Hvad er GDPR?
Den generelle forordning om databeskyttelse (GDPR) er en lov, der gælder i hele EU og som kontrollerer, hvordan virksomheder og andre organisationer håndterer persondata.
Det er det vigtigste initiativ på området for databeskyttelse i 20 år, og har stor indvirkning på alle organisationer i verden, der har at gøre med borgere fra EU.
Lovgivningen fremsætter strenge krav for databehandlingsprocedurer, gennemsigtighed, dokumentation og brugersamtykke. Formålet er at give individer kontrollen tilbage over deres data, og at beskytte “fysiske personers fundamentale rettigheder og friheder”.
Enhver organisation skal føre protokol over- og overvåge persondatabehandlingsaktiviteter
Som datakontrollører skal virksomheder og andre organisationer have det komplette overblik over den databehandling, der finder sted indenfor dens rammer -også den, der ikke udføres af organisationen selv, men af tredjeparter og såkaldte dataprocessorer.
En dataprocessor kan være alt fra software-som-en-service til indlejrede tredjepartsservicer, som sporer og profilerer hjemmesidens brugere.
Både organisationerne selv og tredjeparter skal kunne gøre rede for hvilken type data der behandles, til hvilket formål, og til hvilke lande og tredjeparter disse data overføres.
Data må kun overføres til andre organisationer, der overholder GDPR’s lovkrav, eller som er beliggende i jurisdiktioner, der vurderes at sikre et tilstrækkeligt beskyttelsesniveau.
Alle samtykker skal registreres som bevis for, at der er givet samtykke
I oktober 2019 afsagde EU Domstolen (CJEU) dom i sagen om Planet49 og besluttede at det eneste gyldige samtykke i EU er eksplicit samtykke.
Dette betyder, at når det kommer til hjemmesider, skal der indhentes et aktivt og specifikt samtykke forud for behandlingen af enhver form for persondata, og ikke kun sensitive kategorier af persondata, som Databeskyttelsesforordningen (GDPR) ellers kræver.
EU Domstolens afgørelse om gyldigt samtykke betyder at din hjemmesides samtykkebanner ikke må have nogle forud-afkrydsede felter på kategorier af cookies udover de strengt nødvendige for din hjemmesides kernefunktioner.
Dette er eksplicit samtykke.
Med implementeringen af GDPR har personer nu “retten til datatransport”, “retten til dataadgang” og “retten til at blive glemt”. De har også ret til at trække deres samtykke tilbage til enhver tid. Ønsker en bruger eller kunde at få slettet sine data, skal virksomheden være i stand til at efterkomme dette ønske, såfremt de pågældende data ikke længere er nødvendige til det formål, de blev indsamlet til.
I tilfælde af dataudslip skal databeskyttelsesmyndigheder og påvirkede personer underrettes inden for 72 timer.
Endvidere pålægger GDPR offentlige myndigheder og virksomheder, der behandler personfølsomme data i stort omfang, at ansætte eller uddanne en DPO (Data Protection Officer) og en databeskyttelsesmedarbejder. DPO’en skal træffe foranstaltninger, der sikrer at hele organisationen lever op til GDPRs lovkrav.
I forbindelse med Brexit planlægger Storbritanniens regering at implementere en lignende lovgivning, der i det store og hele vil følge GDPR.
Hvad betyder GDPR for min hjemmeside?
Hvis din hjemmeside betjener personer fra EU, og du og/eller en indlejret tredjepart, f.eks. Google Analytics eller en Facebook-knap, behandler nogen form for persondata, skal du indhente forudgående samtykke fra brugeren.
For at få et gyldigt samtykke skal du beskrive omfanget af- og formålet med din databehandling i et klart sprog til brugeren, inden behandlingen påbegyndes. Disse oplysninger skal til enhver tid være tilgængelige for brugeren, f.eks. som del af din privatlivspolitik. Du skal også gøre det let for brugeren at ændre i sit samtykke eller helt og holdent at trække det tilbage.
Dokumentation er en vigtig del af de nye krav. Alle samtykker skal logges som bevis for at samtykket er givet, og al sporing af persondata skal dokumenteres, herunder til hvilke lande dataene overføres.
