GDPR (Databeskyttelsesforordningen)

Den europæiske forordning for beskyttelse af persondata (databeskyttelsesforordningen) – også bedre kendt som GDPR (General Data Protection Regulation) har været gældende for danske virksomheder og organisationer siden 25. maj 2018. Forordningen fastlægger fælleseuropæiske retningslinjer for håndteringen af personoplysninger for virksomheder, organisationer, myndigheder og lignende. I dansk ret suppleres den europæiske databeskyttelsesforordning af den danske databeskyttelseslov.

Baggrund og formål

Ambitionerne bag databeskyttelsesforordningen er at styrke privatpersoners grundlæggende rettigheder om behandling af persondata. Formålet er fremme organisationers og virksomheders beskyttelse af persondata og at opstille mere klare retningslinjer for virksomheder og organisationer ift. det digitale indre marked. For virksomheder skal forordningen skabe klarere regler for brug af personoplysninger som forretningsdrivende. Som en fælles EU-lov har databeskyttelsesforordningen til hensigt at gøre EU-landenes håndtering af databeskyttelsesreglerne ensartet og fjerne unødvendig administration på tværs af landene.

Forordningen handler om beskyttelse af persondata, som defineres som ”Enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person”. Der skelnes typisk mellem tre kategorier af persondata:

  • Almindelige persondata (f.eks. navn, adresse, alder og e-mail)
  • Følsomme persondata (f.eks. race/etnicitet, religiøs overbevisning, straffeattest og biometriske oplysninger (såsom fingeraftryk)
  • Fortrolige persondata (f.eks. cpr-nummer, økonomiske forhold og billeder)

Hvem gælder lovgivningen for?

Databeskyttelsesforordningen gælder for alle virksomheder, myndigheder, foreninger mv., der behandler persondata. Som virksomhed eller organisation er man fx omfattet hvis man har:

  • I så fald vil man regelmæssigt skulle behandle personoplysninger fx til lønudbetaling
  • kunder, der er privatpersoner eller personligt ejede virksomheder. I så fald vil man regelmæssigt behandle personoplysninger fx ifm. levering af service eller betaling
  • en hjemmeside, hvor de besøgendes adfærd på hjemmesiden trackes eller hvor man kommunikerer med de besøgende via chat eller mail. I så fald behandler man også personoplysninger.

 Alle danskere har som EU-borgere en række rettigheder, når virksomheder eller myndigheder behandler personoplysninger. Det kan fx være, hvis en virksomhed indsamler, registrerer, videregiver eller sletter personoplysninger om kunder eller ansatte. Med de fælleseuropæiske regler har EU-borgere de samme databeskyttelsesrettigheder inden for hele EU.

I Danmark er Datatilsynet den uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynet publicerer desuden vejledning til overholdelse af kravene i lovgivningen.

Link til Datatilsynets hjemmeside.

Koblingen til standarder

Der er udarbejdet standarder, der skal hjælpe organisationer og virksomheder med koblingen mellem informationssikkerhed og privatlivsbeskyttelse og hermed også koblingen til GDPR.

Standarden ISO/IEC 27701 Sikkerhedsteknikker – ISO/IEC 27001 og ISO/IEC 27002 udvidet til at omfatte privatlivsbeskyttelse – Krav og vejledning er en international ledelsesstandard til privatlivsbeskyttelse for organisationer. Selvom databeskyttelsesforordningen er en europæisk lovgivning, har man vurderet, at den har en stor betydning for virksomheder uden for Europa, som ønsker at samarbejde og handle med europæiske virksomheder. Derfor har man udviklet en international standard, hvor der er indarbejdet et anneks (Anneks D), der laver en direkte mapping mellem bestemmelserne i standarden og en række af artiklerne i databeskyttelsesforordningen. På den måde kan virksomheder anvende standarden til at strukturere deres arbejde med persondatabeskyttelse og samtidig mappe det til lovkrav fra forordningen.

Derudover er man i gang med at udarbejde en europæisk standard, der går lidt dybere end ovenstående ved udelukkende at se på ISO/IEC 27701 i en europæisk kontekst; CEN/CLC 17926 Privatlivsbeskyttelsessystem i henhold til ISO/IEC 27201 – Tilpasning til en europæisk kontekst. Standarden bliver udarbejdet for at hjælpe europæiske virksomheder og organisationer med at demonstrere compliance ift. GDPR. Standarden forventes at blive udgivet i starten af 2024.

Kontakt

Berit Aadal
Berit Aadal Chefkonsulent | Chief Consultant
Standardisering | Digital & Bæredygtighed
E: baa@ds.dk
T: 39 96 62 96