Hvad skal jeg vide om GDPR-lovgivningen?

Lovgivning om beskyttelse af personlige oplysninger

Lovgivning om beskyttelse af personlige oplysninger er ikke ny. Inden for Den Europæiske Union (EU) har hver medlemsstat i øjeblikket sin egen lovgivning om beskyttelse af personlige oplysninger. Disse nationale love er alle baseret på det europæiske databeskyttelsesdirektiv fra 1995. I Holland er den nationale implementering af dette direktiv persondataloven (Wbp).

generelle forordning om databeskyttelse trådte i kraft den 25. maj 2018. Det betyder, at der fra denne dato vil være én enkelt persondatalov i hele EU. Persondataforordningen vil ikke længere gælde, men de grundlæggende principper i denne lovgivning vil stadig danne kernen i den nye GDPR. Den hollandske databeskyttelsesmyndighed (Autoriteit Persoonsgegevens) overvåger overholdelsen af ​​de lovpligtige regler for beskyttelse af personoplysninger.

Hvad er det overordnede formål med GDPR?

Det overordnede formål med den generelle forordning om databeskyttelse er at beskytte EU-borgere inden for området for privatlivsregler og personoplysninger. GDPR giver rettigheder vedrørende personoplysninger, der deles med organisationer, der indsamler, opbevarer og behandler sådanne oplysninger.

Hvem gælder GDPR for?

GDPR gælder for enhver organisation, der indsamler personoplysninger fra EU-borgere. En organisation behøver ikke at være etableret i EU for at være underlagt GDPR. Hvis en organisation er placeret uden for EU og indsamler personoplysninger inden for EU, gælder GDPR for den pågældende organisation.

Hvad vil ændre sig?

Den nye GDPR strammer reglerne fra den nuværende persondatalov. I sidste ende forbliver meget det samme. Dataminimering, retten til at blive glemt, informationsforpligtelser og databehandleraftaler har altid været en del af loven, omend nogle gange under forskellige navne.
En solid privatlivspolitik, en klar privatlivspolitik, solide aftaler mellem databehandlere og dataansvarlige samt en procedure i tilfælde af databrud er også fortsat vigtige.

Mange eksisterende regler er blevet betydeligt strammet i den nye GDPR, og der er tilføjet flere nye forpligtelser. Der lægges større vægt på organisationernes eget ansvar for at overholde loven og for at kunne påvise overholdelse.

Hvad kan jeg selv gøre?

Som organisation kan du allerede tage skridt til at blive GDPR-klar. For at hjælpe dig har den hollandske databeskyttelsesmyndighed listet de 10 vigtigste trin.

Hvad er personoplysninger?

GDPR specificerer, at personoplysninger er enhver information vedrørende en identificeret eller identificerbar fysisk person. Der findes mange typer personoplysninger. Åbenbare data omfatter en persons navn, adresse og bopæl. Men telefonnumre og postnumre med husnumre er også personoplysninger. Følsomme data såsom en persons race, religion eller helbred kaldes også særlige kategorier af personoplysninger. Disse er beskyttet yderligere ved lov.

Hvad indebærer behandling af personoplysninger?

Behandling omfatter alle handlinger, en organisation kan udføre med personoplysninger, fra indsamling til destruktion. Loven angiver følgende som eksempler på behandling: indsamling, registrering, organisering, opbevaring, tilpasning eller ændring, hentning, søgning, brug, videregivelse ved transmission, formidling eller tilrådighedsstillelse, sammenstilling eller samkøring, begrænsning, sletning og destruktion af data.
Loven fastsætter, at en organisation kun må behandle personoplysninger, hvis det er nødvendigt til et bestemt formål.

Forarbejdningsprincipper

GDPR introducerer kerneprincipper, som al behandling af personoplysninger skal overholde:

• personoplysninger skal behandles på en retfærdig, lovlig og gennemsigtig måde;
• personoplysninger må kun behandles til et specifikt, udtrykkeligt formål;
• kun personoplysninger, der er nødvendige for formålet, må behandles;
• data skal være korrekte og aktuelle;
• Hvis identifikation ikke længere er nødvendig til formålet, skal personoplysningerne slettes eller anonymiseres, og;
• Personoplysningerne skal sikres ved hjælp af tekniske og organisatoriske foranstaltninger.

