Hvad er GDPR? Læs om reglerne i databeskyttelsesforordningen her.
Hvad er GDPR? Hvad betyder det? Og hvilke krav og regler er der i GDPR? Læs med her.
Med GDPR er der kommet øget fokus på opbevaring, sletning og generel behandling af personoplysninger. I denne artikel kan du læse nærmere om, hvad GDPR er for noget.
Hvis du har brug for hjælp til GDPR og Persondataforordningen, hjælper vi dig gerne. Du kan kontakte os her for at høre nærmere om, hvordan vi kan hjælpe dig med at overholde reglerne og blive 'compliant', som det hedder:
Hvad er GDPR?
GDPR står for "The General Data Protection Regulation".
GDPR på dansk hedder "databeskyttelsesforordningen". Mange kalder den også for "persondataforordningen".
Det er en lovgivning fra EU, som alle medlemsstater skal overholde. Hvis forordningen ikke bliver overholdt, kan det medføre nogle ret store bøder. Førhen har Danmark og det danske Datatilsyn haft tradition for kun at give advarsler. Den højeste bøde, før forordningen fik virkning, lød på 25.000 kr. Nu kan Datatilsynet give bøder på op til 150 millioner kroner eller fire procent af den årlige omsætning.
Derfor er det vigtigt, at du tager forordningen alvorligt og sørger for at overholde den.
Hvad betyder GDPR?
GDPR betyder kort fortalt, at alle offentlige myndigheder og organer samt alle virksomheder og foreninger skal overholde reglerne for databeskyttelse.
Reglerne går ud på, at organisationerne skal behandle personoplysningerne korrekt. Derudover skal organisationerne også kunne påvise over for den danske tilsynsmyndighed, Datatilsynet, at de rent faktisk overholder forordningen.
Organisationerne og virksomhederne skal derfor både lave de korrekte dokumenter som for eksempel artikel 30-fortegnelse samt påvise at de overholder GDPR på alle andre punkter ved at have taget stilling til de forskellige krav i forordningen.
GDPR betyder derfor, at du skal:
- Kunne påvise, at du overholder reglerne og principperne i forordningen herunder bl.a. slettefrister
- Lave en artikel 30-fortegnelse
- Overholde reglerne for oplysningspligt
- Indhente de nødvendige samtykker
Og lignende.
Men hvad er der mere konkret af GDPR krav?
De vigtigste GDPR krav
Der er en række krav i databeskyttelsesforordningen. Disse krav skal alle virksomheder og organisationer leve op til.
Kravene gælder, uanset om du handler med private eller erhvervsdrivende. Der står nemlig i forordningens artikel 2:
"Denne forordning finder anvendelse på behandling af personoplysninger, der helt eller delvis foretages ved hjælp af automatisk databehandling, og på anden ikkeautomatisk behandling af personoplysninger, der er eller vil blive indeholdt i et register."
Forordningen gælder altså lige så snart, der er tale om behandling af personoplysninger, når de er eller vil blive indholdt i et register. Hvis du handler med erhvervsdrivende, vil du typisk have en e-mail, hvor du har korrespondance med kunder. Her vil du modtage navne på kunder fx Jens Jensen. Dette er en personoplysning, og dermed skal du overholde forordningen, selvom du handler med erhvervsdrivende.
99% af alle virksomheder og organisationer behandler personoplysninger via et register og skal dermed overholde GDPR.
Men hvilke krav er der så helt præcist?
Dette er de vigtigste krav i GDPR:
- Du skal overholde principperne i forordningen
- Du skal kunne påvise, at du overholder forordningen
- Du skal have lavet de relevante dokumenter bl.a. en artikel 30-fortegnelse
- Du skal have indhentet korrekte samtykker
- Du skal overholde oplysningspligten, når denne er relevant
I forhold til principperne er der 6 principper i forordningen. Disse står i artikel 5 i forordningen. Principperne går kort fortalt ud på:
- Du skal behandle oplysningerne lovligt, rimeligt og på en gennemsigtig måde
- Du skal have et legitimt formål med behandlingen
- Oplysningerne skal være tilstrækkelige og begrænset
- Oplysningerne skal være korrekte
- Oplysningerne må ikke opbevares længere end nødvendigt
- Oplysningerne skal behandles sikkert og fortroligt
Du skal påvise, at du overholder principperne
Derudover skal du kunne påvise, at du overholder principperne. Der står nemlig i forordningen, at den ansvarlige for data skal kunne påvise, at principperne overholdes:
"Den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes (»ansvarlighed«)"
Lav dokumentation til Datatilsynet
Her hos Persondatakonsulenterne anbefaler vi, at du tager stilling til principperne i dokumentationen til Datatilsynet. Vi anvender et excelark, som lever op til kravene om principperne og artikel 30-fortegnelsen. På den måde kan du også påvise, at du overholder forordningen.
