Iubenda logo
Generér

Dokumentation

Indhold

Hvad er GDPR? En komplet vejledning om alt, hvad du skal vide for at overholde

 

Hvad står GDPR for?

GDPR står for den generelle forordning om databeskyttelse (forordning (EU) 2016/679), og i sin mest grundlæggende form angiver den, hvordan personoplysninger behandles på lovlig vis (herunder hvordan de indsamles, anvendes, beskyttes eller interageres med generelt).

Formålet er at styrke databeskyttelsen for alle personer, hvis personoplysninger falder ind under dens anvendelsesområde, og give dem kontrol med deres personoplysninger.

Hvad er “personoplysninger” helt præcist?

Personoplysninger i forbindelse med GDPR er alle oplysninger, der vedrører en identificeret eller identificerbar levende person. Dette omfatter oplysninger, der i samlet form kan føre til identifikation af en person.

Dette gælder også for oplysninger, der er pseudonymiseret eller krypteret, så længe krypteringen/anonymiseringen kan omgøres. For så vidt angår opfyldelse af databeskyttelsesforpligtelserne i henhold til forordningen betyder det, at dekrypteringsnøgler skal opbevares adskilt fra de pseudonymiserede data.

Eksempler på personoplysninger omfatter (men er ikke begrænset til) grundlæggende identitetsoplysninger som f.eks. navne, helbredsoplysninger, genetiske og biometriske data, webdata som IP-adresser, personlige e-mailadresser, politisk overbevisning og oplysninger om seksuel orientering.

Eksempler på ikke-personoplysninger omfatter virksomhedsregistreringsnumre, generiske virksomheds-e-mailadresser som f.eks. info@company.com og anonymiserede oplysninger.

Særlige definitioner, der anvendes nedenfor
  • Udtrykket “bruger” betyder en person, hvis personoplysninger behandles af en dataansvarlig eller databehandler (også kaldet den registrerede).
  • Udtrykket “dataansvarlig” betyder en person eller juridisk enhed, der er involveret i at fastlægge formålet med og måden at behandle personoplysningerne på.
  • Udtrykket “databehandler” betyder en person eller juridisk enhed, der er involveret i behandlingen af personoplysninger på vegne af den dataansvarlige.

En internetvirksomhed kan f.eks. indsamle brugeroplysninger via sit websted og gemme dem ved hjælp af en tredjeparts cloudtjeneste. I dette scenario er internetvirksomheden den dataansvarlige, og den organisation, der driver cloudtjenesten, er databehandleren.

Hvor finder GDPR anvendelse?

GDPR kan finde anvendelse i følgende tilfælde:

  • en enhed har sit forretningssted i EU (dette gælder, uanset om behandlingen finder sted i EU eller ej)
  • en enhed, der ikke er etableret i EU, tilbyder varer eller tjenesteydelser (evt. gratis) til personer i EU. Enheden kan være offentlige myndigheder, private/offentlige virksomheder, enkeltpersoner og nonprofitorganisationer, eller
  • en enhed, der ikke er etableret i EU, men som overvåger adfærden hos personer, der befinder sig i EU, forudsat at denne adfærd finder sted i EU.

Dette anvendelsesområde omfatter næsten alle virksomheder og betyder derfor, at GDPR kan gælde for dig, uanset om din organisation er baseret i EU eller ej. Faktisk har denne undersøgelse fra PwC vist, at GDPR er en topprioritet inden for databeskyttelse for op til 92 procent af de adspurgte amerikanske virksomheder.

A common misconception is that only EU users are covered by the protections of the GDPR, however the protections of the GDPR also extend to users outside the EU if the data controller is EU based . Therefore, if you are an EU-based data controller, the GDPR requirements apply to you and you must, by default, apply GDPR standards to ALL your users.

GDPR trådte i kraft den 25. maj 2018.

Hvornår finder GDPR ikke anvendelse?

Betingelserne for anvendelse af GDPR er fastlagt i forordningens artikel 2 og 3 ud fra et materielt og territorialt synspunkt. For at vurdere, om en specifik behandlingsaktivitet er undtaget fra dens anvendelsesområde, skal vi overveje begge aspekter.

Materielt synspunkt

GDPR gælder for behandlingen af personoplysninger. Den gælder derfor ikke for virksomhedsoplysninger, f.eks. firmanavn og adresse. Vær dog opmærksom her, for normalt arbejder der “fysiske personer” i en virksomhed, og alle oplysninger, der henviser til dem, vil derfor blive betragtet som “personoplysninger”, uanset om de behandles i en Business to Customer (B2C)- eller en Business to Business (B2B)- kontekst.

Derudover vil personoplysninger ikke falde ind under GDPR’s anvendelsesområde, når:

  • de behandles af medlemsstaterne inden for rammerne af EU’s fælles udenrigs- og sikkerhedspolitik
  • de behandles af kompetente myndigheder med henblik på forebyggelse, efterforskning, afsløring eller retsforfølgning af strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner, herunder beskyttelse mod og forebyggelse af trusler mod den offentlige sikkerhed
  • de behandles af EU’s institutioner, organer, kontorer og agenturer
  • de behandles af en fysisk person som led i en rent personlig eller privat aktivitet.

