Logo Logo
Cookiebot

Hvad er GDPR?


Den generelle forordning om databeskyttelse (GDPR) er en lov, der gælder i hele EU og som kontrollerer, hvordan virksomheder og andre organisationer håndterer persondata.

Det er det mest betydningsfulde initiativ på området for databeskyttelse i 20 år, og har stor betydning for alle organisationer i verden, der har at gøre med borgere fra EU.

Lovgivningen fremsætter strenge krav for databehandlingsprocedurer, gennemsigtighed, dokumentation og brugersamtykke. Formålet er at give individer kontrollen tilbage over deres data, og at beskytte "fysiske personers fundamentale rettigheder og friheder".

Enhver organisation skal føre protokol over- og overvåge persondatabehandlingsaktiviteter

Som datakontrollører skal virksomheder og andre organisationer have det komplette overblik over den databehandling, der finder sted indenfor dens rammer -også den, der ikke udføres af organisationen selv, men af tredjeparter og såkaldte dataprocessorer.

En dataprocessor kan være alt fra software-som-en-service til indlejrede tredjepartsservicer, som sporer og profilerer hjemmesidens brugere. 

Både organisationerne selv og tredjeparter skal kunne gøre rede for hvilken type data der behandles, til hvilket formål, og til hvilke lande og tredjeparter disse data overføres.

Data må kun overføres til andre organisationer, der overholder GDPRs lovkrav, eller som er beliggende i jurisdiktioner, der vurderes at sikre et tilstrækkeligt beskyttelsesniveau.

Alle samtykker skal registreres som bevis for, at der er givet samtykke

Det er ikke tilladt at behandle personfølsomme data uden at have fået brugerens udtrykkelige samtykke. For ikke-følsomme data er et implicit samtykke tilstrækkeligt. I begge fald skal samtykket gives frivilligt og på baggrund af en klar og specifik information om hvilke datatyper der registreres og til hvilket formål. Samtykket skal altid være på plads, inden databehandlingen på begyndes. Alle samtykker skal registreres som bevis for, at der er givet samtykke. 

For personfølsomme data skal samtykket være eksplicit, det vil sige tilkendegivet som en aktiv handling.

Med implementeringen af GDPR har personer nu "retten til datatransport", "retten til dataadgang" og "retten til at blive glemt". De har også ret til at trække deres samtykke tilbage til enhver tid. Ønsker en bruger eller kunde at få slettet sine data, skal virksomheden være i stand til at efterkomme dette ønske, såfremt de pågældende data ikke længere er nødvendige til det formål, de blev indsamlet til.

I tilfælde af dataudslip skal databeskyttelsesmyndigheder og påvirkede personer underrettes inden for 72 timer.

Endvidere pålægger GDPR offentlige myndigheder og virksomheder, der behandler personfølsomme data i stort omfang, at ansætte eller uddanne en DPO (Data Protection Officer) og en databeskyttelsesmedarbejder. DPO'en skal træffe foranstaltninger, der sikrer at hele organisationen lever op til GDPRs lovkrav.

I forbindelse med Brexit planlægger Storbritanniens regering at implementere en lignende lovgivning, der i det store og hele vil følge GDPR.

Hvad betyder GDPR for min hjemmeside?


Hvis din hjemmeside betjener personer fra EU, og du og/eller en indlejret tredjepart, f.eks. Google Analytics eller en Facebook-knap, behandler nogen form for persondata, skal du indhente forudgående samtykke fra brugeren.

For at få et gyldigt samtykke skal du beskrive omfanget af- og formålet med din databehandling i et klart sprog til brugeren, inden behandlingen påbegyndes. Disse oplysninger skal til enhver tid være tilgængelige for brugeren, f.eks. som del af din privatlivspolitik. Du skal også gøre det let for brugeren at ændre i sit samtykke eller helt og holdent at trække det tilbage.

Dokumentation er en vigtig del af de nye krav. Alle samtykker skal logges som bevis for at samtykket er givet, og al sporing af persondata skal dokumenteres, herunder til hvilke lande dataene overføres.

Sådan hjælper Cookiebot

Med Cookiebot kan du uden besvær overholde GDPRs krav vedrørende sporing og samtykke. Du får kontrol og dokumentation over alle typer af sporing der finder sted på din hjemmeside. Dine brugere får et klart overblik over den sporing, der finder sted, og deres samtykker indhentes og logges automatisk.

