Hvorfor blev GDPR indført?
Formålet er at give individer kontrollen tilbage over deres data, og at beskytte “fysiske personers fundamentale rettigheder og friheder”. Forordningen fremsætter strenge krav for databehandlingsprocedurer, gennemsigtighed, dokumentation og brugersamtykke for organisationer, der behandler persondata i Den Europæiske Union.
Organisationer skal have et gyldigt retsgrundlag for, føre protokoller over, og overvåge persondatabehandlingsaktiviteter
Som datakontrollørerne skal virksomheder og andre organisationer have et retsgrundlag for og det komplette overblik over de databehandlinger, der finder sted inden for dens rammer, men også de, der udføres af dataprocessorer, dvs. tredjeparter, der behandler personoplysninger for den dataansvarlige.
En dataprocessor kan være alt fra Software-som-en-Service (SaaS) til indlejrede tredjepartsservicer, som sporer og profilerer hjemmesidens brugere.
Både organisationerne selv og tredjeparter skal kunne gøre rede for hvilken type data der behandles, til hvilket formål, og til hvilke lande og tredjeparter disse data overføres.
Hvis personlige data sendes til organisationer eller regioner uden for GDPR’s jurisdiktion, eller som ikke anses for at være “tilstrækkelige” med hensyn til databeskyttelse i henhold til GDPR, skal brugerne specifikt informeres om dette og alle involverede risici.
Alle samtykker skal registreres og opbevares sikkert som bevis for, at der er givet samtykke
Den 4. maj 2020 vedtog Det Europæiske Databeskyttelsesråd (EDPB) retningslinjer for gyldigt samtykke i henhold til GDPR.Gyldigt samtykke fra en person skal være en frit afgivet, specifik, informeret og utvetydig angivelse af brugerens ønsker, dvs. en klar og positiv handling fra brugerens side.
Retningslinjerne fra EDPB gør det klart, at rulning eller fortsat browsing på et websted ikke udgør et gyldigt samtykke, og at cookiebannere ikke må have afkrydsningsfelter, der er markeret på forhånd.
Brug af cookiewalls (tvungen samtykke) overholder ikke reglerne og er derfor ikke compliant.
EDPB er den højeste tilsynsmyndighed med ansvar for anvendelsen af GDPR i hele EU og består af repræsentanter fra databeskyttelsesmyndighederne i hver EU-medlemsstat. Deres retningslinjer og beslutninger udgør grundlaget for håndhævelsen af GDPR på nationalt plan.
Under GDPR har personer en række rettigheder, bl.a til datatransport, dataadgang og retten til at blive glemt. De har også ret til at trække deres samtykke tilbage til enhver tid, og det skal være lige så let at gøre det som at give samtykke i første omgang. I sådanne tilfælde skal den dataansvarlige stoppe med at behandle personoplysninger, så snart anmodningen er modtaget, og slette den enkeltes personoplysninger, såfremt de pågældende data ikke længere er nødvendige til det formål, de blev indsamlet til.
I tilfælde af databrud skal organisationer underrette databeskyttelsesmyndigheder og påvirkede personer inden for 72 timer.
Endvidere pålægger GDPR offentlige myndigheder og virksomheder, der behandler personfølsomme data i stort omfang, at ansætte eller uddanne en DPO (Data Protection Officer) og en databeskyttelsesmedarbejder. DPO’en skal træffe foranstaltninger, der sikrer at hele organisationen lever op fortsætter med at leve op til GDPRs lovkrav.
Hvad betyder GDPR for min hjemmeside?
Hvis din hjemmeside har besøgende eller kunder fra EU, og du og/eller en indlejret tredjepart, f.eks. Google Analytics eller en Facebook-knap, behandler nogen form for persondata, skal du indhente forudgående samtykke fra brugeren.
For at få et gyldigt samtykke skal du forklare omfanget af- og formålet med din databehandling i et klart sprog , inden behandlingen påbegyndes.
Disse oplysninger skal til enhver tid være tilgængelige for brugeren, f.eks. som del af din privatlivspolitik. Du skal også gøre det let for de besøgende at ændre i deres samtykke eller helt og holdent at trække det tilbage.