I praksis er den eneste relevante undtagelse sidstnævnte: Hvis du f.eks. indsamler dine venners personoplysninger til din egen personlige telefonbog, er du ikke omfattet af GDPR.

Territorialt synspunkt

Ud over og uanset ovenstående har vi allerede nævnt, på hvilke betingelser GDPR finder anvendelse ud fra et territorialt synspunkt.

For at en databehandlingsaktivitet ikke skal være omfattet af GDPR, skal alle følgende betingelser være opfyldt:

  • Den dataansvarlige (eller databehandleren) må ikke være baseret i EU.. Husk altid, at den dataansvarlige (eller databehandleren) også kan være en filial i EU af en virksomhed uden for EU. I så fald vil GDPR være fuldt ud gældende, selv om filialen ikke er en selvstændig juridisk person.
  • Behandlingen vedrører ikke udbud af varer eller tjenesteydelser (evt. gratis) til registrerede personer i EU eller overvågning af deres adfærd, for så vidt den finder sted i EU.
  • Den dataansvarlige må ikke være baseret på en lokation uden for EU, hvor EU-lovgivningen finder anvendelse på grund af international offentlig ret.

Lad os se på nogle praktiske eksempler:

  1. En amerikansk virksomhed, “A”, sælger varer til forbrugere baseret i EU (→ GDPR finder anvendelse) og hyrer en amerikansk virksomhed, “B”, til markedsanalyse og statistik. Er virksomhed B omfattet af GDPR, selv om virksomheden hverken er baseret i EU eller sælger varer eller tjenester til kunder i EU? Sandsynligvis ja, hvis markedsanalyse og statistiske aktiviteter kræver “overvågning af kunders adfærd” for så vidt angår kunder, der er baseret i EU.
  2. Skal de ansatte på det italienske konsulat i New York overholde GDPR? Ja, fordi persondataforordningen finder anvendelse for dem i henhold til “international offentlig ret”.
  3. Skal en kinesisk baseret virksomhed, der sælger varer via et websted, der kun er skrevet på kinesisk, overholde GDPR, blot fordi det ud fra et praktisk synspunkt er muligt, at kinesere, der er baseret i EU, kan købe noget hos virksomheden? I princippet ville vi sige nej, medmindre det kan dokumenteres, at virksomheden handler med kunder baseret i EU eller udtrykkeligt henvender sig til dem (f.eks. ved at oplyse, at “levering til EU” eller “betaling fra en bankkonto i EU” er muligt osv.).

Retsgrundlag for databehandlingen

I henhold til GDPR må data kun behandles, hvis der er mindst ét retsgrundlag derfor.

Retsgrundlagene er:

  • Brugeren har givet samtykke til et eller flere specifikke formål.
  • Databehandlingen er nødvendig for opfyldelsen af en kontrakt, som brugeren er part i, eller for at træffe foranstaltninger (efter anmodning fra brugeren) forud for indgåelse af kontrakten.
  • Behandlingen er nødvendig for at opfylde en retlig forpligtelse, som den dataansvarlige er underlagt.
  • Behandlingen er nødvendig for at beskytte brugerens eller en anden persons vitale interesser.
  • Behandlingen er nødvendig for at udføre en opgave, der udføres i offentlighedens interesse eller i henhold til den officielle bemyndigelse, der er givet den dataansvarlige.
  • Behandlingen er nødvendig af hensyn til den dataansvarliges eller tredjemands legitime interesser, medmindre brugerens interesser, rettigheder og frihedsrettigheder går forud herfor, navnlig hvis brugeren er et barn.

GDPR Requirements dictate that if relying on the legal basis of consent, data controllers must get verifiable consent from users.

I forhold til samtykke til børn skal organisationer indhente et verificerbart samtykke fra en forælder eller værge, medmindre den tjeneste, der tilbydes, er en forebyggende eller rådgivende tjeneste. Organisationer skal gøre rimelige bestræbelser (ved hjælp af den tilgængelige teknologi) for at verificere, at den person, der giver samtykke, rent faktisk har forældreansvaret for barnet.

Generelt må organisationer ikke bruge alt for komplicerede eller uoverskuelige udtryk, når de indhenter samtykke til databehandling. Dette omfatter kompliceret juridisk sprog og unødvendig jargon. Det betyder, at vilkår og privatlivspolitikker skal være letlæselige (se vores her) og bruge et forståeligt sprog og letforståelige bestemmelser, så brugerne er fuldt ud klar over, hvad de giver deres samtykke til, og hvad konsekvenserne af deres samtykke er.

Forordningen forbyder specifikt at gøre brug af felter, der er afkrydset på forhånd.

