Hvad er GDPR og hvordan skal du leve op til det?

Hvad er GDPR compliance og hvad skal du være opmærksom på?

Introduktion

GDPR, eller General Data Protection Regulation, er en omfattende EU-lovgivning, der trådte i kraft i 2018. Formålet med GDPR er at styrke og harmonisere databeskyttelse for alle individer inden for EU og det Europæiske Økonomiske Samarbejdsområde. Dette regelsæt har indført betydelige ændringer i måden, virksomheder over hele verden behandler persondata på. GDPR er ikke kun relevant for virksomheder baseret i EU, men også for enhver virksomhed, der behandler persondata på EU-borgere. Derfor er det essentielt for virksomheder globalt at forstå og overholde GDPR's krav.

I denne artikel vil vi dykke ned i de forskellige aspekter af GDPR og besvare vigtige spørgsmål såsom: Hvornår er det nødvendigt at overholde GDPR? Hvilke virksomheder er påvirket af GDPR? Og hvad indebærer compliance med GDPR for din virksomhed? Selvom GDPR kan synes overvældende, er det vigtigt at forstå, at uanset størrelsen på din virksomhed, er der visse aspekter af GDPR, som du skal være opmærksom på.

GDPR stiller krav om, at virksomheder skal implementere passende sikkerhedsforanstaltninger og sikre, at persondata behandles lovmæssigt, retfærdigt og gennemsigtigt. Derudover skal virksomhederne kunne dokumentere deres compliance-aktiviteter og overholde de registreredes rettigheder.

Vores mål med denne artikel er at tilbyde en grundig forståelse af GDPR's krav og retningslinjer, så du kan sikre, at din virksomhed håndterer persondata ansvarligt og i overensstemmelse med lovgivningen. Uanset om du er en nystartet virksomhed eller en etableret international spiller, er denne artikel designet til at guide dig gennem GDPR's komplekse landskab.

Start din gratis Compliance platform fra .legal

Hvad er GDPR Compliance?

At definere GDPR compliance fuldt ud kræver henvisning til selve GDPR-forordningen, men det er muligt at belyse nogle overordnede principper, der klargør, hvad GDPR compliance indebærer.

I sin essens betyder GDPR compliance, at virksomheder omfattet af databeskyttelsesforordningen er forpligtede til at håndtere og behandle persondata i overensstemmelse med lovgivningen.

GDPR-forordningen er skabt for at sikre, at persondata for EU-borgere ikke behandles uden et gyldigt formål og juridisk grundlag. Dette indebærer, at virksomheder, der behandler persondata på EU-borgere, skal implementere sikkerhedsforanstaltninger for at beskytte disse data og forpligter sig til kun at behandle data med et klart formål. GDPR kræver også dokumentation, så virksomheder ikke alene skal overholde reglerne, men også kunne dokumentere, hvordan de gør det.

Når det kommer til GDPR, er der syv overordnede principper, som skal overvejes i forbindelse med databehandling. Disse syv principper er:

  1. Lovlighed, rimelighed og gennemsigtighed: Personoplysninger skal behandles lovligt, rimeligt og transparent. Lovlighed betyder et juridisk grundlag for databehandling, som kan findes i artikel 6 og artikel 9 i GDPR-forordningen. Rimelighed og gennemsigtighed sikrer, at den registrerede er fuldt informeret om, hvordan deres data behandles.

  2. Formålsbegrænsning: Virksomheden må kun behandle personoplysninger med et klart, legitimt og dokumenteret formål, og kun til de formål, som den registrerede er blevet informeret om.

  3. Dataminimering: Kun de nødvendige data for det angivne formål må indsamles. Det er vigtigt løbende at vurdere, om de eksisterende data stadig er nødvendige til formålet. Overflødige data bør slettes for at mindske risikoen for de registrerede personer.

  4. Rigtighed: Data skal være korrekte og ajourførte. Data, der ikke længere er relevante, skal fjernes.

  5. Opbevaringsbegrænsning: Personoplysninger må kun tilgås i den periode, de er nødvendige for behandlingsformålet. Data, der falder uden for dette behov, bør slettes eller anonymiseres.

  6. Integritet og fortrolighed: Der skal implementeres sikkerhedsforanstaltninger for at beskytte mod uautoriseret adgang til persondata. Dette inkluderer både tekniske og organisatoriske tiltag.

