Skip to the content

GDPR: hvad, hvordan og hvorfor (og tjekliste)

Er du efterhånden lidt presset over Databeskyttelsesforordningen (nok bedre kendt som persondataforordningen eller GDPR)?

...Så forstår vi dig godt. Som en af mange leder du sikkert efter en løsning og svar på spørgsmål som: Hvad indebærer GDPR? Hvilke krav skal vi overholde?  Risikerer vi en bøde, hvis vi ikke overholder GDPR? Og spørgsmålene trænger sig i stigende grad på - både for små og store virksomheder - i takt med, at den 25. maj nærmer sig.

Med dette blogindlæg vil vi forsøge at give dig lidt mere indsigt og et overblik, så du kan komme godt videre og i mål med GDPR.

 

Hvad er GDPR

I januar 2012 fremsatte EU-Kommissionen sin EU-databeskyttelsesreform. Reformen blev formelt vedtaget i EU den 14. april 2016. Reformen er først og fremmest lovgivning om beskyttelse af personoplysninger, som vil træde i kraft den 25. maj 2018 i Danmark og erstatte den nuværende persondatalov. Formålet er at ensrette beskyttelsen af vores grundlæggende rettigheder i forbindelse med databehandling og at sikre den frie udveksling af personoplysninger mellem EU landene. Som en af forordningens betragtninger lyder: ”Fysiske personer bør have kontrol over deres personoplysninger. Sikkerheden både retligt og praktisk bør styrkes for fysiske personer, erhvervsdrivende og offentlige myndigheder”.

 

Hvorfor GDPR

GDPR er faktisk en god ting med et ædelt formål. I EU mener man, at behandling af personoplysninger bør have til formål at tjene menneskeheden, og man ser derfor et behov for en stærk og mere sammenhængende databeskyttelse af primært to årsager:

  1. Fysiske personer udbreder i stigende grad deres personoplysninger offentligt og globalt. Det sker i kølvandet på den hastige teknologiske udvikling og globalisering.

  2. Både private selskaber og offentlige myndigheder har mulighed for at udnytte disse oplysninger i et hidtil uset omfang.

Forordningen tager afsæt i EU's charter om vores grundlæggende ret til beskyttelse af vores personoplysninger. GDPR følger således chartrets frihedsrettigheder og principper herunder bl.a. respekten for privatliv og familieliv, hjem og kommunikation, beskyttelsen af personoplysninger, retten til at tænke frit samt til samvittigheds- og religionsfrihed og ytrings- og informationsfrihed.

Så selvom GDPR på den korte bane medfører en del panderynker i den private og offentlige sektor, så synes vi faktisk, at EU fortjener et lille klap på skulderen for at forsøge at værne om brugernes privatliv.

 

GDPR i praksis

Og nu til essensen af hele balladen. Hvad stiller det af krav til jeres organisation? For det første, så skal I vænne jer til rollen som dataansvarlig. Stort set alle virksomheder er dataansvarlige, da bl.a. kundedata, medarbejderdata, data på ansøgere og data om hjemmesidebrugere tæller med som personlige oplysninger (se i øvrigt definitioner nederst på denne side).

I bund og grund handler GDPR om, at I skal overholde den registreredes rettigheder, når I er kommet i besiddelse af data fra disse. Vi har udvalgt de mest centrale punkter i GDPR og de opgaver, som følger med i kølvandet:

Først og fremmest skal I klarlægge, hvilke personlige oplysninger, I opbevarer og behandler. GDPR er måske en god lejlighed til at overveje, om I faktisk har brug for at behandle alle disse data, og om det sker på et lovligt grundlag. Der skal således være et konkret formål, og behandling af personoplysninger skal være begrænset i henhold til formålet. Ydermere skal de registrerede være oplyst om jeres konkrete databehandling.

Som en del af jeres persondatapolitik (som skal være tilgængelig på jeres hjemmeside – se evt. vores egen som inspiration) skal I beskrive hvilke personlige oplysninger, I behandler, hvordan I behandler dem, hvordan I opbevarer dem og hvorfor.

Deler I de registreredes personlige oplysninger med andre, bliver de betragtet som databehandlere. Databehandlere (og i øvrigt deres databehandlere og dermed dine underdatabehandlere) skal behandle personlige data iht. din ”kontrakt” med de registrerede. Du skal sørge for, at der er databehandleraftaler på plads med alle jeres databehandlere. Databehandlere kan fx også være Facebook og Google.

I skal have den registreredes klare samtykke, før I må behandle dennes data, og efterfølgende skal I kunne dokumentere, at I har fået samtykket. Samtykket skal indebære en frivillig, specifik, informeret og utvetydig viljestilkendegivelse. Inden der gives samtykke, skal den registrerede oplyses om, at samtykket kan trækkes tilbage, og det skal være lige så let at trække sit samtykke tilbage som at give det. Behandling af personlige oplysninger er i øvrigt lovlig uden samtykke, såfremt behandling er nødvendig af hensyn til opfyldelse af en kontrakt.

