GDPR er en EU-lov, som beskytter EU-borgeres personlige oplysninger og sikrer nogle fælles rammer for virksomheder, der opererer i Europa. Artiklen giver brugbar information om forordningen og dens formål.
GDPR står for General Data Protection Regulation og går også under den danske titel Databeskyttelsesforordningen. Det er en lov, der blev vedtaget i EU i 2016 og som trådte i kraft tilbage i maj 2018. Formålet med persondataforordningen (GDPR) er at skabe nogle fælles spilleregler for europæiske virksomheder og at beskytte EU-borgeres personlige oplysninger mod misbrug. Forordningen gør det således klart, at man som EU-borger ejer sine egne data, hvorfor man får en række rettigheder og blandt andet kan kræve sine oplysninger udleveret og slettet, såfremt de ikke tjener noget lovligt formål.
Det er endnu ikke til at sige, hvor stor en virkning forordningen reelt får, men konsekvenserne er potentielt vidtrækkende. Først og fremmest har forordningen ekstraterritoriel virkning, hvormed den gælder for alle virksomheder, der behandler personoplysninger på europæiske borgere – uanset om de har adresse i Europa eller ej. Dernæst fordi forordningen har præsenteret en strafferamme med bøder på op til 4 % af en virksomheds årlige omsætning.
Hvad definerer GDPR som persondata?
Persondata er oplysninger, som gør et menneske identificerbart. Der er derfor ikke nogen udtømmelig liste over typer af persondata. Det kan være navn, adresse og CPR-nummer, men det kan også være IP-adresse eller fotografier. Det vigtige er, at oplysningerne kan ledes tilbage til en privatperson. Kan de ikke det, vil der være tale om anonymiseret data og der er reglerne straks mere lempelige.
Forordningens Artikel 9 definerer dog en fast liste over personlige oplysninger, der defineres som særligt sensitive. Det er oplysninger om racemæssig og etnisk oprindelse, politisk og religiøst tilhørsforhold, genetisk og biometrisk data samt oplysninger om helbred og seksualitet.
Rettigheder i GDPR
Da en enkeltperson får retten over sit eget data, medfølger der en række rettigheder til den enkelte borger. Den vigtigste og måske mest omtalte er retten til at blive glemt, som giver en borger ret til at få sine personoplysninger slettet, hvis ikke opbevaringen eller behandlingen af dem tjener noget formål eller er til skade for personen. Dertil er der retten til indsigt, der giver en ret til at vide, hvad en virksomhed eller myndighed har af oplysninger på en samt retten til dataportabilitet, som giver borgeren ret til at få sine data flyttet fra en enhed til en anden. Derudover får en enkeltperson retten til berigtigelse. Dette er selvfølgelig ikke berigtigelse, som man kender fra boligkøb, men derimod retten til at få rettet i forkerte oplysninger om dig.
Behandling af data
I mange tilfælde vil en virksomhed eller myndighed dog have hjemmel til at behandle persondata. Det kan være, at det er nødvendigt for at kunne udføre en opgave. Eksempelvis skal et apotek med rette have et personnummer for at udlevere medicin. Det kan også være af lovmæssige grunde – eksempelvis hvis en virksomhed skal opbevare deres ansattes oplysninger i 5 år af skatte- og regnskabsmæssige årssager, og dertil hyrer en professionel skatterådgiver.
En tredje mulighed for at få hjemmel er samtykke. Et samtykke kan dog altid trækkes tilbage og det forudsætter, at samtykket er frivilligt, legitimt, specifikt, informeret og utvetydigt.
Ønsker du at vide mere om GDPR, kan vi anbefale at læse Kontraktguidens mere udførlige guides og film. Her er viden om databehandler/dataansvarlig og langt mere viden om de mange dokumentationskrav. Du kan også læse denne guide om gode råd til dataetik.
Be the first to comment