GDPR 

GDPR er en lovgivning fra EU, som har til formål at beskytte forbrugere fra de europæiske lande. Det er en forkortelse for General Data Protection Regulation men kendes også på dansk som persondataforordningen eller databeskyttelsesforordningen. Lovgivningen fastsætter bl.a. regler for, hvordan forbrugernes oplysninger skal behandles.  

Hvem skal overholde GDPR?

GDPR skal overholdes af alle personer, virksomheder, myndigheder m.m., som befinder sig inden for EU. Derudover skal folk uden for EU også overholde GDPR, hvis de behandler personoplysninger om en borger fra EU.

Vigtige GDPR-regler

Der er mange regler, som bestemmer, hvordan forbrugernes oplysninger skal behandles. Det gælder bl.a. krav om samtykke fra forbrugeren samt reglerne om, i hvor lang tid virksomheden må opbevare oplysningerne. De vigtigste regler er bl.a.:

• Samtykke: Man skal have en lovlig grund til at behandle oplysningerne. Det kunne for eksempel være, at forbrugeren har givet samtykke til behandlingen. Det er påkrævet, at samtykket er frivilligt, specifikt og utvetydigt.
• Behandlingen af personoplysningerne: Det er kun lovligt at behandle personoplysningerne i så lang tid, at det er nødvendigt. Der vil sige, at når der ikke længere er en grund til at behandle oplysningerne, skal behandlingen stoppes.
• Opbevaringen af personoplysningerne: Man skal slette oplysningerne, når man ikke længere har et lovligt formål med at behandle oplysningerne. Visse oplysninger skal dog opbevares i et bestemt antal år.
• Oplysningspligten: Man skal opfylde sin oplysningspligt, dvs. at forbrugeren skal informeres om, hvorfor oplysningerne bliver behandlet, hvem der modtager oplysningerne, hvor lang tid oplysningerne opbevares, og hvad forbrugerens rettigheder er.
• Databehandleraftaler: Hvis man har indgået en aftale med en databehandler, skal man indgå en databehandleraftaler. En databehandler kunne f.eks. være en ekstern virksomhed, som beregner løn til ens medarbejdere. Den eksterne virksomhed kommer derfor til at behandle oplysninger/data om medarbejderne. Læs mere om databehandleraftaler her.

Hvornår gælder GDPR?

Man skal overholde GDPR hver gang, man indsamler og behandler personoplysninger. Personoplysninger kan enten være almindelige (f.eks. navn, adresse, alder) eller følsomme (f.eks. religion, helbred, politiske overbevisning). Det kræver dog, at man kan identificere vedkommende ud fra den pågældende oplysning.

Eksempel: Hvis en mand bliver beskrevet som en ”mand med lyst hår” i et register over folk, der har bopæl i Københavns Kommune, er det ikke en personoplysning. Oplysningen er ikke tilstrækkelig til at kunne identificere manden. Der er mange mænd i Danmark, som har lyst hår. Hvis det i stedet havde været et register over medarbejdere i en bestemt afdeling i en virksomhed, kan det være en personoplysning, hvis der kun er én mandlig medarbejder med lyst hår.

GDPR’s betydning for virksomheder

Det er især virksomheder, som håndterer personoplysninger, som skal sætte sig ind i GDPR. Reglerne stiller nemlig krav til, hvordan virksomhederne indsamler og bruger oplysningerne fra forbrugerne. Det er især vigtigt at være opmærksom på, om forbrugeren har givet samtykke, samt at virksomheden ikke må opbevare oplysningerne for evigt.

Konsekvenserne af, at man ikke overholder GDPR

Man kan blive sanktioneret, hvis man ikke overholder reglerne i GDPR. Det er typisk sanktioner i form af bøder, som afhænger af, hvor voldsom overtrædelsen er. Hvis det er en mild overtrædelse, vil bøden lyde på 10 mio. euro eller 2% af selskabets årlige omsætning. Hvis det er en grov overtrædelse, er bøden i stedet på 20 mio. euro eller 4% af selskabets omsætning.

Det er ikke EU, som udsteder bøderne. Det er i stedet Datatilsynet, som står for at uddele bøder i Danmark. I praksis foregår det ved, at Datatilsynet politianmelder særligt grove overtrædelser af reglerne. Det betyder, at sagen kommer for retten, hvor domstolen skal fastsætte bødens størrelse.