  7. Ansvarlighed: Virksomheden skal kunne dokumentere overholdelse af de ovenstående seks principper og dokumentere håndteringen af persondata.

Kan du redegøre for, hvordan du har forholdt dig til og lever op til disse syv principper? Så er du godt på vej i forhold til din GDPR compliance.

Hvornår trådte GDPR i kraft?

GDPR-forordningen blev vedtaget den 25. maj 2016. Herefter havde virksomheder to år til at implementere lovgivningen, hvilket betyder, at GDPR trådte i kraft den 25. maj 2018.

Før 2018 var der allerede eksisterende regler om persondata, men disse var baseret på lokale lovgivninger, mens GDPR er en EU-forordning.

I dag eksisterer GDPR som EU-lovgivning, men de enkelte EU-lande har mulighed for at stille yderligere krav, have supplerende hjemmelsgrundlag og udarbejde egne vejledninger til at følge loven. Dette varetages af de lokale databeskyttelsesmyndigheder, som også har til opgave at sikre, at virksomheder overholder reglerne. I Danmark er denne opgave overdraget til Datatilsynet.

Det betyder også, at GDPR har været aktiv i over fem år. I denne periode har virksomheder blandt andet skullet vedligeholde dokumentation og løbende forbedre deres databeskyttelse. I Danmark har vi set de første bødesager, hvor dokumentationsreglerne ikke er blevet overholdt, herunder sager om data, der ikke er blevet slettet rettidigt.

Ved siden af GDPR-forordningen har det danske datatilsyn udgivet en række vejledninger, som kan hjælpe virksomheder med implementeringen af GDPR-reglerne. Disse vejledninger dækker både eksisterende og fremtidige regler og omfatter blandt andet rådgivning om, hvordan man udfører risikovurderinger og fører tilsyn med databehandlere – områder, der kan være vanskelige at finde klare retningslinjer for i selve GDPR-forordningen.

Det er vigtigt at understrege, at GDPR compliance er en proces og ikke et engangsprojekt. Selvom reglerne trådte i kraft i 2018, er det noget, virksomheder løbende skal genbesøge for at sikre, at deres behandlingsaktiviteter er ajourførte i forhold til både ændringer i virksomheden og i lovgivningen.

Læs mere om:
Sådan gennemfører du en GDPR risikovurdering - rammeværktøj og eksempel
Data mapping gjort simpelt - få overblik over dine behandlinger

Hvem skal leve op til GDPR?

Er GDPR compliance kun nødvendigt i EU?

Nej, GDPR compliance er ikke kun nødvendigt inden for EU. Selvom din virksomhed er baseret i EU, er det sandsynligt, at du skal overholde GDPR. Men GDPR-forordningen gælder også for virksomheder uden for EU, hvis de har operationer, afdelinger, eller tilbyder service i EU. GDPR er skabt for at beskytte rettighederne for EU-borgere, og gælder derfor for alle virksomheder, der behandler persondata på EU-borgere, uanset deres geografiske placering.

GDPR tildeler EU-borgere ni overordnede rettigheder i forbindelse med deres persondata. Disse rettigheder skal overholdes, uanset hvor virksomheden er placeret, og er tæt knyttet til de syv overordnede principper nævnt tidligere i artiklen. De ni rettigheder er:

  1. Retten til at blive informeret (GDPR artikel 12 og artikel 14): Den registrerede har ret til at blive informeret om, hvilke af deres personlige data der indsamles og behandles.

  2. Retten til adgang (GDPR artikel 15): Den registrerede har ret til at se og anmode om en kopi af deres personlige data.

  3. Retten til berigtigelse (GDPR artikel 16): Den registrerede har ret til at få rettet ukorrekte eller forældede persondata.

  4. Retten til at blive glemt/slettet (GDPR artikel 17): Den registrerede har ret til at anmode om sletning af sine personlige data.

  5. Retten til at blive flyttet (GDPR artikel 20): Den registrerede har ret til at få flyttet deres persondata fra en dataansvarlig til en anden.

  6. Retten til at begrænse behandlingen (GDPR artikel 18): Den registrerede har ret til at anmode om begrænsning eller ophør af behandlingen af deres persondata.

  7. Retten til at tilbagekalde samtykke (GDPR artikel 7): Den registrerede skal altid kunne tilbagekalde et tidligere givet samtykke.

  8. Retten til indsigelse (GDPR artikel 21): Den registrerede har ret til når som helst at gøre indsigelse mod behandlingen af deres personlige data.

