Hvad skal jeg vide om GDPR-lovgivningen?

Privatlivslovgivning

Privatlivslovgivning er ikke nyt. I Den Europæiske Union (EU) har hver medlemsstat stadig sin egen privatlivslov. Disse nationale love er alle baseret på det europæiske privatlivsdirektiv fra 1995. I Nederlandene er den nationale gennemførelse af dette direktiv Wet bescherming persoonsgegevens (Wbp).

Fra den 25. maj 2018 er den Generelle forordning om databeskyttelse (GDPR) trådt i kraft. Det betyder, at der fra den dato kun gælder én privatlivslov i hele EU. Wbp gælder ikke længere, men grundprincipperne fra denne lovgivning udgør stadig kernen i den nye GDPR. Datatilsynet fører tilsyn med overholdelsen af de lovmæssige regler for beskyttelse af personoplysninger.

Hvad er det overordnede formål med GDPR?

Det overordnede formål med den Generelle forordning om databeskyttelse er at beskytte EU-borgerne på området for privatlivsregler og personoplysninger. GDPR giver rettigheder med hensyn til personoplysninger, der deles med organisationer, som indsamler, opbevarer og behandler sådanne personoplysninger.

Hvem gælder GDPR for?

GDPR gælder for enhver organisation, der indsamler personoplysninger om EU-borgere. En organisation behøver ikke at være etableret i EU for at være omfattet af GDPR's betingelser. Hvis en organisation befinder sig uden for EU og indsamler personoplysninger fra EU, gælder GDPR for denne organisation.

Hvad vil ændre sig?

Den nye GDPR-lov skærper reglerne fra den nuværende Wet Bescherming Persoonsgegevens. Overordnet set forbliver meget det samme. Dataminimering, retten til at blive glemt, informationspligter og databehandleraftaler har altid stået i loven, om end nogle gange under andre navne.
Også en god privatlivspolitik, en forståelig privatlivserklæring, gode aftaler mellem databehandlere og dataansvarlige samt en procedure for datalækager forbliver vigtige.

Mange eksisterende regler er blevet markant skærpet i den nye GDPR, og en række nye forpligtelser er tilføjet. Der lægges større vægt på organisationers eget ansvar for at overholde loven og for at kunne dokumentere, at de overholder den.

Hvad kan jeg selv gøre?

Som organisation kan du allerede nu tage skridt for at være klar til GDPR. For at hjælpe dig med dette har Datatilsynet samlet de 10 vigtigste trin.

Hvad er personoplysninger?

GDPR angiver, at en personoplysning er enhver oplysning om en identificeret eller identificerbar fysisk person. Der findes mange typer personoplysninger. Oplagte oplysninger er en persons navn, adresse og bopælsby. Men også telefonnumre og postnumre med husnumre er personoplysninger. Følsomme oplysninger som en persons race, religion eller helbred kaldes også særlige kategorier af personoplysninger. Disse er ekstra beskyttede ved lov.

Hvad indebærer behandling af personoplysninger?

Ved behandling forstås: alle handlinger, som en organisation kan udføre med personoplysninger, fra indsamling til og med sletning. Loven nævner som eksempler på behandling: indsamling, registrering, organisering, opbevaring, opdatering, ændring, søgning, konsultation, brug, videregivelse ved transmission, spredning, tilgængeliggørelse, sammenlægning, samkøring, blokering, sletning og destruktion af oplysninger.
Loven bestemmer, at en organisation kun må behandle personoplysninger, hvis det er nødvendigt for et bestemt formål.

Behandlingsprincipper

GDPR introducerer kerneprincipper, som al behandling af personoplysninger skal overholde:

• personoplysninger skal behandles på en rimelig, lovlig og gennemsigtig måde;
• personoplysninger må kun behandles til et bestemt, udtrykkeligt angivet formål;
• kun personoplysninger, der er nødvendige for formålet, må behandles;
• oplysninger skal være korrekte og aktuelle;
• hvis identifikation ikke længere er nødvendig for formålet, skal personoplysningerne slettes eller anonymiseres, og;
• personoplysningerne skal sikres ved hjælp af tekniske og organisatoriske foranstaltninger.

Terminologi: dataansvarlig/databehandler

GDPR anvender begreberne 'dataansvarlig' og 'databehandler' i stedet for begreberne 'verantwoordelijke' og 'bewerker' fra Wbp. I den danske oversættelse af GDPR er følgende definitioner givet:

Dataansvarlig
En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der alene eller sammen med andre fastlægger formålene med og midlerne til behandling af personoplysninger. Dette er Teqas kunder, der anvender i-Reserve som produkt.