Terminologi for dataansvarlige/databehandlere

GDPR bruger begreberne "dataansvarlig" og "databehandler" i stedet for begreberne "ansvarlig" og "databehandler" fra persondataloven (Wbp). Den hollandske oversættelse af GDPR giver følgende definitioner:

Dataansvarlig
En fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der alene eller i fællesskab med andre fastlægger formålene og midlerne til behandling af personoplysninger. Dette er Teqas kunder, der køber i-Reserve

Databehandler:
En fysisk eller juridisk person, offentlig myndighed, institution eller andet organ, der behandler personoplysninger på vegne af den dataansvarlige. Dette er os som organisation, leverandøren af i-Reserve i-Reserve hosting .

Den registrerede
er den person, hvis personoplysninger en organisation behandler. Det betyder den person, som personoplysningerne vedrører. Disse er dine kunder, slutbrugerne.

Behandling af særlige personoplysninger.
Ud over almindelige personoplysninger anerkender loven også særlige personoplysninger. Dette er data, der er så følsomme, at behandlingen af ​​dem kan kompromittere en persons privatliv alvorligt. I henhold til GDPR er behandling af særlige personoplysninger forbudt, medmindre der gælder en undtagelse.

Særlige personoplysninger er personoplysninger, der afslører racemæssig eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, genetiske data, biometriske data med det formål entydigt at identificere en person, oplysninger om helbred, sexliv eller seksuel orientering. Sådanne oplysninger må derfor kun behandles under meget strenge betingelser.

Hvad er de vigtigste ændringer for organisationer?

Hvis den generelle forordning om databeskyttelse finder anvendelse, har organisationer, der behandler personoplysninger, flere forpligtelser.

krav
er, at organisationer skal kunne påvise, at de har modtaget et gyldigt samtykke fra enkeltpersoner til at behandle deres personoplysninger. Det skal også være lige så nemt for enkeltpersoner at trække deres samtykke tilbage, som det er at give det. Dette skal være en utvetydig viljestilkendegivelse. Så ikke flere forudafkrydsede felter! Anmodningen om samtykke skal være klar, forståelig og præsenteret i et enkelt sprog.
I sidste ende skal organisationer kunne bevise, at den registrerede har givet samtykke. Registrerede har ret til at trække samtykket tilbage til enhver tid, og denne ret skal meddeles dem.

BEMÆRK:
Det er ikke altid nødvendigt at anmode om samtykke til opbevaring af personoplysninger. For eksempel så længe de lagrede data er begrænset til, hvad der er nødvendigt for at opfylde aftalen. I andre tilfælde skal du anmode om samtykke. For at finde ud af, hvad der gælder for dig, kan du finde mere information .

Administrativ forpligtelse:
GDPR pålægger en dokumentationsforpligtelse, hvilket betyder, at organisationen skal kunne påvise, at den handler i overensstemmelse med GDPR. Dette omfatter samtykke, information, den registreredes rettigheder, datasikkerhed, behandlingsminimering og aftaler med databehandlere. Derfor: Kortlæg databehandlingsaktiviteterne i organisationen. Mange organisationer bliver nødt til at opdatere deres privatlivspolitikker, og dette er vigtigt. Manglende (fuldstændig) privatlivspolitik vil snart resultere i en stor bøde.

Når GDPR træder i kraft, vil Wbp's forpligtelse til at indberette databehandling til tilsynsmyndigheden ikke længere gælde. I stedet vil organisationer være forpligtet til at føre deres egne registre over behandlingsaktiviteter ("behandlingsregister"), der finder sted under deres ansvar.

Databehandleraftale:
Indgåelse af en databehandleraftale er ikke noget nyt, da det allerede er obligatorisk i henhold til den hollandske databeskyttelseslov (Wbp). I henhold til GDPR kaldes dette nu en databehandleraftale og gælder mellem den dataansvarlige for personoplysningerne og den part, der behandler personoplysningerne for dem (i øjeblikket kendt som databehandleren, snart kaldet databehandleren). Det nye er imidlertid, at GDPR specificerer flere obligatoriske elementer i denne aftale, herunder:

• formålet med behandlingen;
• typen af ​​personoplysninger, der behandles;
• kategorierne af registrerede;
• at der vil blive truffet passende sikkerhedsforanstaltninger;
• at databehandleren samarbejder med revisioner for at verificere, om databehandleren overholder alle forpligtelser, og;
• efter behandling, destruktion eller tilbagelevering af personoplysningerne til den dataansvarlige

Fra nu af vil databehandleren ikke længere have lov til at engagere en ekstern part til at behandle personoplysninger uden forudgående skriftligt samtykke fra den dataansvarlige.