  9. Retten til at gøre indsigelse mod automatisk behandling (GDPR artikel 22): Den registrerede har ret til ikke at være genstand for en beslutning baseret udelukkende på automatiseret profilering.

Disse rettigheder gælder på tværs af landegrænser og for alle EU-borgere, uanset om deres persondata behandles af en dansk, fransk, eller amerikansk virksomhed.

Læs vores 2023 tjekliste for GDRP compliance her

Er GDPR påkrævet i Storbritannien?

Gælder GDPR compliance efter Brexit?

Efter Brexit transitionens afslutning den 31. december 2020, dækker GDPR ikke længere borgere i Storbritannien (UK). Det betyder dog ikke, at der mangler databeskyttelsesregler i UK. Fra 1. januar 2021 trådte Storbritanniens egen databeskyttelseslov i kraft, som inkorporerer mange af de samme krav og rettigheder, som findes i EU's GDPR. Denne lovgivning, kendt som UK GDPR, sikrer, at Storbritannien fortsat har en robust databeskyttelsesramme, der spejler EU's tilgang i mange aspekter.

For virksomheder i Storbritannien indebærer dette, at de skal overholde UK GDPR. Dette omfatter krav om at føre fortegnelser over databehandlingsaktiviteter, udføre risikovurderinger, og lave data mapping i relation til dataoverførsler, blandt andre forpligtelser.

Det er også vigtigt at bemærke, at Storbritannien baserede virksomheder, som behandler persondata på EU-borgere, stadig er forpligtet til at overholde EU's GDPR-lovgivning. Dette blev nævnt i et tidligere afsnit. Med den rette struktur og tilgang til dokumentation, kan virksomheder potentielt genbruge mange dele af deres eksisterende GDPR-dokumentation for at overholde både UK og EU GDPR. Dette kan bidrage til at forenkle compliance-processerne og sikre, at virksomheder effektivt beskytter persondata, uanset om de behandler data på EU-borgere eller borgere i Storbritannien.

Således, selvom UK og EU GDPR har adskilte juridiske rammer, er der en klar sammenhæng i deres tilgang til databeskyttelse, hvilket understreger vigtigheden af at have en solid forståelse og implementering af databeskyttelsesprincipper på tværs af grænser.

Er GDPR påkrævet i USA?

Det korte svar er ja. Med henvisning til afsnittet om EU-borgeres rettigheder og uafhængigt af virksomhedens geografiske placering, gælder GDPR for enhver virksomhed, der behandler persondata på EU-borgere.

GDPR dækker dog kun EU-borgere, der bor i unionen. Så en EU-borger, der er flyttet til USA, er ikke længere omfattet af GDPR. Omvendt kan GDPR gælde for USA-borgere, der har bopæl i EU. For USA-borgere bosiddende i USA gælder andre databeskyttelseslovgivninger.

Det betyder, at virksomheder i USA skal overholde GDPR i følgende tilfælde:

  • Virksomheden behandler regelmæssigt persondata på EU-borgere.

  • Virksomheden yder en service, som EU-borgere kan benytte sig af.

  • Virksomheden udfører markedsføring rettet mod EU-borgere, f.eks. ved at have en hjemmeside på et lokalt sprog eller vise priser i euro.

Når det kommer til compliance, skal hele værdikæden inkluderes. Hvis du er en EU-baseret virksomhed, der benytter en databehandler i USA, skal du sikre, at denne databehandler også overholder GDPR for at beskytte de registrerede. Dette er blandt andet årsagen til det store fokus på EU-USA-datadelinger, da USA kategoriseres som et usikkert tredjeland. Med Data Privacy Framework-aftalen, der blev indgået for nyligt, er det dog blevet lettere for USA-baserede virksomheder at certificere sig under en ordning, som beviser, at de overholder et databeskyttelsesniveau, der matcher GDPR.

Det er også vigtigt at være opmærksom på, hvor dine data hostes. Du kan f.eks. benytte en EU-baseret udbyder, som har hosting af deres tjeneste (hvor data opbevares) i USA. I sådanne tilfælde gælder de samme regler, som nævnt ovenfor.

Lær mere om GDPR ifm. cloud services her

 

Er GDPR kun påkrævet for store virksomheder?

Nej, GDPR gælder for alle virksomheder, uanset størrelse. Det betyder, at virksomhedens størrelse, omsætning, antal medarbejdere eller andre faktorer ikke påvirker, om virksomheden er omfattet af GDPR.

