For at forstå GDPR skal du forstå Databeskyttelsesforordningen.
Hvis du ikke selv er klar til at læse de 99 artikler, så læse i stedet vores korte forklaring af hver af de 11 kapitler herunder.
De vil give dig et godt overblik over forordningen samt en bedre sammenhæng mellem de konkrete artikler i lovgivningen, og den information, som vi giver til dig her på GDPR.DK.
Ønsker du en overordnet forklaring af GDPR så læs: Persondataforordningens rigtige navn er Databeskyttelsesforordningen.
Helt generelt bestemmer databeskyttelsesforordningen hvordan personoplysninger skal beskyttes – også kaldet ‘fysiske personer’.
Forordningen omfatter persondata, som behandles manuelt eller automatisk, og som vil blive behandlet i et register jf. artikel 2.
Alle virksomheder baseret i EU er omfattet af databeskyttelseslovgivningen uanset om de behandler personoplysninger om personer, som ikke er EU-borgere. Virksomheder uden for EU, som behandler personoplysninger om EU-borgere er på mange måder også omfattet af databeskyttelsesforordningen.
Databeskyttelsesforordningen har sine egne termer, som du bør kende til, hvis du skal forstå lovgivningen. Termerne er alle defineret i artikel 4, men du kan også taget et kig i vores artikel “ord og sprog”, hvor vi har tilføjet definitionen af yderligere begreber, som kan være gode at kende.
Dette kapitel er blandt de mest centrale at kende i lovgivningen, da artikel 5 beskriver principperne i databeskyttelsesforordningen, som udgør et fundament for resten af databeskyttelsesforordningen.
Herudover, så beskriver artikel 6–10 de hjemler, som kan give en virksomhed tilladelse til at behandle personoplysninger.
For at kunne behandle personoplysninger lovligt, så skal man som dataansvarlig have hjemmel til dette. Databeskyttelsesforordningen skelner mellem almindelige personoplysninger, følsomme personoplysninger, samt straffedomme og lovovertrædelser. Derudover, så skal du være særlig opmærksom, hvis du ønsker at behandle oplysninger om mindreårige.
En af de mest anvendte behandlingshjemler for at kunne behandle personoplysninger er samtykket, som beskrives i artikel 7.
Man er “registreret” hvis nogen har registreret oplysninger om en, og med GDPR, så har “de registrerede” nogle rettigheder, som skal efterleves af alle.
Det er derfor nødvendigt at disse rettigheder er kendt af de centrale interessenter på din arbejdsplads fx kundesupport, salg, HR, som alle registrerer personoplysninger, og derfor skal efterleve disse rettigheder.
Nogle af den registreredes rettigheder er:
- Ret til at se oplysninger (indsigtsret)
- Ret til berigtigelse (rettelse)
- Ret til sletning
- Ret til begrænsning af behandling
- Ret til indsigelse
- Ret til at transmittere oplysninger (dataportabilitet)
I det øjeblik, at du begynder at behandle personoplysninger om en registreret, så har du også pligt til at informere de registrerede om deres rettigheder, formålet med din behandling af personoplysninger, og mange andre ting.
Denne oplysningspligt kan du læse om i hhv. artikel 13 og 14 afhængigt af om du indsamler personoplysningerne direkte via den registrerede eller via andre kanaler fx en offentlig database.
Artikel 24 beskriver hvordan, at du som dataansvarlig skal implementere passende tekniske og organisatoriske foranstaltninger, ajourføre disse, samt indføre passende databeskyttelsespolitikker.
I artikel 25 beskrives, at man skal indføre ‘privacy by default’ og ‘privacy by design’. Dette indebærer, at virksomheder fx skal indstille deres IT-systemer til at beskytte personoplysninger, som en standardindstilling i IT-systemet. Det skal altså ikke blot ske som et tilvalg.
Privacy by design indebærer, at alle nye processer, systemer eller forretningsområder skal designes med databeskyttelse for øje fra starten.
Hvis du sammen med en anden er med til at bestemme hvordan, at en behandlingsaktivitet skal foregå, så er I fællesdataansvarlige, og dette beskrives i artikel 26. Eksempelvis har man fundet ud af, at de sociale mediers mulighed for, at du kan oprette en virksomhedsside er et af disse tilfælde, hvor du sammen med det sociale medie (fx Facebook) er fællesdataansvarlig.
Når du beder en leverandør om at behandle personoplysninger på dine vegne, så udgør dette en databehandlerkonstruktion, hvilket vil sige at vedkommende er din databehandler. Dette betyder, at du har pligt til at indgå en databehandleraftale med denne leverandør. Kravene til denne databehandleraftale kan du finde i artikel 28.
Alle dataansvarlige og databehandlere skal føre en oversigt over deres behandlingsaktiviteter, hvilket i denne lovgivning kaldes en ‘fortegnelse’. Der er nogle meget specifikke og omfattende krav til at udføre denne fortegnelse, som pålægges næsten alle virksomheder, organisationer, foreninger og myndigheder.
Databeskyttelsesforordningen udstikker krav om, at du behandler persondata sikkert, og på et passende beskyttelsesniveau givet den type behandling af personoplysninger, som foretages i virksomheden.