Vurdering af konsekvenserne for privatlivets fred (PIA).
En vurdering af konsekvenserne for databeskyttelse (DPA) er et vigtigt værktøj for organisationer til at vurdere eller evaluere deres indvirkning på privatlivets fred. Brugen af ​​DPA'en giver organisationer mulighed for systematisk at integrere beskyttelse af personoplysninger i deres interesseafvejning og beslutningstagning.

Persondataloven (PIA) specificerer hvorfor, hvordan og hvor længe personoplysninger behandles. En konsekvensanalyse af privatlivets fred er obligatorisk, hvis behandling af personoplysninger, især ved hjælp af nye teknologier, udgør risici for de registrerede.

Krav til anmeldelse af databrud:
Vi har allerede dette krav i hollandsk lov: anmeldelse af databrud. Dette krav er også indarbejdet i GDPR og forbliver stort set uændret. GDPR stiller dog strengere krav til din egen registrering af databrud, der er sket i din organisation. Du skal dokumentere alle databrud.

Forebyg stress ved at planlægge på forhånd, hvordan du vil reagere, hvis der opstår en sikkerhedsrisiko. For eksempel skal du som dataansvarlig i nogle situationer anmelde et databrud til den hollandske databeskyttelsesmyndighed inden for 72 timer. Hvis bruddet sandsynligvis vil udgøre en høj risiko for de personer, hvis data er berørt, skal de også underrettes. Definer derfor en arbejdsgang for sikkerhedshændelser på forhånd, så de rette personer kan træffe rettidige beslutninger om, hvilke handlinger der skal træffes.

Den hollandske databeskyttelsesmyndighed har offentliggjort politikregler for anmeldelse af databrud.

Du har muligvis brug for en databeskyttelsesrådgiver.
En databeskyttelsesrådgiver (DPO) er en uafhængig person i organisationen, der rådgiver og rapporterer om overholdelse af GDPR. Selvom en DPO ikke var obligatorisk i henhold til den hollandske databeskyttelseslov (Wbp), er den påkrævet i henhold til GDPR i nogle situationer. Loven kræver en DPO, når du behandler følsomme personoplysninger såsom sundhedsoplysninger i stor skala, eller hvis du regelmæssigt observerer mennesker (fysisk eller digitalt). En DPO kan udpeges internt, men kan også udpeges eksternt.

Den registreredes rettigheder
: Personoplysninger skal behandles lovligt, rimeligt og transparent i forhold til den registrerede. Gennemsigtighed er altafgørende: Den registrerede skal informeres om, hvad der sker med deres personoplysninger. Alt skal kommunikeres i et enkelt og klart sprog.
Ud over de velkendte rettigheder til indsigt, berigtigelse og indsigelse giver GDPR også den registrerede:

• retten til at blive glemt,
• retten til dataportabilitet (også kendt som dataportabilitet),
• retten til at begrænse behandling og
• Retten til at gøre indsigelse mod visse behandlinger. Den registrerede har til enhver tid ret til at gøre indsigelse mod behandlingen af ​​sine data til direkte markedsføringsformål. Hvis den registrerede gør en sådan indsigelse, må hans data ikke længere behandles til markedsføringsformål.

Ret til indsigt:
En registreret har ret til at få bekræftelse fra den dataansvarlige på, om deres personoplysninger behandles. Når personoplysninger behandles, har den registrerede ret til information om disse oplysninger. Den registrerede har ret til information om blandt andet:

• formålene med behandlingen;
• de berørte kategorier af personoplysninger;
• de modtagere, som personoplysningerne videregives til;
• opbevaringsperioden;
• det faktum, at den registrerede har ret til at anmode om berigtigelse, sletning eller begrænsning af behandling og ret til at gøre indsigelse;
• det faktum, at den registrerede kan indgive en klage.

Ret til berigtigelse og ret til indsigelse
En registreret har ret til at få den dataansvarlige til at berigtige ukorrekte personoplysninger. Dette skal ske uden unødig forsinkelse. Den registrerede kan gøre indsigelse mod visse typer databehandling, hvilket kan medføre, at behandlingen af ​​deres personoplysninger skal stoppes. Overvej en organisation, der bruger personoplysninger til markedsføringsformål. (I øjeblikket findes der allerede en absolut ret til indsigelse i forbindelse med direkte markedsføring. Hvis en registreret udøver denne ret, må du ikke længere kontakte dem i markedsføringsøjemed.)