Databehandler
En fysisk eller juridisk person, en offentlig myndighed, en institution eller et andet organ, der behandler personoplysninger på den dataansvarliges vegne. Det er os som organisation som leverandør af i-Reserve og vores serveradministrator med hensyn til hosting af i-Reserve.

Den registrerede
Er den person, hvis personoplysninger en organisation behandler. Det er altså den person, som personoplysningerne vedrører. Det er jeres kunder, slutbrugerne.

Behandling af særlige kategorier af personoplysninger
Ud over almindelige personoplysninger kender loven også særlige kategorier af personoplysninger. Dette er oplysninger, der er så følsomme, at behandlingen heraf kan krænke en persons privatliv alvorligt. Ifølge GDPR er behandling af særlige kategorier af personoplysninger forbudt, medmindre der gælder en undtagelse.

Særlige kategorier af personoplysninger er oplysninger om race eller etnisk oprindelse, politiske holdninger, religiøs eller filosofisk overbevisning, fagforeningsmedlemskab, genetiske oplysninger, biometriske oplysninger med henblik på entydig identifikation af en person, oplysninger om helbred, seksuel adfærd eller seksuel orientering. Sådanne oplysninger må derfor kun behandles under meget strenge betingelser.

Hvad er de vigtigste ændringer for organisationer?

Når den generelle forordning om databeskyttelse finder anvendelse, har organisationer, der behandler personoplysninger, flere forpligtelser.

Samtykke
Nyt er, at organisationen skal kunne dokumentere, at den har indhentet gyldigt samtykke fra personer til at behandle deres personoplysninger. Og at det skal være lige så nemt for personer at trække deres samtykke tilbage som at give det. Dette skal være en 'utvetydig' viljeserklæring. Altså ingen forudafkrydsede bokse mere! Anmodningen om samtykke skal være klar og forståelig og præsenteres i et enkelt sprog.
Som organisation skal du til sidst kunne bevise, at den registrerede har givet samtykke. Den registrerede har til enhver tid ret til at trække samtykket tilbage og skal også gøres opmærksom herpå.

OBS:
At anmode om samtykke til registrering af personoplysninger er ikke altid nødvendigt. For eksempel så længe de registrerede oplysninger er begrænset til det, der er nødvendigt for at opfylde den indgåede aftale. I andre tilfælde skal du indhente samtykke. For at finde ud af, hvad der gælder for jer, finder du her mere information.

Administrationspligt
GDPR pålægger en dokumentationspligt, hvilket indebærer, at det skal kunne dokumenteres, at organisationen handler i overensstemmelse med GDPR. Tænk her på samtykke, afgivet information, de registreredes rettigheder, datasikkerhed, minimering af behandlinger og aftaler med databehandlere. Altså: Kortlæg databehandlingerne i organisationen. Mange organisationer vil skulle tilpasse deres privatlivserklæring, og dette er ikke uvæsentligt. For ikke at have en (fuldstændig) privatlivserklæring vil der fremover gælde en alvorlig bøde.

Når GDPR træder i kraft, bortfalder Wbp-pligten til at anmelde databehandlinger til tilsynsmyndigheden. I stedet skal organisationer selv føre et register over behandlingsaktiviteter ('behandlingsregister'), der finder sted under deres ansvar.

Databehandleraftale
At indgå en databehandleraftale er i sig selv ikke nyt, da den allerede er obligatorisk i henhold til Wbp. Den vil nu med GDPR blive kaldt en databehandleraftale og gælder mellem den dataansvarlige for personoplysningerne og den part, der behandler personoplysningerne for ham (nu kendt som bewerker, fremover databehandler). Nyt er dog, at GDPR nævner en række obligatoriske elementer i denne aftale, herunder:

• formålet med behandlingen;
• typen af personoplysninger, der behandles;
• kategorierne af registrerede;
• at passende sikkerhedsforanstaltninger vil blive truffet;
• at databehandleren medvirker ved revisioner for at kontrollere, om databehandleren overholder alle forpligtelser, og;
• efter afslutningen af behandlingen destruktion eller tilbagelevering af personoplysningerne til den dataansvarlige.

Databehandleren vil fremover ikke længere måtte inddrage en ekstern part til at behandle personoplysninger uden forudgående skriftligt samtykke fra den dataansvarlige.

Privacy impact assessment (PIA)
På dansk en 'databeskyttelseskonsekvensvurdering': PIA er et uundværligt redskab for organisationer til at vurdere eller evaluere privatlivskonsekvenserne. Ved brug af PIA kan beskyttelse af personoplysninger på en struktureret måde blive en del af afvejningen og beslutningstagningen i organisationer.

