner du skal drage. Du er i bund og grund databeskyttelsens revisor – ikke ligefrem festens midtpunkt, men alle ringer til dig, når noget går galt.

Dine forpligtelser

  • At informere og rådgive den dataansvarlige/databehandleren om deres forpligtelser i henhold til GDPR (artikel 39, stk. 1, litra a))
  • Overvåge overholdelsen af GDPR og interne databeskyttelsespolitikker (art. 39, stk. 1, litra b)
  • Yde rådgivning om konsekvensanalyser vedrørende databeskyttelse og overvåge deres gennemførelse (artikel 39, stk. 1, litra c)
  • Fungere som kontaktpunkt for tilsynsmyndigheden (artikel 39, stk. 1, litra d) og e))
  • Sørg for at bevare din uafhængighed — du må ikke modtage instrukser om, hvordan du skal udføre dine opgaver (artikel 38, stk. 3)
  • Holde sig ajour med den nyeste viden om databeskyttelseslovgivning og -praksis (artikel 37, stk. 5)
  • Stå til rådighed for de registrerede, der ønsker at fremsætte klager (artikel 38, stk. 4)

Vigtige artikler

§ 37 — Udpegning af den databeskyttelsesansvarligeArtikel 38 — Den databeskyttelsesansvarliges stillingArtikel 39 — Den databeskyttelsesansvarliges opgaver
Et godt råd

Dokumentér dine råd – især når ledelsen beslutter ikke at følge dem. Dit fremtidige jeg vil takke dig, når tilsynsmyndigheden banker på døren.

Den registrerede

Du er et levende menneske, hvis personoplysninger bliver behandlet. Det er alt – der kræves ingen certificering. Hvis en organisation har dit navn, din e-mailadresse, din IP-adresse eller endda dine cookie-indstillinger, er du en registreret. Det betyder, at du har rettigheder. Faktisk en hel del.

Dine forpligtelser

  • Du har ret til at få indsigt i dine personoplysninger og få en kopi (artikel 15) – spørg pænt, men du er ikke forpligtet til det
  • Du kan anmode om berigtigelse af urigtige oplysninger (art. 16) — dit navn er ikke »Kære kunde«
  • Du kan anmode om sletning af dine oplysninger – den såkaldte »ret til at blive glemt« (artikel 17)
  • Du kan i visse situationer begrænse behandlingen (artikel 18)
  • Du har ret til dataportabilitet – du kan hente dine data og flytte dem til et andet sted (artikel 20)
  • Du kan gøre indsigelse mod databehandlingen, herunder profilering og direkte markedsføring (artikel 21) — ja, du kan afmelde dig
  • Du har ret til ikke at blive underlagt en udelukkende automatiseret beslutningstagning, herunder profilering (artikel 22)
  • Du kan indgive en klage til en tilsynsmyndighed, hvis dine rettigheder krænkes (artikel 77)

Vigtige artikler

§ 15 — Ret til indsigt§ 16 — Berigtigelse§ 17 — Sletning§ 20 — Dataportabilitet§ 21 — Ret til at gøre indsigelse§ 22 — Automatiske afgørelser§ 77 — Klager til myndighederne
Et godt råd

Når du gør dine rettigheder gældende, skal du være konkret i forhold til, hvad du ønsker. En klar, skriftlig anmodning (en e-mail er fint) giver hurtigere svar end en vag formulering som »Jeg vil have alle mine data«. Et godt tip: Skriv »GDPR« i emnefeltet – det plejer at fremskynde sagsbehandlingen.

Hvordan Euregas kan hjælpe

Tilgængelige værktøjer

  • Register over behandlingsaktiviteter (RoPA) — dokumenter alle behandlingsaktiviteter med indbyggede skabeloner
  • DPIA med risikomatrix — vurdering og pointgivning af risici på tværs af 7 dimensioner
  • Hændelsesstyring — overvåg sikkerhedsbrud med automatiske påmindelser om 72-timers fristen
  • Den registreredes rettigheder — håndtering af anmodninger om indsigt, sletning og dataportabilitet fra start til slut
  • Håndtering af samtykke — overblik over indhentning og tilbagekaldelse af samtykke samt revisionsspor
  • Datakortlægning — visualiser dataflow på tværs af systemer og tredjeparter
  • Databehandlingsaftaler — styring af forholdet til databehandlere og underdatabehandlere
  • Vurdering af retsgrundlag — dokumentation og gennemgang af retsgrundlaget for hver enkelt behandlingsaktivitet
  • Vurdering af konsekvenser ved dataoverførsel (TIA) — vurdering af internationale dataoverførsler

AI-understøttede funktioner

  • Konsultationsguide (gdpr_readiness) — Vejledt vurdering i 5 trin med AI-analyse for hvert trin og henvisninger til artikler
  • AI-genereret vurdering af overholdelse: overholder kravene / overholder kravene betinget / overholder ikke kravene
  • Semantisk søgning i GDPR-artikler, EDPB-retningslinjer og retspraksis
Bemærk

Alle GDPR-værktøjer (RoPA, DPIA, hændelsesstyring osv.) er manuelle arbejdsgange med strukturerede skabeloner. Der er adgang til AI-assistance via vejledningen – den er ikke integreret direkte i de enkelte værktøjer.

Alle eksempler er fiktive og tjener udelukkende til illustrative formål.