Hvad betyder GDPR regler og loven om EU data? I denne artikel får du svar på spørgsmål om databeskyttelsesloven
Beskyttelse af personers oplysninger og data er blevet omtalt meget i løbet af de seneste år. Dette skyldtes Databeskyttelsesforordningen, bedre kendt under den engelske forkortelse ”GDPR” som står for ”General Data Protection Regulation” og den danske lov ”Databeskyttelsesloven”. Både GDPR og Databeskyttelsesloven blev indført den 25. maj 2018. GDPR er over Databeskyttelsesloven, og Databeskyttelsesloven supplerer GDPR.
Hvem beskyttes af reglerne i GDPR – artikel 1?
Udgangspunktet er, at det er fysiske personer som er omfattet, hvilket vil sige helt almindelige mennesker og fostre. Derudover er virksomheder såsom enkeltmandsselskaber og I/S’er også beskyttet, da der er direkte sammenhæng mellem ejerne og virksomhederne. Døde personer er i indtil 10 år efter deres død omfattet af reglerne i GDPR, hvilket skyldes Databeskyttelseslovens § 2, stk. 5. Når man er beskyttet kaldes omtales man i GDPR som ”den registrerede”.
Hvad er en personoplysning – GDPR artikel 4?
En personoplysninger er en hvilken som helst information om en identificeret person, eller en oplysning som kan identificere personen. Dette kan f.eks. være billeder af dig, dit navn, adresse, arbejdsmail, telefonnummer eller identifikationsnummer.
Der er en særlig form for personoplysninger som kaldes ”følsomme oplysninger” og beskrevet i GDPR artikel 9. Det er blandt andet oplysninger om en persons race eller etniske oprindelse, politiske eller religiøse overbevisning, fagforeningsmæssigt tilhørsforhold, helbredsoplysninger eller oplysninger om en persons seksuelle forhold eller orientering.
Hvem er omfattet af pligterne i GDPR – artikel 3?
GDPR reglerne gælder for alle virksomheder og selskaber som er etableret eller har aktiviteter i EU. Derudover gælder den også virksomheder og selskaber som ikke er etableret eller har aktiviteter i EU, hvis de behandler personoplysninger i forbindelse med salg af varer og tjenesteydelser eller overvåger personers adfærd inden for EU.
Hvornår behandler man personoplysninger – Dataansvarlig eller databehandler – GDPR artikel 4?
Behandling af personoplysninger er enhver form for aktivitet, hvor man anvender personoplysninger. Dette kan f.eks. være ved indsamling eller registrering af mailadresser, bopælsadresser eller bankkontooplysninger. Eller når man f.eks. opbevarer, bruger eller videregiver personoplysninger.
Man er dataansvarlig, når man selv bestemmer til hvilke formål og hvilke hjælpemidler som skal bruges til at behandler personoplysningerne – om du bruger og har gavn af oplysningerne i forbindelse med dit arbejde.
Eksempler på det er, hvis din virksomhed sælger varer eller tjenesteydelser, kontaktoplysninger på din virksomheds arbejdspartners ansatte, eller hvis en forening eller virksomhed opbevarer personoplysninger på sine medlemmer.
Man er databehandler, når det aftales, at man behandler personoplysninger på den dataansvarliges vegne – du bestemmer ikke til hvilke formål eller hvordan oplysningerne skal bruges.
Eksempel på det er, hvis man ejer og administrere et elektronisk system, hvor andre virksomheder eller selskaber kan have oplysninger på deres medlemmer eller kunder liggende, og de bestemmer hvordan du specifikt må behandle oplysningerne, og du ikke selv har gavn af oplysningerne.
Hvornår må man behandle personoplysninger – GDPR artikel 6 og 9?
De almindelige personoplysninger, dem som ikke er følsomme, må behandles hvis:
- Man har fået samtykke fra den registrerede til behandling af specifikke formål.
- Behandling er nødvendig for at kunne opfylde en kontrakt, som den registrerede er part i, eller på forespørgsel fra den registrerede.
- Behandling er nødvendig for, at den dataansvarlige kan overholde en retlig forpligtelse.
- Behandling er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser.
- Behandling er nødvendig for udførsel af en opgave i samfundets interesse, eller opgaven er under en offentlig myndighedsudøvelse.
- Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder er af større betydning.
Det er ikke nødvendigt at først at få samtykke fra den registrerede, da det blot er en af ovenstående forhold der skal gøre sig gældende. En ”retlig forpligtelse” er overholdelse af gældende lovgivning. ”Vitale interesser” er, når det ikke er fysisk muligt at få samtykke fra den registrerede, og det f.eks. gøres for at undgå et stort økonomisk tab. En ”legitim interesse” er f.eks. videregivelse af oplysninger til en retssag, hvor man ikke selv er part.
De følsomme personoplysninger må som udgangspunkt ikke behandles, men der er undtagelser, hvor nogle beskrives her:
- Man har fået samtykke fra den registrerede til behandling af specifikke formål.