Organisationerne skal være gennemsigtige med hensyn til formålet med dataindsamlingen, og samtykket skal være “udtrykkeligt og frit tilkendegivet”. Det betyder, at mekanismen til indhentning af samtykke skal være utvetydig og omfatte en tydelig “opt-in”-handling (forordningen forbyder specifikt afkrydsningsbokse og lignende “opt-out”-mekanismer). Forordningen giver også en specifik ret til at tilbagekalde samtykket; det skal derfor være lige så let at tilbagekalde samtykket som at give det.

Fordi samtykke i henhold til GDPR er så vigtigt et område, er det obligatorisk, at du fører nøjagtige fortegnelser, og at du er i stand til at påvise, at brugeren har givet sit samtykke. Hvis der opstår problemer, ligger bevisbyrden hos den dataansvarlige, så det er vigtigt at føre nøjagtige fortegnelser.

In line with GDPR requirements, your consent records should include:

  • hvem der har givet samtykke
  • hvornår og hvordan der er indhentet samtykke hos den enkelte bruger
  • den samtykkeblanket, som brugeren fik udleveret på tidspunktet for indsamlingen
  • hvilke betingelser og juridiske dokumenter der var gældende på det tidspunkt, hvor samtykket blev indhentet.

Et eksempel på overensstemmende registrering og ikke-overensstemmende registrering kan ses i det følgende:

Ikke-overensstemmende registrering Overensstemmende registrering
Blot at have et regneark med kundens navne og angive, om der er givet samtykke eller ej. Du skal sikre, at du opbevarer en kopi af kundens underskrevne og daterede formular, som viser, hvilken handling kunden har foretaget for at give sit samtykke til den specifikke behandling.
Blot at opbevare tidspunktet og datoen for samtykket knyttet til en IP-adresse med et weblink til din aktuelle formular til dataindsamling og din privatlivspolitik. Du skal opbevare omfattende registreringer, der omfatter et bruger-id og de indsendte oplysninger samt et tidsstempel. Du skal også opbevare en kopi af den udgave af dataindsamlingsformularen og alle andre relevante dokumenter, der var i brug på den pågældende dato.

Det kan være en teknisk udfordring at opretholde korrekte fortegnelser, selv om det er obligatorisk. Med vores Consent Database forenkles denne proces og gør det nemt for dig at se, administrere og eksportere dine registrerede samtykker. Du kan læse mere om den her.

En bemærkning om samtykke: Det er ikke det ENESTE grundlag, som en organisation kan vælge at behandle brugeroplysninger på; det er kun et af “retsgrundlagene”, og derfor kan virksomheder i nogle tilfælde anvende andre retsgrundlag (inden for GDPR’s anvendelsesområde) for en databehandlingsaktivitet (det anbefales dog at tale med en advokat om, hvorvidt et andet retsgrundlag kan finde anvendelse for din behandling ). Når det er sagt, vil der altid være databehandlingsaktiviteter, hvor samtykke er den eneste, bedste eller mest sikre mulighed.

En anden del af EU-lovgivningen, der er værd at nævne her, er e-databeskyttelsesdirektivet (også kaldet e-Privacy-direktivet). Denne lov gælder fortsat, da den ikke er blevet ophævet af den generelle forordning om databeskyttelse. Fremover vil e-databeskyttelsesdirektivet blive erstattet af e-databeskyttelsesforordningen, som vil fungere sideløbende med GDPR. Den kommende forordning forventes at videreføre de samme værdier som direktivet.

e-Privacy-direktivet stiller krav om brugernes informerede samtykke, før der lagres eller gives adgang til oplysninger på brugerens enheder.

e-Privacy-direktivet stiller krav om brugernes informerede samtykke, før der lagres eller gives adgang til oplysninger på brugerens enheder. Du kan læse mere om e-Privacy-direktivet her.

💡 Få mere at vide om, hvilke EU-regler for samtykke til cookies der gælder for hvert enkelt land, i vores du se vores oversigt over cookiesamtykke her.

Brugernes rettigheder

Retten til at blive informeret

Organisationer skal give brugerne oplysninger om de databehandlingsaktiviteter, de udfører. Sådanne oplysninger bør gives på det tidspunkt, hvor personoplysningerne indhentes, typisk via en privatlivsmeddelelse/privatlivspolitik. Oplysningerne skal være kortfattede, gennemsigtige, forståelige, let tilgængelige, skrevet i et klart og tydeligt sprog (især hvis de er rettet mod et barn) og gratis.

Hvis oplysningerne indsamles hos den faktiske bruger, som de vedrører, så skal brugeren oplyses om databeskyttelse på det tidspunkt, hvor oplysningerne indhentes, men hvis personoplysningerne er indhentet fra en anden kilde end den bruger, som de vedrører, skal brugeren have oplysninger om databeskyttelse inden for en “rimelig periode” efter, at oplysningerne er blevet indhentet. Denne periode må generelt være maks. en måned. Hvis du bruger oplysningerne til at kommunikere med brugeren, skal sådanne oplysninger tilvejebringes senest, når den første kommunikation finder sted.

