Indholdsfortegnelse
Hvad er GDPR?
I har sikkert alle sammen hørt om GDPR nu. Indtil den 25. maj 2018 var retningslinjerne for personlige oplysninger i forbindelse med privatlivets fred en smule vage. Databeskyttelsesdirektivet (1995) indeholdt nogle grundlæggende retningslinjer, men det var simpelthen ikke godt nok.
Vi har altid haft en stor interesse i GDPR, da mange af de VPN-tjenester vi har gennemgået har været nødt til at foretage alvorlige ændringer i den måde de opererer på, herunder nogle af de store spillere som Avast og NordVPN.
Overvågning og deling af oplysninger er nu omfattet af den generelle forordning om databeskyttelse (GDPR). Formålet er at sikre, at oplysninger håndteres ansvarligt af alle virksomheder, der beskæftiger sig med personlige oplysninger og privatlivets fred.
Ifølge ICO er der 7 nøgleprincipper, som GDPR opstiller. Det drejer sig om:
- Lovlighed, retfærdighed og gennemsigtighed
- Begrænsning af formålet
- Minimering af data
- Nøjagtighed
- Begrænsning af opbevaring
- Integritet og fortrolighed (sikkerhed)
- Ansvarlighed
De skitserede principper er ikke regler som sådan, men snarere en oversigt over de grundlæggende principper, der bør følges, når der skabes god databeskyttelsespraksis. Hvis enkeltpersoner eller virksomheder ikke overholder principperne, kan de få en bøde på op til 20 millioner euro eller 4 % af deres samlede årlige omsætning på verdensplan (alt efter hvad der er højest).
Hvad var der før GDPR?
GDPR anvendes i hele Europa, og hvert land har sin egen kontrol med visse aspekter af forordningen. Storbritannien har gennemført databeskyttelsesloven (2018), som erstatter databeskyttelsesloven fra 1998.
Den nye lov blev vedtaget af Underhuset og Overhuset kort før GDPR trådte i kraft.
Virkninger for virksomhederne
Uanset om du er en enkeltperson, en organisation eller en virksomhed, kan du blive betegnet som “dataansvarlig” eller “databehandler” af personoplysninger. Information Commissioners Officer (ICO) beskriver nøjagtigt, hvad forskellen er mellem dataansvarlige og databehandlere.
Virksomheder, der overvåger eller indhenter personlige oplysninger i stor skala, bør ansætte en databeskyttelsesansvarlig (DPO). Den ansvarlige skal sikre, at den pågældende virksomhed overholder GDPR. Eventuelle spørgsmål eller forespørgsler vedrørende databeskyttelse skal rettes til dem.
GDPR gælder for virksomheder, der behandler personoplysninger om EU-borgere. Dette gælder også for virksomheder, der beskæftiger under 250 ansatte. Som tidligere nævnt skal enhver overtrædelse, der kan påvirke de registreredes rettigheder, indberettes til Information Commissioner’s Office (ICO).
Hvis det er muligt, skal et brud registreres og rapporteres inden for 24 timer eller højst 72 timer. ICO skal have nærmere oplysninger om bruddet og om, hvordan det vil blive inddæmmet og løst, og det skal beskrives.
GDPR vil give borgerne kontrol over, hvordan virksomhederne bruger deres data. Dette gælder også for virksomheder, der allerede har dine data. F.eks. vil enkeltpersoner have “ret til at blive glemt”. Så hvis du er kunde og ikke længere ønsker, at en virksomhed skal opbevare dine personlige oplysninger, har du ret til at trække dine oplysninger tilbage.
Nyttig tjekliste for små virksomheder
GDPR er utvivlsomt forvirrende og forståeligt nok ret stressende! Jeg tænkte, at det ville være relevant at lave en tjekliste for små virksomheder i Storbritannien, så du ved, hvad du kan forvente, og hvad der forventes af dig.
Din lille virksomheds GDPR-tjekliste bør omfatte tidligere og nuværende medarbejdere, leverandører og kunder. Den bør også omfatte alle de data, som du behandler, indsamler, opbevarer eller registrerer og bruger på enhver måde.
1| Forstå dine data
Du skal forstå og demonstrere din forståelse af de typer af personoplysninger, som du og/eller din virksomhed har. F.eks. navne, adresser, IP-adresser, bankoplysninger osv. Dette omfatter også følsomme data som religiøse holdninger og helbredsoplysninger. Du skal vise, at du forstår, hvor de kommer fra, og hvordan du vil bruge disse data.
2| Tænk på samtykke
Har din virksomhed brug for samtykke til at behandle personoplysninger? Nogle markedsføringsteknikker kræver samtykke, hvilket gør tingene meget vanskeligere under GDPR. Samtykke skal være ekstremt klart og specifikt, så medmindre du ved 100 %, hvad du gør, kan det være værd at undgå at bruge samtykke, medmindre det er afgørende for din forretningsmodel.
3| Overvej sikkerhedsforanstaltninger
Dine eksisterende sikkerhedsforanstaltninger og politikker skal opdateres for at være GDPR-kompatible. Og hvis du ikke allerede har nogen på plads, bør du få dem ret hurtigt! Selv om der er mere specifikke krav til sikkerheden, kan du som en generel sikkerhedsforanstaltning bruge kryptering.