I PIA'en fastlægges, hvorfor, på hvilken måde og hvor længe personoplysninger behandles. Gennemførelsen af en Privacy Impact Assessment er obligatorisk, hvis behandlingen af personoplysninger, navnlig ved hjælp af nye teknologier, indebærer risici for de registrerede.

Indberetningspligt for datalækager
Denne kender vi allerede fra den nederlandske lov: indberetningspligt for datalækager. Den er også medtaget i GDPR og forbliver stort set uændret. GDPR stiller dog strengere krav til jeres egen registrering af de datalækager, der er opstået i jeres organisation. Du skal dokumentere alle datalækager.

Undgå stress ved på forhånd at overveje, hvordan du handler, hvis der opstår en sikkerhedsrisiko. Som dataansvarlig skal du i visse situationer anmelde en datalækage inden for 72 timer til Datatilsynet. Indebærer lækagen sandsynligvis en høj risiko for de personer, som oplysningerne vedrører? Så skal de også underrettes om lækagen. Fastlæg derfor på forhånd et workflow for sikkerhedshændelser, hvor de rette personer rettidigt kan træffe beslutning om de nødvendige handlinger.

Datatilsynet har offentliggjort retningslinjer for indberetningspligten ved datalækager.

Muligvis har I brug for en databeskyttelsesrådgiver
En data protection officer (DPO), eller databeskyttelsesrådgiver (FG), er en uafhængig person i organisationen, der rådgiver og rapporterer om overholdelsen af GDPR. Privatlivsrådgiveren var ikke obligatorisk under Wbp, men er det under GDPR i visse situationer. Ifølge loven er det obligatorisk, når I behandler følsomme personoplysninger såsom helbredsoplysninger i stor skala, eller når I systematisk overvåger personer (fysisk eller digitalt). En FG kan være en person, der ansættes internt, men kan også være en person, der ansættes eksternt.

Den registreredes rettigheder
Personoplysninger skal behandles på en måde, der over for den registrerede er lovlig, rimelig og gennemsigtig. Gennemsigtighed er i fokus: den registrerede skal informeres om, hvad der sker med hans personoplysninger. Alt skal kommunikeres i enkelt og klart sprog.
Ud over den kendte ret til indsigt, berigtigelse og indsigelse har den registrerede under GDPR også:

• retten til at blive glemt,
• retten til dataportabilitet (overdragbarhed af data),
• retten til at begrænse behandlingen og
• retten til at gøre indsigelse mod visse former for behandling. Den registrerede har til enhver tid ret til at gøre indsigelse mod behandlingen af sine oplysninger til direkte markedsføringsformål. Hvis den registrerede indgiver en sådan indsigelse, må hans oplysninger ikke længere behandles til markedsføringsformål.

Ret til indsigt
En registreret har ret til at få oplyst af den dataansvarlige, om hans/hendes personoplysninger behandles. Når personoplysningerne behandles, har den registrerede ret til information om disse oplysninger. Den registrerede har bl.a. ret til information om:

• formålene med behandlingen;
• de berørte kategorier af personoplysninger;
• de modtagere, som personoplysningerne videregives til;
• opbevaringsperioden;
• det forhold, at den registrerede har ret til at indgive en anmodning om berigtigelse, en anmodning om sletning eller begrænsning af oplysningerne samt retten til at gøre indsigelse;
• det forhold, at den registrerede kan indgive en klage.

Ret til berigtigelse og indsigelsesret
En registreret har ret til at få berigtiget urigtige personoplysninger hos den dataansvarlige. Dette skal ske uden unødig forsinkelse. Mod visse former for databehandling kan den registrerede gøre indsigelse, som følge heraf kan behandlingen af hans personoplysninger eventuelt skulle ophøre. Tænk på en organisation, der bruger personoplysninger til markedsføringsformål. (I øjeblikket gælder der allerede en absolut indsigelsesret for direkte markedsføring. Hvis en registreret gør brug af denne, må du ikke længere henvende dig til ham eller hende til markedsføringsformål).

Ret til at blive glemt
I visse situationer har den registrerede ret til at få sine oplysninger slettet fuldstændigt. I GDPR er der tilføjet yderligere grundlag for denne ret. GDPR introducerer retten til at blive glemt. Det betyder, at den dataansvarlige skal slette personoplysningerne uden unødig forsinkelse, for eksempel når personoplysningerne ikke længere er nødvendige til de formål, hvortil de blev indsamlet eller viderebehandlet. Det bliver også obligatorisk ved en sådan anmodning at informere de parter, som du har delt oplysningerne med. Navnene på disse parter skal også deles med den registrerede. Den dataansvarlige skal træffe rimelige foranstaltninger for at slette oplysningerne, men også for at slette enhver kæde, kopi eller reproduktion.