Retten til indsigt

Users have the right to access their personal data and information about how their personal data is being processed. GDPR requirements dictate that should a user request it, data controllers must provide an overview of the categories of data being processed, a copy of the actual data and details about the processing. The details should include the purpose, how the data was acquired and with whom it was shared.

Organisationen skal også give den person, der fremsætter anmodningen, en gratis kopi af vedkommendes personoplysninger (der kan opkræves et rimeligt gebyr for yderligere kopier). De ønskede oplysninger skal udleveres til den enkelte uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen. Det nøjagtige antal dage, som organisationen har til at efterkomme en anmodning, afhænger af den måned, hvor anmodningen blev fremsat.

Retten til indsigt er tæt forbundet med Retten til dataportabilitet, men disse to rettigheder er ikke de samme. Det er derfor vigtigt, at der i din privatlivspolitik er en klar sondring mellem de to rettigheder.

Retten til berigtigelse

Brugerne har ret til at få deres personoplysninger rettet, hvis de er unøjagtige eller ufuldstændige. Denne ret indebærer også, at berigtigelse skal meddeles til alle tredjepartsmodtagere, der er involveret i behandlingen af de pågældende oplysninger – medmindre det er umuligt eller uforholdsmæssigt vanskeligt at gøre dette. Hvis brugeren anmoder om det, skal organisationen også informere brugeren om disse tredjepartsmodtagere.

Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig. Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen.

I de fleste tilfælde skal organisationer efterkomme en anmodning om berigtigelse uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen eller nægte at behandle anmodningen. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.

Retten til at gøre indsigelse

I henhold til GDPR har brugerne ret til at gøre indsigelse mod visse behandlingsaktiviteter i forbindelse med deres personoplysninger, der udføres af den dataansvarlige. Kort sagt kan brugeren gøre indsigelse mod behandlingen af sine oplysninger, når behandlingen er baseret på den dataansvarliges legitime interesse eller på udførelsen af en opgave af almen interesse/udøvelse af offentlig myndighed eller til videnskabelige/historiske forsknings- og statistikformål. Brugeren skal angive en begrundelse for sin indsigelse, medmindre behandlingen foretages med henblik på direkte markedsføring, i hvilket tilfælde der ikke er behov for en begrundelse for at udøve denne ret.

Hvis der modtages en indsigelse mod behandlingen af personoplysninger, og der ikke er nogen grund til at afvise den, skal behandlingen ophøre. Mens behandlingsaktiviteten (herunder lagring) skal ophøre for de særlige behandlingsaktiviteter, der gøres indsigelse imod, er det måske ikke hensigtsmæssigt at slette oplysningerne, hvis de behandles til andre formål (herunder opfyldelse af retlige eller kontraktlige forpligtelser), da oplysningerne skal opbevares til disse formål.

Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen. Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.

I de fleste tilfælde skal organisationer imødekomme en indsigelse (hvis der ikke er nogen grund til at afvise den) uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen, eller anmodningen kan afvises. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.

Retten til dataportabilitet

Brugerne har ret til at få udleveret deres personoplysninger (i et maskinlæsbart format) med henblik på at overføre dem fra én dataansvarlig til en anden, uden at databehandleren hindrer dem i at gøre dette. Både “leverede” og “observerede” oplysninger er omfattet af denne regel. Denne ret gælder kun for personoplysninger og gælder som sådan ikke for reelt anonyme oplysninger (oplysninger, der ikke kan føres tilbage til en enkelt person).

Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen. Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.

I de fleste tilfælde skal organisationer efterkomme en anmodning uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen, eller anmodningen kan afvises. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.

Retten til sletning

Når oplysninger ikke længere er relevante for det oprindelige formål, eller hvis brugerne har trukket deres samtykke tilbage, eller hvis personoplysningerne er blevet behandlet ulovligt, har brugerne ret til at anmode om, at deres oplysninger slettes, og at al videregivelse ophører. Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen.

Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.

Retten til sletning kan afvises:

  • når personoplysningerne behandles til arkivformål i offentlighedens interesse (f.eks. videnskabelig forskning)
  • hvis oplysningerne er nødvendige for et retligt forsvar
  • for at overholde en retlig forpligtelse
  • til udførelse af en opgave i offentlighedens interesse
  • i forbindelse med udøvelsen af den dataansvarliges officielle beføjelser
  • når oplysningerne er nødvendige for at udøve retten til ytringsfrihed
  • hvis oplysningerne behandles til sundhedsformål i offentlighedens interesse.

Retten til at begrænse behandlingen

Brugere har ret til at begrænse behandlingen af deres personoplysninger i tilfælde hvor:

  • de har anfægtet nøjagtigheden heraf
  • brugeren har gjort indsigelse mod behandlingen, og organisationen overvejer, om den har en legitim grund, der går forud for denne rettighed
  • behandlingen er ulovlig, men brugeren anmoder om begrænsning i stedet for sletning
  • oplysningerne ikke længere er nødvendige, men brugeren har brug for dem for at forfølge, forsvare eller håndhæve et retskrav.