Udover at have styr på principperne, at påvise at du overholder forordningen og have lavet de relevante dokumenter fx en artikel 30-fortegnelse, skal du også have indhentet korrekte samtykker.
Få styr på samtykkerne
Først skal du finde ud af, om du overhoved skal bruge samtykke. Hvis det er tilfældet, skal du desuden lave samtykket korrekt og kunne påvise, at du har fået samtykket. Det er for eksempel normalt nødvendigt med samtykke, hvis du har portrætbilleder.
Du skal læse mere om samtykke og portrætbilleder i vores artikel om billeder og GDPR.
(Artiklen fortsætter under billedet...)
GDPR stiller nogle krav til samtykke. Det betyder, at du i visse tilfælde skal have lov til at behandle personoplysninger, før det er lovligt. Hvis du ikke har indhentet samtykkerne korrekt, kan du i værste fald medføre klager og bøder.
Husk at overholde oplysningspligten
I en række tilfælde har du en oplysningspligt. Du skal bl.a. oplyse om:
- Formål
- Hvor længe oplysningerne behandles
- Den registreredes forskellige rettigheder for eksempel retten til indsigt og klage til Datatilsynet
Hvis du har brug for hjælp til at overholde kravene til GDPR, er du altid velkommen til at kontakte os for at høre nærmere om, hvordan vi kan hjælpe dig.
Sådan sikrer du dig, at du overholder GDPR
Vil du være sikker på, at du overholder reglerne i persondataforordningen?
Hvis du vil overholde reglerne, kan det være en hjælp bl.a. at gøre følgende:
- Lav en dataflowanalyse/datastrømsanalyse
- Find ud af, om I behandler personoplysningerne lovligt (herunder slettefrister, kun relevante oplysninger osv.)
- Lav evt. politikker eller procesbeskrivelser, der sørger for at personoplysningerne behandles lovligt af alle i organisationen
- Indhent samtykker, hvor det er nødvendigt
- Lav dokumentation til Datatilsynet (herunder artikel 30-fortegnelse)
- Overhold reglerne om oplysningspligt, hvor det er nødvendigt
(Artiklen fortsætter under billedet...) Hvis du vil overholde alle reglerne, skal du igennem en række punkter. Start med at lav en dataflowanalyse. Find ud af, hvad du overhoved behandler af personoplysninger i organisationen. Tag dernæst stilling til lovens regler.
Hvis du har brug for hjælp til overholdelse af forordningen, er du velkommen til at kontakte os.
Få mere hjælp til GDPR og Persondataforordningen her
Brug for mere hjælp?
Her hos Persondatakonsulenterne hjælper vi med alt inden for GDPR og persondataforordningen.
Vi kan hjælpe med at lave dataflowanalyse, sørge for at I kun behandler oplysningerne lovligt, har de nødvendige politikker og samtykker samt lavet dokumentation til Datatilsynet og overholdt reglerne om oplysningspligt.
Af ydelser kan vi tilbyde foredrag, online kurser, ekstern dpo (databeskyttelsesrådgiver) og meget mere.
Vi kan dermed hjælpe dig med at jeres organisation bliver compliant og overholder alle reglerne.
Klik herunder for at kontakte os og uforpligtende høre nærmere om, hvordan vi kan hjælpe dig:
DISCLAIMER: Ovenstående er skrevet ud fra bedste fortolkning af Persondataforordningen/GDPR på nuværende tidspunkt. Ændringer i love, vejledninger, praksis mv. kan have betydning for fortolkningen fremadrettet. Vi anbefaler altid, at du får juridisk rådgivning, hvis du vil være sikker på at overholde reglerne. Kontakt os for at høre nærmere.
Skrevet af: Lars Due Nielsen
Sådan registrerer du lovligt information om gæster på din restaurant under Corona