Har du hørt, at GDPR ikke skærper kravene for håndtering af cookies på en hjemmeside? Vi er uenige. Jf. Betragtning (30) i GDPR, der slår fast, at mange typer cookies skal betragtes som personlige oplysninger:

”Fysiske personer kan tilknyttes onlineidentifikatorer, som tilvejebringes af deres enheder, applikationer, værktøjer og protokoller, såsom IP-adresser og cookieidentifikatorer, eller andre identifikatorer, såsom radiofrekvensidentifikationsmærker. Dette kan efterlade spor, der, navnlig når de kombineres med unikke identifikatorer og andre oplysninger, som serverne modtager, kan bruges til at oprette profiler om fysiske personer og identificere dem.”

”Hvis personoplysninger behandles med henblik på direkte markedsføring, bør den registrerede til enhver tid have ret til gratis at gøre indsigelse mod en sådan behandling… Den registrerede bør udtrykkelig gøres opmærksom på denne ret, og oplysningerne bør gives klart og adskilt fra alle andre oplysninger”. 
(Kilde: Betragtning (70) i Databeskyttelsesforordningen)

Jeres hjemmeside skal have en cookiepolitik med opdaterede og detaljerede cookiebeskrivelser. Der skal linkes til politikken, hvor brugeren bliver bedt om at afgive sit cookiesamtykke. Mange virksomheder blander persondatapolitik og cookiepolitik sammen. Selvom der er et overlap mellem de to, idet nogle typer cookies skal betragtes som personlige oplysninger, så anbefaler vi, at I holder dem adskilt. Det vil give både jer og brugerne et bedre overblik og dermed jer et mere professionelt udtryk. Inetdesign tilbyder levering af en abonnementsbaseret og effektiv 3. parts løsning.

Har I en formular på jeres hjemmeside, så bør den tilpasses, så brugeren inden afsendelse af formularen kan orientere sig om og acceptere jeres behandling af de personlige oplysninger iht. et specificeret formål. Formålet skal være beskrevet klart og tydeligt ved formularen. Vær opmærksom på, at brugeren lige så let skal kunne trække sit samtykke tilbage.

I skal kunne dokumentere på skrift, hvordan I overholder reglerne for korrekt databehandling. Herunder skal I sørge for, at jeres organisatoriske og tekniske setup er med til at sikre de personlige oplysninger, som I måtte behandle.

Og ja, det kan give et økonomisk smæk ikke at være GDPR klar. Artikel 83, pkt. 5.a:

”5. Overtrædelse af følgende bestemmelser straffes i overensstemmelse med stk. 2 med administrative bøder på op til 20 000 000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning i det foregående regnskabsår, såfremt dette beløb er højere: 

a) de grundlæggende principper for behandling, herunder betingelserne for samtykke…”

 

Din GDPR tjekliste

Når I kan svare ja til nedenstående spørgsmål, så er I kommet et langt stykke med at blive (som det så flot hedder) ”GDPR compliant”. Listen skal ikke opfattes som en gyldig skabelon eller et konkret GDPR-værktøj, og vi anbefaler, at I rådfører jer med fx brancheforeninger, systemleverandører, jeres digitale bureau, kommunikationsfolk og juridiske rådgivere. 
  
Vi har styr på vores persondatapolitik

Vi har styr på vores databehandlere og underdatabehandlere

Vi har styr på vores cookiesamtykke og -politik på vores hjemmeside

Vi har styr på vores dokumentation

Vi har styr på de registreredes rettigheder

Vi har styr på vores information til de registrerede

Vi har (ikke) brug for en databeskyttelsesrådgiver (DPO)

 

De mest centrale GDPR definitioner

Personoplysninger

Enhver form for information om en identificeret eller identificerbar fysisk person. Ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en online identifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Behandling

Enhver aktivitet som personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse.

Samtykke

Enhver frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede, hvorved den registrerede ved erklæring eller klar bekræftelse indvilliger i, at personoplysninger gøres til genstand for behandling.

Dataansvarlig

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre afgør, til hvilke formål og med hvilke hjælpemidler der må foretages behandling af personoplysninger.

Databehandler

En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne.

 

Kilder:

Databeskyttelsesforordningen i sin helhed (EU)

Datatilsynets vejledning om samtykke

Datatilsynet: 12 spørgsmål som dataansvarlige allerede nu med fordel kan forholde sig til

Om forfatteren

Christian Skov

Christian Skov er partner og ansvarlig for kommunikationsafdelingen i INETDESIGN. Christian har arbejdet med virksomheders kommunikation og branding siden 2002 og har således stor erfaring i, hvordan man udnytter de digitale platforme mest effektivt. Han besidder stor viden om Google Analytics og Google Adwords. 

Kontakt os

INETDESIGN er et digitalt bureau, der leverer brugervenlige, digitale løsninger til både B2B og B2C. Vi er forretningsorienterede og fokuserer på at skabe vækst i din forretning. Vi bruger vores kreative og tekniske kompetencer til at levere højkvalitetsprodukter, som giver dig glade kunder.