Sådan hjælper Cookiebot
Med Cookiebot kan du uden besvær overholde GDPRs krav vedrørende sporing og samtykke. Du får kontrol og dokumentation over alle typer af sporing der finder sted på din hjemmeside. Dine brugere får et klart overblik over den sporing, der finder sted, og deres samtykker indhentes og logges automatisk.
Hvad er definitionen på persondata?
GDPR definerer persondata som “enhver oplysning der relaterer til en identificeret eller identificerbar fysisk person (“dataemne”); en identificerbar fysisk person er en, der kan identificeres direkte eller indirekte, særligt ved reference til en identifikation såsom et navn, et ID-nummer, lokalitetsdata, en online identifikation eller en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet for den fysiske person.”
Online identifikationer såsom IP-adresser anses nu for værende persondata, medmindre de er anonymiserede.
Pseudonymiserede persondata er også underlagt GDPR, hvis det ved “reverse engineering” er muligt at identificere, hvis data det er.
GDPR trådte i kraft: 25. maj 2018
EU Databeskyttelsesreformen blev vedtaget af EU-parlamentet og Det Europæiske Råd den 27. april 2016. Den Europæiske Databeskyttelsesforordning er gældende fra den 25. maj 2018, og erstatter Databeskyttelsesdirektivet.
GDPR Bøder og straffe
Organisationer, der ikke overholder bestemmelsen, risikerer store bøder på op til 20 millioner euro eller 4 % af organisationens globale årlige omsætning, hvad end der er størst.
GDPR-tjekliste: 6 ting jeg skal gøre
1. Forbered din organisation:
Introducer interessenter på tværs af din organisation for GDPRs krav. Gennemfør medarbejdertræning i cybersikkerhed, og principper for Privacy by Design og Privacy by Default. Udnævn en DPO (databeskyttelsesmedarbejder) hvis påkrævet, dvs. hvis du beskæftiger mere end 250 personer.
2. Revider dine data:
Sørg for, at du ved, hvor alle dine data er, hvem der har adgang til dem og på hvilke enheder. Definer hvor persondata behandles, inklusive tredjepartsbehandlere. Dokumenter grundlaget for lovlig behandling, og opdater aktuelle fortrolighedspolitikker.
3. Revider servicepartnere:
Sørg for, at servicepartnere, dvs. forankrede tredjepartsservicer på din hjemmeside eller software-som-en-service-udbydere, også overholder GDPR eller hører under en officielt sanktioneret datajurisdiktion. Gennemgå og kortlæg deres internationale data-flow.
4. Indhent samtykke:
Implementer metoder til at søge, indhente og registrere samtykke for at sikre overholdelse. Lav en tydelig registrering af, hvad hver individuel bruger accepterer, og giv brugeren mulighed for at tilbagekalde eller ændre et samtykke.
5. Reager på datarettigheder:
Implementer procedurer, der gør det muligt for din organisation at reagere på brugerens rettigheder, dvs. dataadgang, korrektion og sletning. Dokumentér, hvordan disse vil blive gennemført både i kunde- og medarbejdersammenhænge.
6. Forbered dig på katastrofer:
Sørg for, at der er procedurer på plads, der kan registrere, undersøge og rapportere om persondata-udslip for at leve op til GDPRs 72-timers deadline for underretning.
GDPR-overholdelse og krav
GDPR-kurser, træning og certificering:
Du kan opnå EU GDPR Foundation (EU GDPR F) og EU GDPR Practitioner (EU GDPR P) -kvalifikationer (begge ISO 17024-godkendt) på forskellige kurser f.eks. IT Governance. International Association of Privacy Professionals, IAPP yder også online training.
GDPR-compliance software:
Der er talrige værktøjskits og softwareløsninger, der kan hjælpe dig i processen frem mod at overholde GDPR, f.eks. Responsum, som hjælper med at holde styr på din håndtering af persondata.
Cookiebot kan hjælpe dig med at automatisere håndteringen af brugersamtykker på din hjemmeside og dokumentere cookies og andre sporinger, der benyttes.
Ressourcer
Databeskyttelsesforordningen, PDF
EU-Kommissionen: Beskyttelse af persondata
GDPR ’tilstrækkelige’ lande
UK Information Commissionerís Office (ICO):Storbritanniens ICO (Information Commissionerís Office): Storbritanniens databeskyttelsesreform
Privacy by Design og De 7 fundamentale principper (PDF)