Hvad er definitionen på persondata?


GDPR definerer persondata som "enhver oplysning der relaterer til en identificeret eller identificerbar fysisk person ("dataemne"); en identificerbar fysisk person er en, der kan identificeres direkte eller indirekte, særligt ved reference til en identifikation såsom et navn, et ID-nummer, lokalitetsdata, en online identifikation eller en eller flere faktorer, der er specifikke for den fysiske, fysiologiske, genetiske, mentale, økonomiske, kulturelle eller sociale identitet for den fysiske person."

Online identifikationer såsom IP-adresser anses nu for værende persondata, medmindre de er anonymiserede.

Pseudonymiserede persondata er også underlagt GDPR, hvis det ved "reverse engineering" er muligt at identificere, hvis data det er.

GDPR trådte i kraft: 25. maj 2018


EU Databeskyttelsesreformen blev vedtaget af EU-parlamentet og Det Europæiske Råd den 27. april 2016. Den Europæiske Databeskyttelsesforordning er gældende fra den 25. maj 2018, og erstatter Databeskyttelsesdirektivet.

GDPR Bøder og straffe


Organisationer, der ikke overholder bestemmelsen, risikerer store bøder på op til 20 millioner euro eller 4 % af organisationens globale årlige omsætning, hvad end der er størst.

GDPR-tjekliste: 6 ting jeg skal gøre


1. Forbered din organisation:

Introducer interessenter på tværs af din organisation for GDPRs krav. Gennemfør medarbejdertræning i cybersikkerhed, og principper for Privacy by Design og Privacy by Default. Udnævn en DPO (databeskyttelsesmedarbejder) hvis påkrævet, dvs. hvis du beskæftiger mere end 250 personer.

2. Revider dine data:

Sørg for, at du ved, hvor alle dine data er, hvem der har adgang til dem og på hvilke enheder. Definer hvor persondata behandles, inklusive tredjepartsbehandlere. Dokumenter grundlaget for lovlig behandling, og opdater aktuelle fortrolighedspolitikker.

3. Revider servicepartnere:

Sørg for, at servicepartnere, dvs. forankrede tredjepartsservicer på din hjemmeside eller software-som-en-service-udbydere, også overholder GDPR eller hører under en officielt sanktioneret datajurisdiktion. Gennemgå og kortlæg deres internationale data-flow.

4. Indhent samtykke:

Implementer metoder til at søge, indhente og registrere samtykke for at sikre overholdelse. Lav en tydelig registrering af, hvad hver individuel bruger accepterer, og giv brugeren mulighed for at tilbagekalde eller ændre et samtykke.

5. Reager på datarettigheder:

Implementer procedurer, der gør det muligt for din organisation at reagere på brugerens rettigheder, dvs. dataadgang, korrektion og sletning. Dokumentér, hvordan disse vil blive gennemført både i kunde- og medarbejdersammenhænge.

6. Forbered dig på katastrofer:

Sørg for, at der er procedurer på plads, der kan registrere, undersøge og rapportere om persondata-udslip for at leve op til GDPRs 72-timers deadline for underretning.

GDPR-overholdelse og krav


GDPR-kurser, træning og certificering:

Du kan opnå EU GDPR Foundation (EU GDPR F) og EU GDPR Practitioner (EU GDPR P) -kvalifikationer (begge ISO 17024-godkendt) på forskellige kurser f.eks. IT Governance. International Association of Privacy Professionals, IAPP yder også online training.

GDPR-compliance software:

Der er talrige værktøjskits og softwareløsninger, der kan hjælpe dig i processen frem mod at overholde GDPR, f.eks. DPOrganizer, som hjælper med at holde styr på din håndtering af persondata. 

Cookiebot kan hjælpe dig med at automatisere håndteringen af brugersamtykker på din hjemmeside og dokumentere cookies og andre sporinger, der benyttes.

Ressourcer


Databeskyttelsesforordningen, PDF
EU-Kommissionen: Beskyttelse af persondata
GDPR 'tilstrækkelige' lande
UK Information Commissionerís Office (ICO):Storbritanniens ICO (Information Commissionerís Office): Storbritanniens databeskyttelsesreform
Privacy by Design og De 7 fundamentale principper (PDF)

Gør din brug af cookies og online tracking GDPR/ePR compliant

Prøv gratis nu