Se i den forbindelse også muligheden for automatisk at anonymisere oplysninger i i-Reserve.

Ret til dataportabilitet
GDPR introducerer retten til dataportabilitet, dvs. overdragbarhed af personoplysninger. Det betyder, at I kan modtage anmodninger fra jeres kunder om at stille deres personoplysninger til rådighed. Det drejer sig om alle digitale oplysninger, som en organisation behandler med den registreredes samtykke, plus oplysninger, der er nødvendige for at opfylde en aftale. Også en søgehistorik eller lokationsoplysninger er omfattet af retten til dataportabilitet. I er som organisation dermed lovmæssigt forpligtet til at levere oplysningerne i et 'struktureret, alment anvendt og maskinlæsbart' format. I kan forberede jer herpå ved allerede nu at overveje, hvordan I vil stille oplysningerne til rådighed. For eksempel via et værktøj, hvormed jeres kunder direkte kan downloade deres oplysninger på en sikker måde.

Hvis det er teknisk muligt, skal den dataansvarlige sende oplysningerne direkte til en anden dataansvarlig. Dette kan for eksempel ske via en Application Programming Interface (API), som muliggør en forbindelse mellem jeres system og en applikation og en anden parts system.

I i-Reserve er det muligt, at kunden selv downloader sine oplysninger, at administratoren eksporterer kundeoplysninger, eller at oplysninger videresendes via en API.

Privacy by default og Privacy by design
GDPR introducerer en forpligtelse til databeskyttelse via standardindstillinger (Privacy by default) og via konfigurerbar funktionalitet (Privacy by design) inden for softwaren.

Forpligtelsen til Privacy by default indebærer, at du skal træffe tekniske og organisatoriske foranstaltninger for at sikre, at du som standard KUN behandler personoplysninger, der er nødvendige for det specifikke formål, du ønsker at opnå. Hvor brugere selv kan tilpasse deres privatlivsindstillinger, skal disse for eksempel som standard indstilles til det højeste niveau.

Forpligtelsen til Privacy by design indebærer, at du allerede ved udformningen af produkter, tjenester og organisationsprocesser skal sikre, at personoplysninger beskyttes.

Eksempler:

• Ved udbydelse af en app ikke lade brugerne registrere deres placering, hvis det ikke er nødvendigt;
• På hjemmesiden ikke forudafkrydse feltet 'Ja, jeg vil gerne modtage tilbud';
• Hvis en person ønsker at abonnere på et nyhedsbrev, ikke anmode om flere oplysninger end nødvendigt.

Se her, hvad i-Reserve gør for sikkerheden og beskyttelsen af personoplysninger.

Sikkerheden skal være i orden – og forblive det
Sikkerhed af personlige oplysninger er afgørende. Uden kryptering, tofaktorgodkendelse og muligheden for at adskille og sikkert slette personlige oplysninger løber I som organisation en meget stor risiko.

Overtrædelse og sanktioner
Den maksimale bøde pr. overtrædelse af den nuværende privatlivslov (Wbp) er 900.000 euro. I GDPR får de nationale tilsynsmyndigheder større beføjelser til at sanktionere overtrædelser af GDPR. Bøderne er betydelige og kan løbe op til 20 millioner euro eller 4 % af den globale årlige omsætning, hvis en organisation ikke opfylder lovens krav. Bøder, der i Nederlandene udstedes af den udpegede tilsynsmyndighed: Autoriteit Persoonsgegevens (AP).
Leder du efter detaljer? På autoriteitpersoonsgegevens.nl finder du også svar på ofte stillede spørgsmål.

Cookies, spam, e-mail, telemarketing og GDPR
Regler for behandling af elektronisk kommunikation såsom cookies, Wi-Fi-sporing, e-mail osv. er ikke fastlagt i GDPR. Det finder du i ePrivacy-direktivet – en eksisterende europæisk lovgivning, der fik en opdatering i 2018. ePrivacy-direktivet er også kendt som cookieloven. Den Europæiske Union håber at kunne lancere de reviderede regler sammen med GDPR for i ét hug at give borgerne bedre beskyttelse af deres personlige oplysninger. Mere generelt fastsætter denne lovtekst de regler, som organisationer skal følge for at garantere fortroligheden af digital kommunikation.