Skip to main content

GDPR

TL; DR

Den generelle databeskyttelsesforordning (GDPR)er en af de strengeste love om privatliv og sikkerhed i verden. Selvom den er udarbejdet og godkendt af EU, pålægger forordningen organisationer forpligtelser, uanset hvor de opererer, så længe de målretter mod eller indsamler data om personer i EU. Forordningen trådte i kraft den 25. maj 2018. GDPR opkræver bødermod dem, der overtræder dets privatlivs- og sikkerhedsstandarder, med sanktioner på titusinder af millioner euro.

Hvad er GDPR?

GDPR (General Data Protection Regulation) er en lov for EU's databeskyttelses- og privatlivslovgivning i EU og EØS og overførsel af personoplysninger uden for EU og EØS. Hovedformålet med GDPR er at give enkeltpersoner kontrol over deres personlige dataog at forenkle det lovgivningsmæssige miljø for internationale anliggender ved at forene privatlivslovgivningen i EU. Forordningen er obligatorisk, og alle organisationer, der opbevarer eller behandler personoplysninger, skal overholde.

Reglerne trådte i kraft den 25. maj 2018 og blev afspejlet i 2018 Data Protection Act. Forordningen gælder både for "operatører" og "databehandlere" og omfatter gamle regler, der er blevet konsolideret, samt en række nye rettigheder for registrerede.

Hvad er personlige data?

Persondata er data, der refererer til en person, der kan identificeres direkte eller indirekte, og som er:

  • elektronisk behandlet;
  • opbevares i arkiver;
  • del af et tilgængeligt sæt information, for eksempel uddannelsesinformation;
  • indehaves af en offentlig myndighed;
  • ikke nødvendigvis personspecifik, men det fører til deres identifikation;
  • Eksempler: navn, e-mailadresser, placering, religion, etnicitet, køn, data gemt i webcookies, IP'er, politiske holdninger, biometriske data mv.

GDPR principper

Personoplysninger bør behandles retfærdigt, lovligt og gennemsigtigt.

  • Data bør indsamles til definerede og legitime formål og bør ikke behandles yderligere på en måde, der er uforenelig med disse formål.
  • Dataene bør ikke være for store, kun behandle så mange data, som det er absolut nødvendigt.
  • Dataene skal være korrekte og om nødvendigt opdaterede.
  • Data bør ikke opbevares længere end nødvendigt.
  • Data skal opbevares sikkert.
  • Ledere er ansvarlige for den type personlige data, de indsamler, og hvordan de bruger dem. Medarbejdere bør ikke videregive personlige data uden for organisationens procedurer eller bruge persondata, som andre opbevarer, til deres egne formål.

Hvem gælder GDPR for?

GDPR gælder for enhver organisation, der opererer i EU, såvel som for enhver ikke-EU-organisation, der leverer varer eller tjenester til EU-kunder eller -virksomheder. Dette inkluderer ethvert websted, der indsamler direkte, til deres eget formål eller, indirekte, til tredjepartsapps og -værktøjer (f.eks. Google Analytics) data om deres besøgende.

En person, der har data om en anden person på et personligt plan, såsom telefonnummeret på et familiemedlem gemt i en telefon, skal ikke overveje GDPR for disse data.