Introduktion til persondataforordningen (GDPR)
Grundlæggende information om persondataforordningen
Persondataforordningen (GDPR) er en EU-forordning, som skærper kravene til virksomheders behandling af persondata og giver forbrugerne udvidede rettigheder. Denne guide er en introduktion til persondataforordningens grundlæggende elementer.
Introduktion til persondataforordningen (GDPR)
EU’s persondataforordning trådte efter en toårig overgangsperiode i kræft den 25. maj 2018. Formålet med persondataforordningen er at harmonisere datalove på tværs af alle EU’s medlemslande, så det bliver nemmere for virksomhederne operere i EU. Samtidig er loven til for at beskytte EU-borgernes privatliv ved at give dem flere rettigheder og bedre kontrol over deres personlige data. Alle dele af virksomheden - IT, jura, HR og ledelsen, skal altså være opmærksomme i processen. Det handler således om at gøre GDPR til en teamproces, da ingen afdelinger går fri. Alle håndterer den ene eller anden form for data.
Det er endnu uvist, præcis hvordan forordningen vil blive håndhævet eller hvor mange resurser EU-medlemslandende vælger at afsætte til at styrke myndigheder med ansvar for persondata..Persondataforordningen lægger dog op til at man ikke bare har nogle bestemte arbejdsprocedurer, men også at skabes en compliancekultur omkring det at arbejde med data. Allerede nu bevirker forbrugernes øgede bevidsthed om privatlivssikkerhed, at alle databehandlende virksomheder må overveje deres praksis.
Loven er kompleks og vidtrækkende, som EU-forordninger nu engang er. Derfor tager du sandsynligvis fejl, hvis du ikke tror dig omfattet af reglerne. Når det så er sagt, er der ingen grund til at gå i panik, hvis du driver en ærlig forretning. GDPR er ikke lavet for at gøre livet surt for virksomheder – den er lavet for at regulere den uhæmmede brug og salg af personlige oplysninger og for at tvinge virksomheder til at udvikle en datapolitik. At forordningen er trådt i kraft, betyder ikke, at løber er kørt. At være GDPR-compliant kræver, at man kontinuerligt reviderer og optimerer sine praksis, at man altid er åben for at finde nye, bedre løsninger.
Hvis du ikke er 100 % sikker på din compliance er det første vigtige skridt på vejen mod at efterkomme forordningen, at du indser nødvendigheden af at handle. Det andet er rent faktisk at handle. Det tredje er så at dokumentere handlingen. Det er derfor ekstrem vigtigt sikre en god proces for operational compliance, hvor I har mulighed for løbende at tjekke op på jeres datahåndtering.For hvis du ikke kan dokumentere din indsats, så eksisterer den ikke – i hvert fald ikke i Datatilsynets øjne.
Hvad er GDPR?
I Danmark har kært barn har mange navne, så hvis du aldrig har hørt om GDPR, skyldes det højst sandsynligt, at du har hørt det omtalt som persondataforordningen eller Databeskyttelsesforordningen. Den helt officielle titel er dog.: Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
Forordningen blev vedtaget i 2016 og erstatter et Data Protection Directive fra 1995 og Persondataloven fra 2000. Direktivet var en række retningslinjer, der skulle vedtages i de respektive parlamenter. Nu er reglerne ensartede, men der er stadig mange lighed mellem GDPR og det oprindelige direktiv.
Og hvad er en forordning? En forordning betyder, at reglerne er direkte og ensartede i alle lande, og at alle de 99 artikler i persondataforordningen skal efterleves uden undtagelse. Der er dog mulighed for at lave yderligere særregler.
Det oprindelige direktiv indeholdt mange af de samme elementer som persondataforordningen, men de nye regler og dokumentationskrav udgør en væsentlig udvidelse af privatpersoners rettigheder. Med den nye forordning går EU’s persondatapolitik fra at være et mål til at blive en juridisk bindende lov i alle EU-lande – vel og mærket uden at medlemslandende først skal vedtage loven i deres respektive parlamenter.
Hvad er formålet med GDPR?
EU præsenterer to overordnede mål med forordningen:
1. At beskytte EU-borgernes privatliv ved at give dem øget kontrol over deres persondata. Hermed sigter EU mod at styrke forbrugeres tillid til den digitale økonomi.
2. At harmonisere EU-landenes persondatalove, således at det bliver enklere og mere gennemsigtigt for virksomheder at operere i EU. De estimerer selv, at det kan spare virksomhederne op mod 2.3 milliarder euro om året.
Hvad er persondata?
Persondata defineres som: ”enhver form for information om en identificeret eller identificerbar fysisk person”. Det vil sige, at persondata er enhver slags information, der kan ledes tilbage til eller være med til at gøre en person identificerbar. Denne liste er uudtømmelig, da det kan være alt fra navn, CPR-nummer, IP-adresse, fotografier eller fysiologiske karakteristika.
Det skal dog pointeres, at den samme type af data ikke altid vil blive anset som værende personoplysninger for forskellige personer. Sagt på en anden måde, at definere en person ved køn kan være identificerbar, hvis man eksempelvis er den eneste mand i forsamlingen, mens ”Mand, København” næppe gør det let er finde en bestemt person i Danmarks hovedstad.
Forordningens Artikel 9 nævner en række særlige kategorier af personoplysninger, som er sensitive. Listen af sensitive data er udtømmelig, og det er en god idé, at man om muligt indgår at behandle den salgs data, da det kræver en særlig lovhjemmel og nogle skrappere sikkerhedskrav. Under alle omstændigheder skal man have utvetydigt samtykke for at behandle den slags.