4| Rettigheder til adgang for de berørte personer
Enkeltpersoner har ret til at få adgang til deres personlige oplysninger. Du skal sikre, at din virksomhed er klar til at give disse oplysninger inden for en kort tidsfrist, hvis det er nødvendigt. Enkeltpersoner kan ønske at få udleveret deres personoplysninger for at rette op på eventuelle problemer, blot for at få dem, eller de kan ønske at slette dem helt og holdent. Alle anmodninger har en frist på en måned.
5| Uddannelse af medarbejdere
Medarbejderne i din virksomhed bør uddannes i persondata. De skal forstå, hvad der udgør personlige data, samt processer til at identificere eventuelle brud på datasikkerheden. Medarbejderne skal vide, hvem din databeskyttelsesansvarlige (DPO) er, og hvem der er teamet eller de personer, der er relateret til eller ansvarlige for overholdelse af databeskyttelsen.
6| Forsyningskæde
Alle leverandører og entreprenører i din virksomhed skal overholde GDPR. Dette er for at sikre, at de ikke vil forårsage nogen overtrædelser og overvælte eventuelle sanktioner eller bøder på dig. Du skal også sørge for, at dine kontrakter med dine leverandører er opdateret, så sørg for at få en kopi af dem.
7| Fair behandling
Som en del af GDPR skal du nu være i stand til at forklare enkeltpersoner, hvad du bruger deres personlige data til. Det burde ikke være en vanskelig opgave eller noget, du skal bekymre dig om, hvis du bruger deres data på en fair og korrekt måde.
8| Databeskyttelsesrådgiver
Det er på tide at beslutte, om du har brug for at ansætte en DPO eller ej. Små virksomheder vil sandsynligvis være fritaget, men større virksomheder måske ikke. Det er værd at tjekke det for at sikre, at du ikke overtræder GDPR-reglerne.
Definition af samtykke
Som privatperson er du måske bekendt med afkrydsede felter, når du tilmelder dig onlinekonti, køber produkter, tilmelder dig nyhedsbreve osv. Disse felter var ofte afkrydset på forhånd og var skjult, hvilket gav virksomhederne adgang til dine personlige oplysninger. Nu er det slut med at blive bombarderet med uønskede markedsføringsmails og tilfældige telefonopkald.
Samtykke er blevet omdefineret under de nye GDPR-regler. Det er slut med småt med småt og skjulte beskeder, hvor folk “ved et uheld” eller ufrivilligt tilmelder sig e-mails, sms’er osv. Politikkerne skal nu gøres helt klare og præsenteres på en sådan måde.
Reglerne om allerede eksisterende personoplysninger er lidt anderledes. Du behøver måske ikke at have samtykke til dette, men der skal være et retsgrundlag, der er i overensstemmelse med databeskyttelsesloven. Det vigtigste her er at huske, at disse lovgivninger gælder både for virksomheder og forbrugere!
Ret til adgang
Retten til indsigt (eller aktindsigt) giver en person ret til at få adgang til sine egne personoplysninger. Retten til indsigt giver enkeltpersoner mulighed for at forstå, hvordan deres data anvendes, og hvorfor deres data anvendes på denne måde. Dette sikrer, at deres data anvendes på en lovlig måde.
Enkeltpersoner har ret til at få visse oplysninger fra virksomheder, herunder:
- en kopi af en persons personoplysninger
- bekræftelse af, at en persons personoplysninger behandles
- supplerende oplysninger (svarer hovedsagelig til oplysninger i en meddelelse om beskyttelse af personlige oplysninger)
Den enkelte har som bekendt ret til sine egne personlige oplysninger. De har dog ikke ret til oplysninger om andre personer. På den anden side er det acceptabelt, hvis de oplysninger, som de forsøger at få fat i, vedrører dem selv og andre personer.
Som enkeltperson anbefales det, at du undersøger, om de oplysninger, du anmoder om, er defineret som personoplysninger eller ej. Du kan tjekke, hvad der er klassificeret som personoplysninger (for at være sikker) her.
Er jeg dataansvarlig eller databehandler?
GDPR gælder for dataansvarlige og databehandlere, men hvad betyder det egentlig? Databehandlere henviser til operationer, der udføres på data, dvs. når data lagres, indsamles, registreres, deles osv. Dataansvarlige er også databehandlere, men forskellen er, at de bestemmer, hvad formålet eller årsagen til behandlingen af dataaktiviteterne egentlig er.
Databehandlere
Som databehandler er der juridiske forpligtelser, som GDPR kræver, at du skal opfylde:
- at føre og vedligeholde ajourførte persondataregistre. Dette omfatter en beskrivelse af de nærmere detaljer om behandlingsaktiviteter og kategorier af registrerede personer. Kategorier henviser til kunder, medarbejdere, leverandører og typer af behandling – overførsel, modtagelse, videregivelse osv.
- Opbevare og vedligeholde oplysninger om overførsel til lande uden for Det Europæiske Økonomiske Samarbejdsområde (EØS)
- gennemføre og vedligeholde passende sikkerhedsforanstaltninger, f.eks. kryptering
Hvis en databehandler er ansvarlig for et databrud, har vedkommende et langt større juridisk ansvar end databeskyttelsesforordningen. Enkeltpersoner kan fremsætte et direkte krav mod databehandleren, så det er vigtigt, at du forstår dit ansvar som databehandler.
Dataansvarlige
Som dataansvarlig er du i sagens natur også en databehandler. De samme GDPR-krav gælder derfor. GDPR-forpligtelserne pålægger dog dig og din virksomhed at sikre, at kontrakterne med databehandlere er i overensstemmelse og standarderne overholdes.