Kapitel 01 Ikrafttrædelse: 25. maj 2018

GDPR

Generel Forordning om Databeskyttelse

Oversigt

Den Generelle Forordning om Databeskyttelse (GDPR) er hjørnestenen i EU's databeskyttelseslovgivning. Den erstattede Databeskyttelsesdirektivet 95/46/EF og styrkede betydeligt enkeltpersoners rettigheder over deres personoplysninger, samtidig med at den pålagde omfattende forpligtelser for dataansvarlige og databehandlere.[1]

GDPR gælder for enhver organisation, der behandler personoplysninger om enkeltpersoner i EU, uanset hvor organisationen er etableret. Denne ekstraterritoriale anvendelse har gjort GDPR til en de facto global standard for databeskyttelse.[2]

Hvem Skal Overholde

  • Dataansvarlige: Organisationer, der fastlægger formål og midler til behandling af personoplysninger
  • Databehandlere: Organisationer, der behandler personoplysninger på vegne af de dataansvarlige
  • Ikke-EU enheder: Enhver organisation, der tilbyder varer/tjenester til EU-borgere eller overvåger deres adfærd
  • Alle sektorer: Gælder på tværs af brancher med begrænsede undtagelser for retshåndhævelse og national sikkerhed

Vigtige Krav for Udviklere

Lovligt Grundlag for Behandling

Enhver behandlingsaktivitet skal have et gyldigt lovligt grundlag i henhold til artikel 6:[3]

  1. Samtykke: Frivilligt givet, specifikt, informeret og utvetydigt
  2. Kontrakt: Nødvendigt for opfyldelse af kontrakt med den registrerede
  3. Retlig forpligtelse: Påkrævet af EU- eller medlemsstatslovgivning
  4. Væsentlige interesser: Beskyttelse af den registreredes eller en anden persons liv
  5. Offentlig interesse: Nødvendigt for udførelse af en opgave i samfundets interesse eller udøvelse af offentlig myndighed
  6. Legitime interesser: Afvejet mod den registreredes rettigheder (ikke tilgængeligt for offentlige myndigheder)

Tekniske Krav

  • Dataminimering: Indsaml kun det, der er nødvendigt til det specificerede formål
  • Opbevaringsbegrænsning: Opbevar personoplysninger kun så længe det er nødvendigt
  • Integritet og fortrolighed: Implementer passende sikkerhedsforanstaltninger
  • Privatliv som standard og indbygget i design: Indbyg databeskyttelse i systemer fra starten (artikel 25)[4]

Registreredes Rettigheder

Applikationer skal understøtte følgende rettigheder:

RetBeskrivelseSvarfrist
Adgang (Art. 15)Give kopi af personoplysninger og behandlingsinformation1 måned
Berigtigelse (Art. 16)Korriger unøjagtige personoplysningerUden unødig forsinkelse
Sletning (Art. 17)Slet data, når de ikke længere er nødvendigeUden unødig forsinkelse
Begrænsning (Art. 18)Begræns behandling under specifikke omstændighederUden unødig forsinkelse
Portabilitet (Art. 20)Lever data i maskinlæsbart format1 måned
Indsigelse (Art. 21)Gør indsigelse mod behandling baseret på legitime interesserUden unødig forsinkelse

Underretning om Brud

  • Til tilsynsmyndighed: Inden for 72 timer efter opdagelse (artikel 33)[5]
  • Til registrerede: Uden unødig forsinkelse ved høj risiko for rettigheder og friheder (artikel 34)
  • Dokumentation: Føre optegnelser over alle brud uanset underretningspligt

Straf

GDPR fastlægger en trindelt strafstruktur:

  • Lavere niveau: Op til 10 millioner € eller 2 % af den årlige globale omsætning, alt efter hvad der er højest
  • Øvre niveau: Op til 20 millioner € eller 4 % af den årlige globale omsætning, alt efter hvad der er højest[6]

Store bøder udstedt inkluderer:

  • Amazon (Luxembourg, 2021): 746 millioner €
  • Meta/Facebook (Irland, 2023): 1,2 milliarder €
  • Google (Frankrig, 2022): 90 millioner €

Implementeringscheckliste

  • Identificer alle aktiviteter med behandling af personoplysninger
  • Fastlæg lovligt grundlag for hver behandlingsaktivitet
  • Implementer samtykkestyring hvor relevant
  • Opret privatlivspolitikker, der opfylder gennemsigtighedskrav
  • Byg mekanismer til håndtering af registreredes anmodninger
  • Implementer passende sikkerhedsforanstaltninger
  • Etabler procedurer for opdagelse og underretning om brud
  • Gennemfør konsekvensanalyser for databeskyttelse ved højrisikobehandling
  • Udpeg databeskyttelsesrådgiver hvis påkrævet
  • Før optegnelser over behandlingsaktiviteter (RoPA)

Kilder & Referencer

[1]
Forordning (EU) 2016/679 fra Europa-Parlamentet og Rådet. EUR-Lex: GDPR Officiel Tekst
[2]
GDPR's territoriale anvendelsesområde, artikel 3. GDPR.eu: Territorielt Anvendelsesområde
[3]
Lovlighed af behandling, artikel 6. GDPR-Info: Artikel 6
[4]
Databeskyttelse som standard og indbygget i design, artikel 25. GDPR-Info: Artikel 25
[5]
Underretning om brud på persondatasikkerheden, artikel 33. GDPR-Info: Artikel 33
[6]
Administrative bøder, artikel 83. GDPR-Info: Artikel 83