Det lyder i forordningen:
”Behandling af personoplysninger om race eller etnisk oprindelse, politisk, religiøs eller filosofisk overbevisning eller fagforeningsmæssigt tilhørsforhold samt behandling af genetisk data, biometrisk data med det formål entydigt at identificere en fysisk person, helbredsoplysninger eller oplysninger om en fysisk persons seksuelle forhold eller seksuelle orientering er forbudt.”
Det er relevant, hvis du registrerer dine ansattes tilknytning til fagforeninger eller hvis du eksempelvis har en kundedatabase, der indeholder oplysninger om, hvem der af religiøse årsager ikke spiser særlige råvarer.
Persondataforordningens rækkevidde
Hvem gælder persondataforordningen for? Den gælder for alle virksomheder, der opbevarer eller behandler EU-borgeres persondata, uanset om virksomheden har adresse i EU eller ej. Det betyder dog ikke, at persondataforordningen har samme krav til alle. Man skal have sig for øje, at personforordningen har et proportionalitetsprincip, så virksomhedens størrelse og resurser afgør, hvor meget den kan forventes at gøre for at efterkomme de nye krav.
Selvom der er øgede krav til virksomheder med mere end 250 ansatte, anbefaler vi, at alle virksomheder forholder sig til forordningens krav. Persondataforordningen skelner yderligere mellem databehandlere og dataansvarlige.
Strafferamme & persondataforordningen
Forordningens strafferamme har fået en del opmærksomhed. EU truer nemlig med bødestraffe på op mod 4 % af den årlige omsætning i det foregående år eller 20 millioner euro, afhængigt af hvad er er højest. Man skal have sig for øje, at det kun gælder for de mest alvorlige forbrydelser, og at det er maksimumstraffen.
Den slags tilfalder sandsynligvis kun virksomheder, der har databehandling som kerneaktivitet, ikke den lokale pizzamand med rod i ansættelseskontrakterne. Det betyder dog ikke, at små virksomheder bare kan læne sig tilbage og slappe af. Mindre brud kan nemlig stadig blive stra et med bøder på op mod 2 % af den årlige omsætning i det foregående år eller 10 millioner euro (hvad end der er højest).
Det lyder skræmmende, og det er seriøst. Vi skal dog have for øje, at det er maksimumstraffen og at vi endnu ikke ved, hvilken linje domstolene vælger at lægge. Vi ved heller ikke, hvor mange resurser Datatilsynet afsætter til at kontrollere og retsforfølge virksomheder - om de handler med ond vilje eller ej.
Hvad skal du så gøre? Du skal indledningsvist lave en fortegnelse over, hvilke oplysninger du behandler, hvilken typer der er tale om og hvad er formålet med behandlingen er?
Du kan downloade vores gratis E-bog GDPR for Begyndere for at få en lidt mere dybdegående forståelse for GDPR og dine forpligtelser i forbindelse med dette.
Hvem gælder GDPR for?
Persondataforordningen gælder for alle firmaer, som behandler eller opbevarer persondata på fysiske personer, der er bosiddende i EU. Det gælder uanset virksomhedens placering. Persondataorordningen har altså det, EU på klassisk advokatnonsens kalder ekstraterritorial anvendelse. Det betyder på lægmandssprog betyder det, at forordningen også gælder for amerikanske, afrikanske og asiatiske virksomheder, der behandler EU-borgeres personlige oplysninger. Det hjælper i dette tilfælde ikke at have sin virksomhed placeret i Panama.
Virksomhedens størrelse har også en betydning, da selskaber med mere end 250 ansatte skal efterleve højere krav end dem under. Samtidig er det afgørende, om en virksomhed har systematisk og omfattende databehandling som kerneaktivitet. Det vil nemlig medføre en række øgede krav.
Generelt skal man have sig for øje, at forordningen fungerer efter et proportionalitetsprincip, der tager virksomhedens størrelse og resurser med i vurderingen af krav og en eventuel straf. Generelt anbefaler vi dog, at alle virksomheder uanset størrelse forholder sig til forordningens krav.
Databehandlere og dataansvarlige
Persondataforordningen skelner mellem dataansvarlige og databehandlere. Den dataansvarlig er den, som indsamler data og bestemmer formålet hermed. Det kunne eksempelvis være et en virksomhed, som indsamler persondata på deres ansatte for at kunne udbetale dem løn. Databehandlere er dem, der opbevarer, bruger eller analyserer data på vegne af den dataansvarlige. Det kunne eksempelvis være et system, som opbevarer navne, intialer og e-mailadresser på alle brugerne af vores løsninger.
Hvis man videregiver data til en tredjepart, skal datasubjektet (den fysiske person, oplysningerne omhandler) gøres opmærksom på det. I nogle tilfælde skal man have vedkommendes tilladelse. Hvis en tredjepart selv definerer, hvordan oplysningerne skal benyttes, vil denne også være dataansvarlig.
Principper for god databehandling
Behandlingen af persondata skal være lovlig, retfærdig og gennemsigtig. Det betyder, at formålet skal være legitimt og tydeligt angivet. Det er også god databehandlingsskik, at personoplysninger er relevante. Man bør kun behandle det mest nødvendige og kun så længe, det er nødvendigt. Alle oplysninger skal i øvrigt være korrekte og opdateres løbende.
%201.svg)