Alle samtykker skal logges og opbevares sikkert, og al sporing af persondata (herunder sporing udført af indlejrede tredjepartstjenester) skal dokumenteres, herunder til hvilke lande dataene overføres.Se også deres infografik Databeskyttelse – Bedre regler for mindre virksomheder.
Sådan hjælper Cookiebot
Med Cookiebot Consent Management Platform (CMP, samtykkehåndteringsplatform) kan du uden besvær overholde GDPRs krav vedrørende cookie- og trackersamtykke.
Cookiebot CMP giver dig mulighed for at overvåge og dokumentere cookies og andre sporingsteknologier, der bruges på din hjemmeside. Dine brugere får et klart overblik over den sporing, der finder sted, og deres samtykker indhentes og logges sikkert og automatisk.
Hvad er definitionen på persondata?
GDPR definerer persondata som “enhver oplysning der relaterer til en identificeret eller identificerbar fysisk person (“dataemne”); en identificerbar fysisk person er en, der kan identificeres direkte eller indirekte, særligt ved reference til en identifikation såsom et navn, et ID-nummer, lokalitetsdata, en online identifikation eller en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet for den fysiske person.”
Online identifikationer såsom IP-adresser anses nu også for værende persondata, medmindre de er anonymiserede.
Pseudonymiserede persondata er også underlagt GDPR, hvis det hvis det er muligt at genidentificere dem ved reverse engineering.
GDPR trådte i kraft: 25. maj 2018
EU Databeskyttelsesreformen blev vedtaget af EU-parlamentet og Det Europæiske Råd den 27. april 2016. Databeskyttelsesforordningen har været offentligt gældende siden den 25. maj 2018, og erstatter Databeskyttelsesdirektivet.
GDPR Bøder og straffe
Organisationer, der ikke overholder Databeskyttelsesforordningen, risikerer store bøder på op til 20 millioner euro eller 4 % af organisationens globale årlige omsætning, hvad end der er størst, i tilfælde af alvorlige eller gentagne overtrædelser.
GDPR-tjekliste: 6 ting du skal gøre
1. Forbered din organisation
Introducer interessenter på tværs af din organisation for GDPRs krav. Gennemfør medarbejdertræning i cybersikkerhed, og principper for Privacy by Design og Privacy by Default. Udnævn en DPO (databeskyttelsesmedarbejder) hvis påkrævet, f. eks. hvis du beskæftiger mere end 250 personer.
2. Revider dine data
Sørg for, at du ved, hvor alle de data, som din organisation har indsamlet og behandlet, befinder sig, hvem der har adgang til dem og på hvilke platforme eller enheder. Definer hvor persondata behandles, inklusive tredjepartsbehandlere. Dokumenter grundlaget for lovlig behandling, og opdater privatlivspolitikker .
3. Revider servicepartnere
Sørg for, at servicepartnere, f. eks. forankrede tredjepartsservicer på din hjemmeside eller software-som-en-service-udbydere, også overholder GDPR eller er i en officielt “tilstrækkelig” jurisdiktion. Gennemgå og kortlæg deres internationale data-flow.
4. Indhent samtykke
Implementer metoder til at anmode om, indhente og sikkert registrere samtykke for at sikre og opretholde overholdelse. Lav en tydelig registrering af, hvad hver individuel bruger accepterer, og giv brugeren mulighed for at tilbagekalde eller ændre et samtykke til enhver tid.
5. Reager på anmodninger om dataemners rettigheder
Implementer procedurer, der gør det muligt for din organisation at svare på anmodninger om dataemners rettigheder, dvs. dataadgang, korrektion og sletning, på en rettidig måde. Dokumentér, hvordan disse vil blive gennemført både i kunde- og medarbejdersammenhænge.
6. Forbered dig på databrud
Sørg for, at der er procedurer på plads, der kan beskytte mod brud på datasikkerheden, men også registrere, undersøge og rapportere om ethvert brud på persondatasikkerheden for at leve op til GDPRs 72-timers deadline for underretning.
Ressourcer
UK Information Commissionerís Office (ICO):Storbritanniens ICO (Information Commissionerís Office): Storbritanniens databeskyttelsesreform
Privacy by Design og De 7 fundamentale principper (PDF)