Der kan dog være visse undtagelser, som for eksempel i forhold til en artikel 30 fortegnelse. Artikel 30, stk. 5, i GDPR-forordningen nævner:

”De i stk. 1 og 2 omhandlede forpligtelser finder ikke anvendelse på et foretagende eller en organisation, der beskæftiger under 250 personer, medmindre den behandling, som den foretager, sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder, behandlingen ikke er lejlighedsvis, eller behandlingen omfatter særlige kategorier af oplysninger, jf. Artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. Artikel 10.”

Det betyder, at hvis din organisation behandler persondata på under 250 personer, kan du være undtaget, medmindre behandlingen indebærer en risiko, ikke er lejlighedsvis, eller omfatter særlige kategorier af data. Men da de fleste behandlinger sandsynligvis vil indebære en risiko, og mange virksomheder regelmæssigt behandler persondata, er det sandsynligt, at de fleste virksomheder vil være underlagt GDPR.

Derfor er det klogest at forholde sig til GDPR og dokumentere behandlinger, uanset virksomhedens størrelse. Den gode nyhed er, at jo mindre virksomheden er, desto mindre kompleks bliver opgaverne ift. data mapping og andre GDPR-relaterede aktiviteter.

Du kan læse mere om, hvordan du laver en data mapping her.

Datatilsynet har desuden en sektion specielt henvendt til mindre virksomheder og deres håndtering af GDPR, som kan findes her.

I .legal har vi udviklet en gratis version af Privacy platformen, netop med det formål at hjælpe mindre virksomheder med deres compliance-arbejde.

Har GDPR indflydelse på alle typer virksomheder?

Ja, i stort set alle tilfælde. Undtagelserne er de samme som nævnt i forrige afsnit. Men uanset om du driver en virksomhed inden for den finansielle sektor eller en tømmerhandel, så har GDPR betydning for dig. Kompleksiteten af din GDPR-dokumentation og de specifikke regler, du skal overholde, vil dog variere afhængigt af din virksomhedstype.

For eksempel vil det være mere komplekst at dokumentere for et hospital, der behandler sundhedsdata på patienter, sammenlignet med en mindre virksomhed, der kun behandler kontaktoplysninger på deres kunder.

Men grundlæggende skal alle virksomheder forholde sig til GDPR-reglerne og dokumentere deres processer i overensstemmelse med de krav, de falder under.

Læs også: Obligatoriske GDPR dokumenter, du skal have styr på

Præsentation af .legals Privacy værktøj: GDPR compliance gjort let

Privacy platformen - din hjælp til GDPR dokumentation

I .legal har vi udviklet en GDPR compliance platform ved navn Privacy. At have et compliance værktøj som Privacy ved hånden kan være en stor fordel, når du skal udføre din GDPR dokumentation. Vi har designet Privacy med fokus på alle typer virksomheder.

Desuden har vi introduceret en gratis plan, så alle virksomheder, uanset størrelse, kan bruge platformen så længe de ønsker.

Som artiklen påpeger, er de samme GDPR-krav gældende for alle typer virksomheder. Derfor har alle virksomheder brug for funktioner såsom:

Alle disse funktioner er tilgængelige i den gratis udgave af Privacy. For større virksomheder, som måske når grænserne for vores gratis-plan, tilbyder vi betalte abonnementer, som du kan læse mere om her.

Blandt vores abonnementer tilbyder vi f.eks. Privacy Pro, som er ideelt for større organisationer, der håndterer mange koncernselskaber og avanceret bruger- og rollestyring.

Privacy platformen kan derfor bruges af både små og store virksomheder til de samme formål.

Vi har designet Privacy med to overordnede brugertyper for øje: Den ansvarlige, der har brug for et overblik over dokumentationen, også ved ændringer i lovgivningen, og den udførende, der kender til behandling af persondata, men som skal guides gennem dokumentationsprocessen med indbygget hjælp, skabeloner og forslag.

Hvorfor vælge Privacy? Læs om fordelene ved at bruge en GDPR-platform i forhold til Excel her. Og ja, platformen er jo gratis 😀

Start din gratis Privacy plan i dag - din GDPR Compliance platform

Læs også: Har du brug for GDPR-compliance software?

Typiske spørgsmål om GDPR

Hvad er GDPR compliance? Typiske spørgsmål og svar.