- Behandling er nødvendig for, at den dataansvarlige kan overholde en retlig forpligtelse med hjemmel i EU-ret, nationale ret eller kollektiv overenskomst.
- Behandling er nødvendig for at beskytte den registreredes eller en anden persons vitale interesser, og den registrerede ikke fysiske eller juridisk er i stand til at give samtykke.
- Personoplysningerne tydeligt er offentliggjort af den registrerede.
- Behandling er nødvendig for at et retskrav kan fastlægges, gøres gældende eller forsvares.
- Behandling er nødvendig af hensyn til væsentlige samfundsinteresser på grundlag af EU-ret, nationale ret, og det står i rimeligt forhold til målet.
Det er ikke nødvendigt at først at få samtykke fra den registrerede, da det blot er en af ovenstående forhold der skal gøre sig gældende.
Den dataansvarliges oplysningspligt – GDPR artikel 13 og 14
Man har som dataansvarlig en oplysningspligt til den registrerede uanset om man har indsamlet personoplysninger hos den registrerede selv eller hos tredjemand.
Indsamlet personoplysninger fra den registrerede selv, jf. GDPR artikel 13
Man skal bl.a. give følgende oplysninger:
- Identitet og kontaktoplysninger på den dataansvarlige,
- formålene med behandlingen af personoplysninger og retsgrundlaget for behandlingen (se artikel 6 og 9), og
- eventuelle modtagere eller kategorier af modtager af personoplysningerne,
- hvor lang tid personoplysningerne opbevares i
- retten hos den registrerede til at anmode om indsigt i og berigtigelse eller sletning af personoplysninger,
- retten hos den registrerede til at trække samtykket tilbage på ethvert tidspunkt,
- retten til at klage til Datatilsynet, og
- om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser ved ikke at afgive dem.
Indsamlet personoplysninger hos tredjemand om den registrerede, jf. GDPR artikel 14
Man skal bl.a. give følgende oplysninger:
- Identitet og kontaktoplysninger på den dataansvarlige,
- formålene med behandlingen af personoplysninger og retsgrundlaget for behandlingen (se artikel 6 og 9),
- hvilket kategorier af personoplysninger man behandler,
- eventuelle modtagere eller kategorier af modtager af personoplysningerne
- hvor lang tid personoplysningerne opbevares i
- retten hos den registrerede til at anmode om indsigt i og berigtigelse eller sletning af personoplysninger,
- retten hos den registrerede til at trække samtykket tilbage på ethvert tidspunkt,
- retten til at klage til Datatilsynet,
- hvor personoplysningerne stammer fra, og om de eventuelt stammer fra offentligt tilgængelige kilder, og
- om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser ved ikke at afgive dem.
Konsekvenser ved manglende overholdelse af GDPR reglerne – GDPR artikel 83
Overtræder man reglerne i GDPR, kan det medføre store bøder både for den dataansvarlige og databehandleren.
Overtrædelse af GDPR artikel 6, 9, 13 og 14 kan medføre bøder på op til 20.000.000 EUR, eller op til 4 % af den samlede globale årlige omsætning i det foregående regnskabsår, hvis denne er højere.
Bøderne vil ikke normalt blive fastsat til det maksimale, og der vil blive lagt vægt forskellige forhold i forbindelse med fastsættelsen af bødestørrelsen, såsom:
- karakteren, alvoren og varigheden af overtrædelsen samt hvor mange registrerede som er blevet berørt,
- om overtrædelsen er begået forsætligt eller uagtsomt,
- foranstaltninger som er truffet for at begrænse skaden,
- tidligere overtrædelser,
- samarbejdsvilligheden med Datatilsynet om at afhjælpe overtrædelsen og begrænse de negative konsekvenser af overtrædelsen,
- kategorier af personoplysninger som er berørt – almindelige eller følsomme personoplysninger, og
- hvordan Datatilsynet har fået kendskab til overtrædelsen – fra den registrerede, den dataansvarlige, databehandleren eller tredjemand
Dette er blot nogle af GDPR reglerne, og følgerne af manglende overholdelse. GDPR er et stort og komplekst område som påvirker alle virksomheder, selskaber og foreninger. Derfor er det vigtigt at få sat sig godt ind i reglerne, så man er godt forberedt på et besøg fra Datatilsynet og undgår at betale GDPR bøderne.
På vores bestyrelsesuddannelse Board Institute underviser vi naturligvis også i GDPR reglerne, så du som kapital- eller virksomhedsejer, bestyrelsesmedlem eller direktør kan få overblik og sørge for, at din virksomhed, selskab eller forening er up to date inden for GDPR området.
Eksterne kilder: https://gdpr-info.eu/
Har du yderligere spørgsmål eller ønsker du juridisk bistand vedr. GDPR, kan du kontakte os på 31 31 00 10.
Write a comment: