Du har sikkert allerede hørt om den nye europæiske persondataforordning, GDPR, som trådte i kraft den 25. maj 2018.
Men hvad betyder loven i praksis, og hvordan påvirker det dit daglige arbejde?
Eksperter anbefaler virksomheder og organisationer at gennemgå deres aktiviteter og rutiner. Men hvordan? Vi guider dig her.
Hvad er GDPR?
GDPR står for General Data Protection Regulation, og er på dansk også kendt som databeskyttelsesforordningen eller persondataforordningen.
Databeskyttelsesforordningen er en EU-forordning, som har til formål at styrke og harmonisere beskyttelsen af personoplysninger i Den Europæiske Union.
Hvorfor GDPR?
Formålet med den nye lov er at understøtte det digitale indre marked, samt styrke beskyttelsen personoplysninger og hvordan disse behandles, ved at indføre ensartede regler i hele EU. Personlige data kan bestå af information om medarbejdere, såvel som kunder, eller potentielle kunder.
Et håb fra EU er at harmonisere reglerne mellem EU-medlemslandene gennem denne type lovgivningsmæssige rammer.
Hvem gælder GDPR for?
GDPR gælder for alle virksomheder i EU, men også internationale virksomheder, der indsamler data på personer i EU, er underlagt reglerne i databeskyttelsesforordningen.
Det kan for eksempel være virksomheder, der sælger varer eller ydelser til EU-borgere.
💡 Facts
GDPR trådte i kraft den 25. maj 2018
I GDPR opdeles personoplysninger i tre typer:
- Ikke-følsomme oplysninger
- Følsomme oplysninger
- Oplysninger om strafbare forhold
Hvad betyder GDPR for virksomheder?
Som virksomhed skal du blandt andet være opmærksom på, at GDPR stiller følgende krav til dig som virksomhed:
- Virksomheder skal oplyse om, hvordan og hvorfor de behandler personoplysninger.
- Virksomheden skal kende deres data og alle systemer, der håndterer oplysningerne.
- Virksomheden skal have en databeskyttelsesansvarlig, hvis den håndterer følsomme data i vid udstrækning. Den databeskyttelsesansvarlige er ansvarlig for overholdelsen af loven samt at uddanne personale - og fungerer som kontaktperson for offentligheden.
Som virksomhed eller organisation, der forvalter personlige data, bør du for eksempel kunne besvare disse spørgsmål:
- Hvorfor har vi oplysningerne?
- Har vi brug for oplysningerne?
- Hvordan bliver de indsamlet?
- Hvem har adgang til dem?
Hvad sker der, hvis virksomheder ikke overholder GDPR?
Virksomheder, der ikke overholder databeskyttelsesreglerne, kan blive tvunget til at betale store sanktioner. Det er en såkaldt "administrativ sanktion" på op til 20 mio. EUR, eller fire procent af virksomhedens samlede omsætning.
I Danmark er det Datatilsynet, der holder øje med om reglerne følges, men der er også et centralt databeskyttelsesråd i EU, der udarbejder retningslinjer og træffer beslutninger om fortolkninger.