GDPR – hvad er det nu lige det er?
Før i tiden blev oplysninger videregivet med posten eller skriftligt til møder. I dag har vi alle personlige oplysninger stående på de sociale medier, på vores online bankkonto og ikke mindst opgiver vi personfølsomme oplysninger, når vi shopper på nettet. Online handel er eksploderet på verdensplan og derfor er det, for mange svindlere, blevet muligt at komme mellem afsenderen og modtageren. Derfor er GDPR opstået. Bliv klogere i artiklen herunder.
Starten på noget stort
Det hele startede tilbage i 1998, da databeskyttelsesdirektivet blev vedtaget i Europa Parlamentet. Dette direktiv var til for at beskytte fysiske personer i forbindelse med behandling af personfølsomme oplysninger. Direktivet viste sig dog at blive afskaffet til fordel for en mere harmoniseret udgave. D. 25. maj 2018, kunne denne harmoniserede udgave siges at være taget i brug fra. Den trådte i kraft tilbage i maj 2016, men blev først taget alvorligt fra 2018. Kort, kan den beskrives som værende danskernes sikkerhedsnet i den globaliserede, digitaliserede verden, som vi lever i. Databeskyttelsesforordningen, som er den lange udgave af GDPR, er grundlagt af EU-forordningen. Formålet med forordningen er at beskytte personfølsomme data for borgere, som lever inden for den europæiske unions grænser.
Hvordan bruges GDPR i praksis?
Der er et stort regelsæt inden for beskyttelse af borgernes personoplysninger, som privatpersoner, såvel som virksomheder skal handle efter. Behandlingen af personoplysninger kan forekomme forskellig fra virksomhed til virksomhed, men efter at forordningen er trådt i kraft, så har man sikret et lovmæssigt grundlag for at alle virksomheder, inden for EU, nemmere kan overholde disse stramme regler. Overholder virksomhederne ikke reglerne for personfølsomme oplysninger, så kan de tilsendes en bøde på op til 4% af virksomhedens samlede omsætning.
Hvad er personfølsomme oplysninger?
Grundlæggende for hele denne oplsyningsstrøm er, at du ved, hvad der går ind under personfølsomme oplysninger. Du tænker måske, at det blot er oplysninger, som kan lække dine kontooplysninger, men det er langt mere end det. Det gælder for dit navn, billeder af dig, informationer fra dit medicinkort, din e-mail, din adresse eller IP-adresser fra en enhed med internetadgang. Med andre ord, dækker begrebet over alle de ting i dit liv, som er med til at identificere dig som person. For uvedkommende skal du fremstå som værende anonym, da det kan være skadende, at dine personlige oplysninger lander i forkerte hænder.
Ekstra sikkerhed som erhvervsdrivende
Alle personoplysninger skal behandles med omhu. Det ved virksomhedernes kunder også. Da der er kommet større fokus på dette område gennem de seneste år, er frygten for at oplysningerne lækkes, også stigende. Som erhvervsdrivende vil du derfor gøre klogt i at blive medlem af GDPR-mærket. Ved at anskaffe dette mærke til din virksomhed, signalerer du til dine kunder, at du er opmærksom på at beskytte dine kunders brugerdata.
Hvad betyder forordningen konkret for virksomhederne?
Som virksomhedsejer, har du formentligt altid haft i sinde, at behandle personoplysninger fra dine kunder, med omhu og forsigtighed. Efter databeskyttelsesforordningen er trådt i kraft, er der dog kommet helt specifikke regler, som du skal følge. Først og fremmest er samtykke et vigtigt led i behandlingen af oplysningerne. Når dine kunder besøger din hjemmeside, skal du altså i større omfang have accept fra dine kunder til brugen af cookies. Det samme gælder for de oplysninger, din virksomhed ligger inde med fra dine kunder. De har til hver en tid ret til at få slettet, eller rettet deres oplysninger. Hvis et brud opstår, skal den dataansvarlige opgive brugen af data indenfor 72 timer – hvis muligt.
Hvornår må oplysninger indhentes?
Det er et meget omtalt emne inden for de offentlige myndigheder, som gennem den seneste tid har gennemgået kritisk omtale om unødvendig indhentelse eller videregivelse af personfølsomme oplysninger. Oplysninger som indhentes og arkiveres, skal altså være til nødvendige formål. Oplysninger, som ligger i statens interesse til videnskabelige -eller historiske formål, anses for at være godkendte for indhentelse. Ligeledes er der en opbevaringsbegrænsning, som betyder, at de personlige oplysninger udelukkende må være at finde i det tidsrum, hvor formålet er nødvendigt.
Hvornår er det generelt lovligt at behandle oplysninger?
Den registrerede, skal gennem en formel kontrakt, give sit samtykke til, at oplysninger nu ligger hos den pågældende dataansvarlige. Som nævnt i det ovenstående afsnit, så er det dog stadig lovligt at indhente oplysninger uden samtykke, hvis det er nødvendigt for eventuel myndighedsudøvelse. Her gælder det også for, hvem der kan give samtykket. Børn under det trettende fyldte år, skal have samtykke for den forældre, som er indehaver af forældremyndigheden. Det er bestemt ved lov.