Begrænsningen skal meddeles til alle tredjepartsmodtagere, der er involveret i behandlingen af de pågældende oplysninger – medmindre det er umuligt eller uforholdsmæssigt vanskeligt at gøre dette. Hvis brugeren anmoder om det, skal organisationen også informere brugeren om disse tredjepartsmodtagere.

Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen. Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.

I de fleste tilfælde skal organisationer efterkomme en anmodning uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen, eller anmodningen kan afvises. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.

Rettigheder i forbindelse med automatiseret beslutningstagning og profilering

Brugerne har ret til ikke at blive gjort til genstand for en afgørelse, når den er baseret på automatisk behandling eller profilering, og den har en retlig eller lignende væsentlig virkning for brugeren.

Organisationer må kun træffe automatiske afgørelser, hvis det er nødvendigt for opfyldelsen af en kontrakt, hvis det er tilladt i henhold til lovgivningen i EU-medlemsstaten, hvis det ikke har en juridisk eller lignende væsentlig virkning for brugeren, eller hvis det er baseret på den enkeltes udtrykkelige samtykke. Du må kun træffe automatiserede afgørelser baseret på særlige kategorier af personoplysninger med brugerens udtrykkelige samtykke eller på baggrund af en væsentlig offentlig interesse.

Grænseoverskridende dataoverførsler

The GDPR permits data transfers of EU resident data outside of the European Economic Area (EEA) only when in compliance with set conditions. Under GDPR requirements, the country or region the data is being transferred to must have an “adequate” level of personal data protection by EU standards, or where not considered adequate, transfers may still be allowed under the use of standard contractual clauses (SCCs) or binding corporate rules (BCRs).

GDPR tillader kun overførsler af data fra EU-borgere til steder uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), hvis de er i overensstemmelse med de fastsatte betingelser.

Med hensyn til overførsel af data til USA kræves det for alle overførsler, at brugeren giver sit informerede samtykke (i så fald skal samtykket gives på grundlag af tilstrækkeligt præcise oplysninger, herunder oplysninger om den manglende beskyttelse i tredjelandet).

Privacy by design & privacy by default

I henhold til GDPR skal databeskyttelse indgå fra starten af design og udvikling af forretningsprocesser og infrastruktur. Det betyder, at indstillingerne for beskyttelse af personoplysninger skal være sat til “høj” som standard, og at der skal træffes foranstaltninger for at sikre, at databehandlingens livscyklus falder inden for GDPR-kravene.

Meddelelse om brud

Den dataansvarlige skal underrette tilsynsmyndigheden senest 72 timer efter at have fået kendskab til et brud. Hvis databehandlingen udføres af en databehandler på vegne af den dataansvarlige, skal databehandleren underrette den dataansvarlige straks efter at have fået kendskab dertil. I henhold til denne regel skal brugerne også informeres om bruddet (inden for samme tidsramme), medmindre de data, der er omfattet af bruddet, var beskyttet af kryptering (data er gjort ulæselige for den uvedkommende), eller bruddet generelt ikke kan forventes at medføre en risiko for enkeltpersoners rettigheder og frihedsrettigheder. Under alle omstændigheder bør den dataansvarlige føre fortegnelser over de forekommende overtrædelser for at kunne påvise over for tilsynsmyndigheden, at disse bestemmelser er overholdt.

Databeskyttelsesrådgiver

Databeskyttelsesrådgiveren (DPO) er en person med ekspertviden om databeskyttelseslovgivningen, som har til opgave at bistå den dataansvarlige eller databehandleren med at overvåge den interne overholdelse af GDPR-reglerne og føre tilsyn med databeskyttelsesstrategien og implementeringen. Databeskyttelsesrådgiveren bør også være dygtig til it-processtyring, datasikkerhed og andre kritiske spørgsmål vedrørende behandling af personoplysninger og følsomme data.

GDPR kræver, at der udpeges en databeskyttelsesrådgiver i følgende konkrete tilfælde:

  • I tilfælde af en omfattende regelmæssig og systematisk overvågning af brugerne i stor skala.
  • Når behandlingen foretages af en offentlig myndighed (undtagen domstole eller uafhængige retshåndhævende myndigheder).
  • Når organisationen udfører komplekse operationer med brugeroplysninger (især følsomme brugeroplysninger).

Udpegelsen af en databeskyttelsesrådgiver er derfor ikke kun baseret på det faktiske antal ansatte, men på selve databehandlingsaktiviteten. Hvis din organisation falder uden for disse kategorier, er det ikke obligatorisk at udpege en databeskyttelsesrådgiver.

Fortegnelser over behandlingsaktiviteter

I henhold til GDPR kræver skal både dataansvarlige og databehandlere føre og vedligeholde “fuldstændige og omfattende” ajourførte registre over de særlige databehandlingsaktiviteter, de udfører.

