PrivatErhverv
Jylland
Sjælland
Bornholm

GDPR-regler i databeskyttelsesforordningen

GDPR-reglerne er de regler, som bestemmer, hvordan personoplysninger skal beskyttes i EU. Disse regler fremgår af databeskyttelsesforordningen.

Ulrik Vindberg
Advokat (L), partner

Den 25. maj 2018 fik EU’s persondataforordning virkning. Her på siden får du indblik i, hvad loven dækker over, og hvilke regler som indgår i den.

Har du brug for konkret rådgivning om GDPR-reglerne og din virksomhed, kan du kontakte en Advodan-persondataspecialist i dag.

I Danmark erstatter databeskyttelsesforordningen den tidligere persondatalov, som har været den gældende lovgivning om persondata fra år 2000. Desuden supplerer vi databeskyttelsesforordningen med databeskyttelsesloven.

GDPR-loven, databeskyttelsesforordningen og persondataloven

Hvis du er i tvivl om, hvilke af ovenstående begreber som dækker over hvilken lovgivning, så er det ikke uden grund. GDPR-reglerne betegnes med en række forskellige navne.

Databeskyttelsesforordningen er et af de navne, man hører omtalt mest. Det er denne lovgivning, som er indført af EU, og som også omtales GDPR-loven. Den officielle titel er: Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

I Danmark erstatter databeskyttelsesforordningen den tidligere persondatalov, som har været den gældende lovgivning om persondata fra år 2000. Desuden supplerer vi databeskyttelsesforordningen med databeskyttelsesloven.

Indsender formularen...

Skal vi hjælpe dig og din virksomhed med jeres håndtering af persondata?

Nye GDPR-regler i databeskyttelsesforordningen

Her kan du læse om de vigtigste regler i databeskyttelsesforordningen i forhold til den tidligere persondatalov.

 

Store bøder og databeskyttelsesforordning

I databeskyttelsesforordningen er der indført hjemmel til at pålægge private virksomheder store bøder på op til 20 millioner euro eller op til 4 procent af virksomhedens/koncernens globale årsomsætning – afhængigt af, hvad der er højest.

Datatilsynet har indenfor de første par år med GDPR indstillet en række private virksomheder og offentlige myndigheder til bøder i størrelsesordenen 50.000-1.500.000 kr. I andre EU-landet er der udstukket langt større bøder – helt op til 50 mio. EUR. 

Nye rettigheder ifølge den databeskyttelsesforordning

I databeskyttelsesforordningen er der indført en række nye rettigheder for de personer, hvis personoplysninger behandles (de registrerede), herunder retten til indsigt, berigtigelse og sletning af oplysninger. Disse rettigheder skal opfyldes inden for korte frister på max en måned.

Du kan læse mere om registreredes rettigheder her.

 

Skriftlige databehandleraftaler

Databeskyttelsesforordningen sætter skærpede krav til skriftlige databehandleraftaler mellem virksomheden og dens leverandører, som opbevarer eller behandler data på vegne af virksomheden.

Du kan læse mere om databehandleraftaler her.

 

Udvidede forpligtelser og ansvar for databehandlere

Virksomheder, hvis forretningsområde er at være databehandlere, har fået udvidede forpligtelser og ansvar for overtrædelser. Databeskyttelsesforordningen kræver stadig, at den dataansvarlige [link til contentside om dataansvarlig], der har bestilt databehandlingen, skal opfylde forpligtelserne over for de registrerede, herunder en oplysningspligt om enhver indsamling og behandling af data om den pågældende.

Du kan læse mere om oplysningspligten her.

IT-systemer skal beskytte data

GDPR-reglerne kræver, at IT-systemer og applikationer, der anvendes til behandling af persondata, skal opfylde et krav om ”Privacy by Design”, dvs. de skal som standardindstilling sikre størst mulig beskyttelse af persondata.

 

Samtykke til behandling af data

Databeskyttelsesforordningen skærper kravene til fx den registreredes gyldige samtykke til behandling af personoplysninger.

Du kan læse mere om samtykke her.

 

Dokumentation for at reglerne overholdes

Det er ikke nok at overholde GDPR-reglerne – man skal også dokumentere, at man gør det. I databeskyttelsesforordningen er kravene til dokumentation for compliance blevet skærpet væsentligt. Dokumentationen skal ligge klar, hvis Datatilsynet kommer på uanmeldt besøg.

 

Selvanmeldelsespligt ved databrud

Databeskyttelsesforordningen har indført en selvanmeldelsespligt ved databrud, fx ved hackerangreb, hvor persondata kompromitteres. Anmeldelse skal ske inden 72 timer. Databrud kan være noget så simpelt som en e-mail med personoplysninger, som er sendt til en forkert modtager.

 

Databeskyttelsesrådgiver (DPO)

Visse virksomheder skal udpege en databeskyttelsesrådgiver (DPO).

Du kan læse mere om, hvilke virksomheder det gælder, her.

Databeskyttelsesforordningen og din virksomhed

Alle virksomheder, som regelmæssigt behandler personoplysninger, skal være bekendt med og overholde GDPR-reglerne i databeskyttelsesforordningen. Hvis din virksomhed har medarbejdere, eller hvis virksomhedens kunder er privatpersoner, er den omfattet af GDPR-reglerne.

 

Vigtige GDPR-regler

Det er ikke muligt her at give en uudtømmelig liste over GDPR-reglerne, men blandt de vigtigste er:

  • Din virksomhed skal leve op til oplysningspligten og de registreredes øvrige rettigheder 
  • Din virksomhed skal kunne dokumentere, at den har indført passende foranstaltninger for beskyttelse af persondata
  • Din virksomhed skal udpege en DPO, hvis den opfylder de tre betingelser
  • Der skal udarbejdes databehandleraftaler, hvis der foreligger en dataansvarlig/databehandler-relation
  • Din virksomhed skal føre tilsyn med databehandlere, hvis den bruger sådanne
  • Din virksomhed skal som udgangspunkt undgå behandling af følsomme persondata medmindre det er strengt nødvendigt

Du kan læse EU’s persondataforordning for et fuldt overblik over GDPR-reglerne her.

 

Få hjælp til GDPR

Det kan være svært at overskue lovtekster samt hvilke dele af dem, der er relevante at se nærmere på. Derfor kan det som dataansvarlig være en fordel at alliere sig med en advokat med indgående kendskab til området.

Få hjælp til databeskyttelsesforordningen og databeskyttelsesloven

Hos Advodan tilbyder vi rådgivning om, hvilke foranstaltninger din virksomhed bør foretage for at leve op til databeskyttelsesforordningen og databeskyttelsesloven. Kontakt en persondataspecialist her.

Rådgivning om GDPR