GDPR - Du har måske hørt om det i forbindelse med datasikkerhed og -privatliv, men ved du egentlig præcis, hvad det står for? Selvom det kan virke som en kompleks, er det vigtigt at sætte sig ind i, hvad GDPR betyder for din organisation.
Manglende overholdelse af GDPR kan have store konsekvenser for din organisation, herunder bøder og skade på omdømmet. Derfor er det vigtigt at tage ansvar for at forstå og overholde reglerne for beskyttelse af persondata, da det kan have betydning for din organisations fortsatte succes og overlevelse på markedet.
Hvad er GDPR?
GDPR står for General Data Protection Regulation - og er den europæiske persondataforordning, som trådte i kraft den 25. maj 2018 for at styrke og strømline persondatabeskyttelse i Europa.
GDPR giver individer større kontrol over deres personoplysninger. Samtidig stilles organisationer til ansvar for deres håndtering og beskyttelse personoplysninger - uanset om de er placeret i EU eller ej.
Dette stiller store krav til organisationer, da det ikke er nok kun at udarbejde databeskyttelsesstrategi. Organisationen skal i praksis vise, hvordan den overholder GDPR ved at fremlægge bevis på, at interne procedurer og politikker overholdes. Og hvis en organisation ikke kan dokumentere dens GDPR-indsats, så eksisterer den ikke – hvert fald ikke i Datatilsynets øjne - hvilket kan have et omfangsrigt udfald for den pågældende organisation.
LÆS OGSÅ: Persondataforordningen: Pligter og rettigheder
Hvem gælder GDPR for?
Det korte svar er alle. Der er ikke den organisation i dag, som ikke behandler personoplysninger på den ene eller anden måde. Alle skal derfor tage stilling til, hvordan de bedst imødekommer de europæiske lovkrav, så længe de agerer indenfor EU's grænser og/eller behandler oplysninger om EU-borgerer.
Det vil sige, uanset om du sælger hjemmestrikkede huer eller arbejder i en stor organisation, skal du forholde dig til GDPR. Nogle organisationer vil dog i større eller mindre grad være berørt af persondataforordningen. Omfanget af en GDPR-indsat afhænger nemlig af en organisations service og størrelse, samt mængden af følsomme personoplysninger, den ligger inde med.
Hvorfor er GDPR vigtigt?
GDPR er en vigtig regulering for alle i det moderne samfund, der giver borgere stærk beskyttelse af deres personlige data og privatliv.
I den digitale tidsalder, hvor vores personlige oplysninger ofte er spredt på tværs af forskellige platforme og tjenester, er det afgørende at have en regulering, der kan garantere sikkerhed og fortrolighed. GDPR sikrer også, at organisationer tager ansvar for deres behandling af personhenførbare oplysninger og træffer de nødvendige foranstaltninger for at beskytte disse.
Overholdelse af GDPR er også vigtigt for virksomheder og organisationer, da manglende overholdelse kan have alvorlige konsekvenser, herunder store bøder og skade på omdømmet, hvilket kan have en negativ indvirkning på indtjeningen og vækstpotentialet. Ved at sikre compliance med GDPR kan organisationer også øge sikre forretningsmæssig værdi i form af øget tillid og differentiering i forhold til konkurrenter, der ikke tager databeskyttelse seriøst.
Dataansvarlig vs. databehandler?
I GDPR sondres der mellem to forskellige roller, som en organisation kan påtage sig i forbindelse med databehandling. Det er vigtigt, at din organisation altid har for øje, hvilken rolle den påtager sig, når behandles data, da kravene for dataansvarlige og databehandlere er forskellige.
Dataansvarlig:
Den dataansvarlige er den person eller organisation, som er ansvarlig for de indsamlede personoplysninger og herved også ansvarlig for, at oplysningerne blive håndteret i overensstemmelse med GDPR. Den dataansvarlige er den, som bestemmer:
- Formålet for databehandlingen.
- På hvilken måde personoplysningerne behandles.
- Hvem der må behandle personoplysningerne.
Og ønsker et datasubjekt at udøve sine rettigheder, vil det være den dataansvarlige, som individet skal henvende sig til.
Databehandler:
En databehandler den person eller organisation, som opbevarer og/eller behandler personoplysninger på vegne af en dataansvarlig. I modsætningen til en dataansvarlig bestemmer en databehandler ikke formålet for databehandlingen.
Når en databehandler håndterer personoplysninger på vegne af en dataansvarlig gælder der en række forpligtelser. Der skal bl.a. være indgået en formel, skriftlig kontrakt, der sætter rammerne for databehandlingen – en databehandleraftale – og databehandleren må udelukkende behandle personoplysningerne i overensstemmelse med denne. Det vil være den dataansvarliges pligt og ansvar at sørge for at sådanne en aftale, da det i sidste ende er den dataansvarliges ansvar at sikre at GDPR-reglerne overholdes.
LÆS OGSÅ: Tilsyn med databehandlere
Forskellige former for personhenførbare oplysninger
GDPR arbejder med to kategorier af personoplysninger: almindelige og følsomme. Der skelnes ikke mellem et datasubjekts private eller arbejdsmæssige rolle. I B2B-situationer skal organisationen derfor stadig beskytte personoplysninger relateret til datasubjektet, der interageres med.
Hvad er almindelige personoplysninger?
Almindelige personoplysninger kategoriseres som værende alle former for personoplysninger, der ikke er defineret som følsomme. Det kan være identifikationsoplysninger såsom navn, adresse, og e-mail eller andre oplysninger som økonomi, familieforhold, arbejdsområde eller bolig
Eftersom personoplysninger kommer i mange former, er det vigtigt at have styr på dem alle i sin organisation. En organisation bør gennemgå alle arbejdsprocesser med GDPR-brillen på for at identificere dataflows. F.eks. er et portrætbillede af en medarbejder på hjemmesiden også kategoriseret som en personoplysning. Et stiltiende samtykke til at lægge billedet på hjemmesiden vil således ikke være nok, da det ikke lever op til GDPR-kravene.
Hvad er følsomme personoplysninger?
Følsomme personoplysninger er eksplicit afgrænset i persondataforordningen, da der ikke må herske tvivl om denne type personoplysning. For at behandle sådanne oplysninger kræves der nemlig en række behandlingshjemler.
Følsomme personoplysninger klassificeres som::
- Race eller etnisk oprindelse
- Politisk overbevisning
- Fagforeningsmæssige tilhørsforhold
- Religiøse eller filosofiske overbevisninger
- Genetisk data
- Biometriske data med henblik på entydig identifikation
- Oplysninger om en persons seksuelle forhold eller seksuelle orientering.
Følsomme personoplysninger er eksplicit afgrænset i persondataforordningen, da der ikke må herske tvivl om denne type personoplysning. For at behandle sådanne oplysninger kræves der nemlig en række behandlingshjemler.
Hvad sker der, hvis din organisation ikke lever op til GDPR?
Hvis din databehandling ikke lever op til persondataforordningen, kan det have store konsekvenser i form af erstatningskrav og høje bøder på op til 4% af organisationens globale omsætning eller 150 millioner kroner, alt efter hvad er højest.
Udover økonomiske konsekvenser kan manglende GDPR-compliance medføre skade på din organisations omdømme samt manglende tillid til organisationens fremtidig databehandling. Dette kan medføre fald i salg, kunder og leverandører. Langsigtede konsekvenser som en organisation kan have svært ved at rejse fra.
LÆS OGSÅ: Omdømme og compliance går hånd i hånd