For at afgøre, at dit sikkerhedsniveau er tilstrækkeligt, så er det et krav, at du laver en risikovurdering. Denne vurdering skal afgøre sandsynligheden for, at der sker et brud på persondatasikkerheden, samt hvad den potentielle konsekvens ville være for de registrerede (fx kunder eller medarbejdere).
Ved et signifikant brud på persondatasikkerheden, så skal du anmelde dette til Datatilsynet senest 72 timer efter, at du har opdaget sikkerhedsbruddet. Ved anmeldelsen skal du blandt andet beskrive bruddet, samt hvad det kan have konsekvenser for de personer, som er omfattet af sikkerhedsbruddet og hvad virksomheden har gjort for at begrænse skaden ved dette sikkerhedsbrud. De nærmere krav og omstændigheder for denne anmeldelse er beskrevet i artikel 33, og i artikel 34 er det beskrevet hvordan, at du skal informere de omfattede personer af sikkerhedsbruddet.
Du skal lave en konsekvensanalyse når du ønsker at behandle personoplysninger i et stort omfang eller behandle persondata af en type, hvor behandlingen indebærer en høj risiko for personernes rettigheder. Der er særlige krav til en konsekvensanalyse, og disse kan du læse om i artikel 35, stk. 7.
Artikel 37–39 omhandler databeskyttelsesrådgiverens (DPO) udpegelse, rolle og opgaver hos den dataansvarlige. Her kan du blandt andet læse, at alle myndigheder skal have en databeskyttelsesrådgiver, samt at databeskyttelsesrådgivere både skal have kendskab til jura, samt databeskyttelse i praksis, hvilket indebærer IT-viden, samt generelle kompetencer til at styre en organisations compliance.
Artikel 40–43 omhandler certificering og adfærdskodekser, som endnu ikke er taget i brug i betydeligt omfang i Danmark.
Når behandling af persondata foregår udenfor EU, men på vegne af en virksomhed i EU, så må dette kun ske hvis behandlingen som foretages uden for EU efterlever databeskyttelsesforordningen.
Kommissionen kan træffe en generel beslutning om at et tredjeland, et område eller en sektor i et tredjeland har et tilstrækkeligt beskyttelsesniveau, hvilket derfor tillader overførsel af personoplysninger.
Ved at stille fornødne garantier for behandlingen af personoplysninger i tredjelandet, så kan der ske en overførsel af personoplysninger til et tredjeland.
Dette kapitel angiver den rolle, som Datatilsynet skal have fx at de skal føre tilsyn med at databeskyttelsesforordningen efterleves, samt fremme offentlighedens kendskab til reglerne, så flere kan overholde reglerne.
Datatilsynet har ret til udbede sig informationer om en virksomheds efterlevelse af Databeskyttelsesforordningen, samt adgang til lokaler og fx IT-udstyr. Herudover, så kan Datatilsynet give en virksomhed påbud om at korrigere sin efterlevelse af Databeskyttelsesforordningen.
Hvert år skal Datatilsynet udarbejde en rapport, som beskriver aktiviteterne i deres virke indenfor Databeskyttelsesforordningen.
Dette kapitel i Databeskyttelsesforordningen handler om tilsynsmyndighedernes samarbejde, og har ikke den store indflydelse på hverdagen i de fleste danske virksomheder.
Tilsynsmyndighederne skal naturligvis samarbejde påtværs af EU-grænserne, hvis en virksomheds behandlingsaktiviteter foregår i flere medlemslande, og der samtidigt er behov for myndighedernes involvering.
Enhver registreret har ret til at indgive en klage til Datatilsynet, eller tilsynsmyndigheden i det land hvor behandlingen finder sted. Der kan også tages retlige skridt mod den dataansvarlige eller databehandleren, hvis den registrerede finder dette nødvendigt. Samtidig har enhver også ret til at klage over tilsynsmyndighedens sagsbehandling.
Hvis en registreret har lidt skade, som følge af, at Databeskyttelsesforordningen ikke er blevet efterlevet af den dataansvarlige, så er det muligt at kræve erstatning for denne skade.
Datatilsynet kan indstille en dataansvarlig til en bøde på op til 20 millioner euro eller 4% af virksomhedens globale omsætning. Betingelserne for udmåling af bøde er beskrevet i artikel 83.
Datatilsynet skal sikre, at informations- og ytringsfriheden ikke hindres af Databeskyttelsesforordningen ved at foretage undtagelser og fravigelser i nødvendigt omfang.
Resten af dette kapitel i Databeskyttelsesforordningen har fokus på hvordan at medlemslande kan lave særregler vedrørende behandling af nationalt identifikationsnummer, aktindsigt, behandling af ansattes personoplysninger, behandling af persondata til forskning og arkiveringsformål, samt religiøse institutioners behandling af persondata.
Europa Kommissionen kan vedtage delegerede retsakter under de betingelser, som er beskrevet i artikel 92.
Det sidste kapitel i Databeskyttelsesforordningen forholder sig til vedtagelsen af forordningen, relationen til øvrig EU-lovgivning, samt relationen til internationale aftaler, som var indgåede ved Databeskyttelsesforordningens ikrafttrædelse.
I Databeskyttelsesforordningens sidste artikel 99 angives lovgivningens ikrafttrædelses- og anvendelsesdato.
Her kan du også finde GDPR på andre sprog fx engelsk.