Ret til at blive glemt
I nogle situationer har den registrerede ret til at få sine data slettet fuldstændigt. GDPR tilføjer yderligere grundlag for denne sidstnævnte ret. GDPR indfører retten til at blive glemt. Det betyder, at den dataansvarlige skal slette personoplysninger uden unødig forsinkelse, for eksempel når personoplysningerne ikke længere er nødvendige i forhold til de formål, hvortil de blev indsamlet eller behandles yderligere. Det kræver også, at den dataansvarlige på en sådan anmodning informerer de parter, som dataene er blevet delt med. Navnene på disse parter skal også deles med den registrerede. Den dataansvarlige skal træffe rimelige foranstaltninger for at slette dataene, herunder eventuelle links, kopier eller reproduktioner heraf.

Tjek også muligheden for automatisk anonymisering i i-Reserve .

Ret til dataportabilitet.
GDPR introducerer retten til dataportabilitet, eller portabilitet af personoplysninger. Det betyder, at du kan modtage anmodninger fra dine kunder om at stille deres personoplysninger til rådighed. Dette gælder for alle digitale data, som en organisation behandler med den registreredes samtykke, plus data, der er nødvendige for at opfylde en kontrakt. Søgehistorik eller lokationsdata falder også ind under retten til portabilitet. Som organisation er du derefter juridisk forpligtet til at levere dataene i et "struktureret, almindeligt anvendt og maskinlæsbart" format. Du kan forberede dig på dette ved at overveje, hvordan du vil stille dataene til rådighed. For eksempel ved at bruge et værktøj, der giver dine kunder mulighed for at downloade deres data direkte og sikkert.

Hvis det er teknisk muligt, skal den dataansvarlige videresende dataene direkte til en anden dataansvarlig. Dette kan f.eks. gøres ved hjælp af et Application Programming Interface (API), som muliggør en forbindelse mellem dit system og en applikation, der tilhører en anden part.

I i-Reserve at downloade sine data , for administratoren at eksportere eller at videresende data via et API .

Privatliv som standard og privatliv gennem design
GDPR indfører en forpligtelse til at beskytte data gennem standardindstillinger (privatliv som standard) og gennem justerbar funktionalitet (privatliv gennem design) i softwaren.

Kravet om privatlivsbeskyttelse som standard betyder, at du skal implementere tekniske og organisatoriske foranstaltninger for at sikre, at du som standard kun behandler personoplysninger, der er nødvendige for det specifikke formål, du har til hensigt at opnå. For eksempel, hvor brugere selv kan justere deres privatlivsindstillinger, bør de som standard være indstillet til det højeste niveau.

Privacy by Design-forpligtelsen betyder, at du skal sikre, at personoplysninger er beskyttet, når du designer produkter, tjenester og organisatoriske processer.

Eksempler:

• Når du tilbyder en app, må du ikke lade brugerne registrere deres placering, hvis det ikke er nødvendigt;
• Du må ikke forhåndsmarkere feltet 'Ja, jeg vil gerne modtage tilbud' på hjemmesiden;
• Hvis nogen ønsker at abonnere på et nyhedsbrev, skal du ikke bede om flere data end nødvendigt.

Klik her for at se, hvad i-Reserve gør for at sikre og beskytte personoplysninger .

Sikkerheden skal være i orden – og forblive det
. Beskyttelse af personoplysninger er afgørende. Uden kryptering, tofaktorgodkendelse og muligheden for at adskille og sikkert slette personlige oplysninger løber din organisation en betydelig risiko.

Overtrædelser og sanktioner:
Den maksimale bøde pr. overtrædelse af den nuværende persondatalov (Wbp) er i øjeblikket €900.000. GDPR giver nationale tilsynsmyndigheder større beføjelser til at sanktionere overtrædelser af GDPR. Bøderne er betydelige og kan nå op til €20 millioner eller 4 % af den globale årlige omsætning, hvis en organisation ikke overholder lovens krav. Bøder, der pålægges i Holland, udstedes af den udpegede tilsynsmyndighed: den hollandske databeskyttelsesmyndighed (AP).
Leder du efter detaljer? Du kan også finde svar på ofte stillede spørgsmål på autoriteitpersoonsgegevens.nl.

Cookies, spam, e-mail, telemarketing og GDPR.
Regler for håndtering af elektronisk kommunikation såsom cookies, Wi-Fi-sporing, e-mail osv. er ikke fastsat i GDPR. Disse er dækket af e-databeskyttelsesdirektivet - eksisterende europæisk lovgivning, der vil blive opdateret i 2018. e-databeskyttelsesdirektivet er også kendt som cookieloven. Den Europæiske Union håber at kunne lancere de ændrede regler sideløbende med GDPR og samtidig tilbyde borgerne større beskyttelse af deres personlige oplysninger. Mere generelt fastlægger denne lovtekst de regler, som organisationer skal følge for at garantere fortroligheden af ​​digital kommunikation.