Der kræves udtrykkeligt fuldstændige og omfattende fortegnelser over behandlingen i de tilfælde, hvor databehandlingsaktiviteterne:

  • ikke er lejlighedsvise, eller
  • kan medføre en risiko for andres rettigheder og frihedsrettigheder, eller
  • indebærer behandling af “særlige kategorier af oplysninger”, eller
  • udføres af en organisation, der har mere end 250 ansatte.

Dette omfatter reelt næsten alle dataansvarlige og databehandlere.

Registreringer af behandlingsaktiviteter skal være skriftlige. Selvom både papirformularer og elektroniske formularer accepteres, så er det bedste praksis at anvende en elektronisk metode til registrering, så det er nemmere at foretage ændringer.

Den dataansvarliges fortegnelser bør omfatte:

  • Navn og kontaktoplysninger på den dataansvarlige og, hvis det er relevant, den dataansvarliges repræsentant og databeskyttelsesrådgiveren.
  • Formålet med behandlingsaktiviteterne.
  • Beskrivelse af de forskellige kategorier af brugere og oplysninger.
  • Kategorierne af datamodtagere, herunder modtagere i tredjelande (som ikke er medlem af EU) eller internationale organisationer.
  • Overførsel af personoplysninger til et tredjeland og identifikation af det pågældende tredjeland eller den internationale organisation, herunder dokumentation for passende sikkerhedsforanstaltninger (hvor det er relevant).
  • Forventede frister for sletning af de forskellige kategorier af oplysninger (hvor det er muligt).
  • En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (hvor det er muligt).

Databehandlerens fortegnelser bør omfatte:

  • Navn og kontaktoplysninger på den dataansvarlige og den databehandler, der handler på den dataansvarliges vegne, og, hvis det er relevant, på databehandlerens eller den dataansvarliges repræsentant og databeskyttelsesrådgiver.
  • De kategorier af behandling, der udføres på vegne af hver enkelt dataansvarlig.
  • Overførsel af personoplysninger til et tredjeland og identifikation af det pågældende tredjeland eller den internationale organisation, herunder dokumentation for passende sikkerhedsforanstaltninger (hvor det er relevant).
  • Forventede frister for sletning af de forskellige kategorier af oplysninger (hvor det er muligt).
  • En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger (hvor det er muligt).
Bemærk!

Selv hvis dine behandlingsaktiviteter på en eller anden måde falder uden for ovennævnte situationer, er det nødvendigt, at du i henhold til dine oplysningspligter over for brugerne (artikel 13 og 14) fører grundlæggende fortegnelser over, hvilke data du indsamler, formålet med dem, alle parter, der er involveret i behandlingen, og opbevaringsperioden for dataene – dette er obligatorisk for alle.

Du vil måske opdage, at det faktisk er ret nyttigt at foretage regelmæssig revision af de data, som din organisation er i besiddelse af, da denne praksis ikke blot hjælper dig med at opfylde dine forpligtelser til at føre fortegnelser, men også gør det lettere for dig at gennemgå og optimere dine databehandlingsprocedurer.

Vores løsning med et Register over databehandlingsaktiviteter er også meget nyttigt her, da det I HØJ GRAD forenkler den tekniske proces med at oprette og vedligeholde dit Register over Behandlingsaktiviteter. Læs mere om, hvordan det kan hjælpe dig her, eller gå direkte til opsætningsvejledningen og videoen her.

Konsekvensanalyse vedrørende databeskyttelse (DPIA)

En konsekvensanalyse vedrørende databeskyttelse (DPIA) er en proces, der bruges til at hjælpe organisationer med at overholde GDPR på en effektiv måde og sikre, at principperne om ansvarlighed, privacy by design og privacy by default bliver gennemført i organisationen. DPIA-processen bør være skriftlig. Selv om offentliggørelse af DPIA’en ikke er et generelt juridisk krav i henhold til GDPR, foreslås det, at de dataansvarlige overvejer at offentliggøre hele eller dele af deres DPIA for at sikre gennemsigtighed og ansvarlighed, især i tilfælde, hvor offentligheden er involveret (f.eks. hvis en offentlig myndighed udfører DPIA’en).

En effektiv DPIA er nyttig for at opfylde kravet om “Privacy by design”, da den gør det muligt for organisationer at finde og løse problemer på et tidligt tidspunkt, hvilket mindsker både datasikkerhedsrisici for brugerne og risikoen for bøder, sanktioner og omdømmeskader, som ellers kunne ramme organisationen. DPIA er kun obligatorisk i tilfælde, hvor databehandlingsaktiviteter sandsynligvis vil medføre en høj risiko for brugerne (dette gælder især ved indførelse af ny behandlingsteknologi).

Hvis du er usikker på, om din behandlingsaktivitet falder ind under det, der betragtes som “høj risiko”, anbefales det dog alligevel at gennemføre en DPIA, da det er et nyttigt redskab til at sikre, at loven overholdes.

“Højrisiko”-databehandlingsaktiviteter omfatter:

  • Behandling af følsomme oplysninger i stor skala.
  • Systematisk overvågning af et offentligt tilgængeligt område (f.eks. CCTV).
  • Situationer, hvor der foretages omfattende automatiserede vurderinger af personoplysninger, som har til formål at påvirke beslutninger, der kan berøre brugerens liv i væsentlig grad.