Gælder GDPR for Non-Profit Organisationer?

Ja, GDPR gælder også for non-profit organisationer, hvis de behandler persondata. Det er vigtigt at forstå, at GDPR ikke skelner mellem kommercielle og ikke-kommercielle organisationer. Hvis en non-profit organisation behandler personoplysninger af EU-borgere - f.eks. medlemsdata, donorinformationer eller oplysninger om ansatte - er den forpligtet til at overholde GDPR. Dette indebærer at sikre datasikkerhed, respektere individernes rettigheder og opretholde en transparent databehandling.

Hvordan påvirker GDPR behandlingen af medarbejderdata?

GDPR har stor indflydelse på, hvordan virksomheder behandler deres medarbejderes persondata. Det kræver, at virksomhederne har klare politikker og procedurer for at beskytte medarbejderdata, såsom ansættelsesoplysninger, kontaktdata og ydelsesoplysninger. Virksomheder skal sikre, at medarbejderdata kun bruges til legitime formål og beskyttes mod uautoriseret adgang. De skal også informere medarbejderne om, hvordan deres data bruges, og sikre, at medarbejdernes rettigheder i forhold til deres data overholdes.

Er samtykke den eneste lovlige grund til databehandling ifølge GDPR?

Nej, samtykke er ikke den eneste lovlige grund til databehandling under GDPR. Der er flere andre lovlige grunde, herunder nødvendighed for at opfylde en kontrakt, overholde en juridisk forpligtelse, beskytte vitale interesser, udføre en opgave i offentlighedens interesse og nødvendighed for legitime interesser forfulgt af dataansvarlig eller en tredjepart. Det betyder, at virksomheder kan behandle persondata uden samtykke, hvis de kan retfærdiggøre det under en af de andre lovlige grunde. (Se artikel 6 I GDPR forordningen).

Hvilke rettigheder har registrerede ifølge GDPR?

GDPR giver registrerede en række vigtige rettigheder, herunder retten til at blive informeret, retten til adgang, retten til berigtigelse, retten til at blive glemt, retten til dataportabilitet, retten til at begrænse behandling, retten til at gøre indsigelse og retten til ikke at være underlagt automatisk afgørelse, herunder profilering. Disse rettigheder giver individuelle kontrol over deres persondata og hvordan disse data bliver brugt.

Hvordan forbereder jeg mig på en GDPR revision?

For at forberede dig på en GDPR revision, er det vigtigt at sikre, at din virksomhed har dokumenteret sine databehandlingsaktiviteter og overholdelsen af GDPR-principperne. Dette indebærer at have en ajourført fortegnelse over behandlingsaktiviteter, klare databeskyttelsespolitikker, medarbejderuddannelse, og effektive procedurer for datasikkerhed og håndtering af databrud. Det er også vigtigt at have en procedure for at håndtere anmodninger fra registrerede om deres rettigheder.

Hvilke skridt skal jeg tage for at sikre GDPR compliance?

For at sikre GDPR compliance bør du gennemføre en grundig vurdering af dine nuværende databehandlingsaktiviteter og identificere eventuelle mangler i overensstemmelse med GDPR. Det er vigtigt at udvikle og implementere en effektiv databeskyttelsesstrategi, som inkluderer politikker, procedurer og medarbejderuddannelse. Du skal også sikre, at du har procedurer på plads for at håndtere registreredes rettigheder, og at du har en effektiv datasikkerhedsstruktur for at beskytte mod databrud.

Hvad er konsekvenserne ved ikke at overholde GDPR?

Konsekvenserne ved ikke at overholde GDPR kan være alvorlige. De kan omfatte betydelige bøder, som kan være op til €20 millioner eller 4% af den globale årlige omsætning, afhængigt af hvad der er højst. Derudover kan ikke-compliance medføre skade på virksomhedens omdømme, juridiske tvister og potentielt kompensationskrav fra registrerede. Det er derfor afgørende for virksomheder at tage GDPR seriøst og sikre fuld compliance.

 

Har du brug for hjælp til din GDPR Compliance? Start med at bruge Privacy gratis.

 

+210 store og små virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
Zwipe
aj_vaccines_logo
Right People
IO Gates
PLO
Finans Danmark
NK Forsyning
geia-food
Vestforbrænding
Boligkontoret danmark
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Energi Viborg
Ingvard Christensen
Lægeforeningen
InMobile
AK Nygart
DEIF