Gælder forordningen kun indenfor EU’s grænser?
Det gamle direktiv, kunne blot behandle og beskytte personoplysningerne i EU s indre marked, mens databeskyttelsesforordningen også arbejder uden for EU. Det forekommer at outsourcede virksomheder til stadighed arbejder med kunder inden for EU, da der eksempelvis er megen dansk eksport. Den gældende forordning, beskytter nu også disse virksomheder og de registrerede. Det vil sige, at så snart der kommunikeres med borgere inden for EU’s landegrænser, så er dataforordningens love og regler i brug. Dette er centralt, da mange har Danmark som Marked.
Hvordan sikres det at reglerne overholdes?
Som tidligere nævnt, så er alle lande, under EU, en del af den forordning, som er til for at beskytte fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne. Nogle lande vælger dog at være med i forordningen alligevel. Samme gælder for alle medlemslandene og det er, at de alle skal have en tilsynsmyndighed. Denne myndighed fungerer som en One-stop shop, hvor virksomhederne for hjælp til meget på en gang. Disse opgaver består af klagehåndtering, give bistand til andre tilsynsmyndigheder, samt lave administrative sanktioner når der forekommer brud på forordningen.
Hvordan skal oplysninger opbevares?
Det føromtalte tilsyn kan komme uanmeldt på besøg til virksomhed. Det fungerer på samme måde, som med fødevarestyrelsen og SKAT. Hvis tilsynet vurderer, at virksomheden overtræder forordningens retningslinjer, kan denne få tilsendt et større bødebeløb. For at undgå dette, kræver det at virksomheden opbevarer oplysninger fortroligt. Det vil altså sige, at når kontoret skal kunne redegøre for, hvor de opbevarer personfølsomme oplysninger, hvem de har oplysninger om og hvorfor. Når kontoret lukker, skal alle oplysninger ligge aflåst. Det samme gælder, hvis medarbejderen, der behandler oplysningerne, går fra sit skrivebord. Her skal dokumenter med personoplysninger skjules og gøres utilgængelig for uvedkommende.
Oplysninger i mails
Det gælder også for de oplysninger som sendes i mails. Alt indhold, som indeholder andres personfølsomme oplysninger, skal altså overstreges, så der ikke videregives oplysninger til folk, der ikke må kende den pågældendes oplysninger. Det gælder altså, hvis du sender en såkaldt gruppemail. Er der oplysninger, som kan identificere bestemte personer i tråden, så skal eventuelle dokumenter overstreges og indscannes på ny.
Borgerens retssikkerhed
Som generelt gældende for offentlig forvaltningsret, så tilkommer det borgeren en række retssikkerhedsmæssige goder. Herunder findes oplysningspligten, som giver den registrerede krav på at få tilsendt informationer, når den dataansvarlige indhenter oplysninger om borgeren. Du kan altså få personoplysninger omhandlende dig selv opgivet, så snart du spørger efter det. Dette indebærer også en form for aktindsigt, som i databeskyttelsesforordningen er kaldet indsigtsret. Borgeren har altså ret til at få en bekræftelse på, om den dataansvarlige benytter oplysninger om pågældende, og i så fald hvilke. Den registreredes rettigheder gælder også for at denne kan gøre indsigelse mod ellers lovlige handlinger, hvis der er argumenteret hjemmel for dette.
Hvad kan jeg selv gøre?
Som almen borger, så kan det være svært at finde rundt i denne verden af hvad der er persondata og, hvad der ikke er. Personal data er ikke altid til at sondre mellem og derfor vil du gøre klogt i, at undersøge alt vedrørende dine egne rettigheder. Jo større indsigt du har, des større handlerum vil det give dig. Så er du i tvivl om, hvorvidt virksomheder må benytte dit CPR-nummer eller sende det i brevpost, så læs om det eller kontakt virksomhedens dataansvarlige. Ingen ønsker brud på forordningen, da det kan koste dyrt for virksomheden, men også være usikkert for dig. Derfor skal vi hjælpe hinanden. Det gør du bedst ved at oplyse dig selv og dine bekendte om regler og love i forbindelse med GDPR.
Brugeroplevelser af GDPR
Generelt skaber persondataforordningen en udbredt tryghed blandt borgerne inden for EU’s landegrænser. Den grundlæggende usikkerhed, som internettet har medført sig er betydeligt mindsket. Chancen for identitetstyveri er betydeligt mindre og generelt er befolkningen blevet mere bevidstgjorte om internettets fald grupper. Derfor har GDPR gjort mange brugere trygge og glade.
Virksomheders mening om GDPR
For virksomheder har GDPR betydet, at de har skulle bruge ekstra ressourcer for at overholde tro og love. Det kan for mange betyde ekstra arbejdskraft og ekstraordinære udvalg, som primært beskæftiger sig med GDPR. Dog beskriver mange virksomhedsejere, at det grundlæggende også skaber en tryghed for dem, at der er konkrete regler, som de skal følge. Det skaber større systematik og skaber et stort overblik over virksomhedens kunder. Ønsker du at vide mere om databeskyttelse så kan du læse mere inde på datatilsynets hjemmeside, som giver dig et stort overblik.