DPIA’er kan også være påkrævet i andre tilfælde (baseret på en vurdering fra sag til sag), herunder, men ikke begrænset til, behandling af oplysninger om sårbare personer (f.eks. børn og ældre), overførsel af oplysninger på tværs af grænserne uden for EU og oplysninger, der anvendes til profilering (f.eks. kreditvurdering). Du kan læse mere om kriterierne her [PDF].

DPIA’en bør omfatte:

  • Fuldstændige beskrivelser af de behandlede data.
  • Formålet med behandlingsaktiviteten (og, hvor det er relevant, oplysninger om den dataansvarliges legitime interesser).
  • En vurdering af omfanget og nødvendigheden af behandlingsaktiviteten i forhold til formålet.
  • En vurdering af den risiko, som brugerne er udsat for.
  • Foranstaltninger, der er truffet for at imødegå denne risiko.

Konsekvenser af manglende overholdelse

De juridiske konsekvenser af manglende overholdelse kan omfatte bøder på op til 20 millioner EUR eller 4 % af den årlige verdensomsætning (alt efter hvad der er størst), men måske lige så bekymrende er de andre potentielle sanktioner, der kan iværksættes over for organisationer, der overtræder reglerne. Disse sanktioner omfatter officielle irettesættelser (ved førstegangsovertrædelser), regelmæssige databeskyttelsesrevisioner og erstatningsansvar.

De juridiske konsekvenser af manglende overholdelse kan omfatte bøder på op til 20 millioner EUR eller 4 % af den årlige verdensomsætning.

Databeskyttelsesforordningen giver brugerne en udtrykkelig ret til at indgive en klage til en tilsynsmyndighed, hvis de mener, at behandlingen af deres personoplysninger er i strid med databeskyttelsesforordningen. Det betyder, at hvis der f.eks. bliver foretaget en indberetning til myndigheden om et tilfælde af overtrædelse af lovgivningen, kan myndigheden vælge at foretage en revision af virksomhedens databehandling. Hvis det viser sig, at en behandlingsaktivitet er ulovlig, pålægges der ikke blot en bøde, men virksomheden kan også få forbud mod at gøre yderligere brug af de oplysninger, der er genstand for undersøgelsen, og oplysninger, der er erhvervet ved hjælp af lignende mekanismer. Det betyder, at hvis den upassende brug vedrørte indsamling af e-mailadresser, risikerer virksomheden at blive udelukket fra at bruge hele den tilknyttede e-mailliste.

Databeskyttelsesforordningen giver også brugerne ret til erstatning som følge af en organisations manglende overholdelse af reglerne, og virksomheden kan blive mødt med en potentiel retssag.

How iubenda can help you to meet GDPR Requirements

I forhold til overholdelse er et af de første logiske skridt at sikre, at dine dokumenter er i overensstemmelse med lovgivningen. Hos iubenda har vi en samlet tilgang til overholdelse af datalovgivningen. Vi bygger løsninger med de strengeste regler i tankerne og giver dig alle muligheder for at tilpasse dem efter behov. På denne måde hjælper vi dig med at opfylde dine juridiske forpligtelser, reducere risikoen for at blive mødt med retssager og beskytte dine kunder – og opbygge tillid og troværdighed.

Her er, hvad du skal bruge for at komme i gang med at sikre fuld overholdelse:

Privatlivspolitik

Dette juridiske dokument bør angive, hvordan dit websted eller din app indsamler, behandler, opbevarer, deler og beskytter oplysninger om brugerne, formålet dermed og brugernes rettigheder i den forbindelse.

Med vores Generator af privatlivs- og cookiepolitik kan du oprette en nøjagtig privatlivspolitik, der er udarbejdet af en advokat, og integrere den problemfrit på dit websted eller i din app. Du kan ganske enkelt tilføje en af de mange forud oprettede bestemmelser med et klik på en knap eller nemt skrive dine egne bestemmelser ved hjælp af den indbyggede formular.

Privatlivspolitikken indeholder også muligheden for at inkludere en cookiepolitik (dette er nødvendigt, hvis dit websted eller din app bruger cookies). Politikkerne kan tilpasses til dine behov og vedligeholdes elektronisk af et internationalt juridisk team.

 

Du kan få flere oplysninger om privatlivspolitikker ved at klikke her.

Privacy Controls and Cookie Solution

Da brugen af cookies både kan betyde behandling af brugeroplysninger og installation af filer på brugerens enheder, er de et bekymringspunkt, når det drejer sig om brugernes ret til beskyttelse af personoplysninger. Derfor er det vigtigt, at dit websted eller din app overholder EU’s e-databeskyttelsesdirektiv (e-Privacy-direktivet). I den forbindelse har vi skabt vores omfattende Privacy Controls and Cookie Solution, som forenkler overholdelsen af bestemmelserne i det europæiske e-Privacy-direktiv. Det er en løsning, der er nem at afvikle med cookiepolitik og cookietilladelse (herunder bannerstyring), den er hurtig og kræver ikke de store investeringer.

Du kan få flere oplysninger om vores Privacy Controls and Cookie Solution her.

Mange databeskyttelsesmyndigheder i EU har skærpet deres krav og tilpasset deres regler om cookies og trackere til kravene i databeskyttelsesforordningen. Mere specifikt kræves det, at du registrerer og gemmer dokumentation for dine brugeres præferencer.

En log for cookie- og samtykkeindstillinger er nu tilgængelig i vores Privacy Controls and Cookie Solution. Klik her for at få flere oplysninger om, hvordan du aktiverer loggen for cookie- og samtykkeindstillinger i din Privacy Controls and Cookie Solution.

Register over databehandlingsaktiviteter

Det kan være en teknisk udfordring rent praktisk at opfylde bestemmelserne i GDPR. Dette gælder især for dine databehandlingsaktiviteter. For at overholde reglerne skal du holde styr på og beskrive:

  • hvilke oplysninger, du indsamler
  • til hvilke formål, de indsamles
  • retsgrundlaget for behandlingen
  • en politik for opbevaring af data for hver enkelt behandlingsaktivitet
  • de involverede parter (både inden for og uden for din organisation)
  • sikkerhedsforanstaltninger
  • eventuel dataoverførsel til et land uden for EU
  • andre relaterede oplysninger, der kan gælde for hele virksomheden, herunder oplysninger om medarbejdere.

Vores løsning hjælper dig med nemt at registrere og administrere alle databehandlingsaktiviteter i din organisation, så du nemt kan overholde GDPR-kravene og opfylde dine juridiske forpligtelser. Det giver dig mulighed for at oprette registreringer af behandlingsaktiviteter: tilføj behandlingsaktiviteter ved at vælge mellem mere end 1.700 muligheder, opdel dem efter område (underopdelinger, inden for hvilke databehandlingsaktiviteterne er de samme), tildel databehandlere og andre medlemmer roller, og dokumentér retsgrundlaget og andre GDPR-registreringer.

Bemærk: Selv hvis dine behandlingsaktiviteter på en eller anden måde falder uden for de situationer, der er nævnt tidligere i denne vejledning, er det nødvendigt, at du i henhold til dine oplysningspligter over for brugerne (artikel 13 og 14) fører grundlæggende fortegnelser over, hvilke oplysninger du indsamler, formålet med dem, alle parter, der er involveret i behandlingen, og dataopbevaringsperioden – dette er obligatorisk for alle

Selv om GDPR er en god grund til at gøre en større indsats for at holde styr på dine databehandlingsaktiviteter, er vores værktøj ikke udelukkende beregnet til anvendelse i forbindelse med GDPR. Det kan også bruges til generelle databehandlingsaktiviteter, selv af virksomheder, der ikke har nogen brugere/kunder i EU.

Du kan få en oversigt over alle funktionere i Registret over databehandlingsaktiviteter ved at klikke her eller læse vejledningen her.

Administration af samtykke og opretholdelse af detaljerede fortegnelser i forbindelse dermed

For at overholde lovgivningen om beskyttelse af personoplysninger, især GDPR, skal virksomheder opbevare dokumentation for samtykke, så de kan dokumentere, at der er indhentet samtykke. Disse fortegnelser skal vise:

  • hvornår der blev givet samtykke
  • hvem der har givet samtykke
  • hvad deres præferencer var på indsamlingstidspunktet
  • hvilken juridisk meddelelse eller meddelelse om beskyttelse af privatlivets fred, de fik forelagt på tidspunktet for indsamlingen af samtykke
  • hvilken samtykkeblanket, de fik udleveret på tidspunktet for indsamlingen.

Vores Consent Database forenkler denne proces ved at hjælpe dig med nemt at gemme dokumentation for samtykke og administrere samtykke og fortrolighedspræferencer for hver enkelt af dine brugere. Det giver dig mulighed for at spore alle aspekter af samtykket (herunder den juridiske meddelelse eller fortrolighedsmeddelelse og den samtykkeformular, som brugeren blev præsenteret for på tidspunktet for indhentningen af samtykket) og de tilhørende præferencer, som brugeren har givet udtryk for.

Du skal blot aktivere Consent Database og få API-nøglen, installere den via HTTP API eller JS widget, og så er du færdig. Du kan til enhver tid hente samtykket og holde det opdateret.

Du kan få en oversigt over alle funktioner i Consent Database ved at klikke her eller læse vejledningen her.

Gør dit websted GDPR-kompatibelt på få minutter

Begynd at generere

Vær opmærksom på, at lovgivningen ændres og ajourføres løbende. Det er derfor vigtigt at sikre, at dine politikker opfylder de nyeste krav. Derfor bruger vi indlejring og IKKE kopiering og indsættelse. Med denne metode kan du være sikker på, at din politik er opdateret og vedligeholdes elektronisk af vores juridiske team.

Se også