Den generelle databeskyttelsesforordning (GDPR) er en omfattende Europæisk Unions forordning designet til at beskytte persondata for EU-borgere og give dem kontrol over deres data. Det kræver, at organisationer har lovlige grunde, opretholder gennemsigtige optegnelser og opnår eksplicit samtykke til databehandling. GDPR har strenge retningslinjer, herunder kriterier for gyldigt samtykke, rettigheder for registrerede og protokoller for håndtering af datasikkerhedsbrud. Manglende overholdelse kan føre til alvorlige sanktioner.
Få et gratis cookie-banner nu
Det er ligegyldigt, om du er i USA, Europa eller et andet sted.
Væsentlige punkter:
- Formål og Omfang
GDPR har til formål at give enkeltpersoner kontrol over deres personlige data og beskytte deres grundlæggende rettigheder og friheder, hvilket kræver overholdelse fra enhver organisation, der tilgår EU-borgeres data. - Lovgrundlag og Samtykke
Organisationer skal have gyldige lovlige grunde til databehandling, dokumentere disse processer og indhente klar, positiv handling til samtykke fra brugere, med procedurer til nemt at trække det tilbage. - Datakontrollører og Processorer
Både datakontrollører og processorer skal spore og dokumentere databehandlingsaktiviteter, herunder hvilke datatyper der behandles, formålene samt tredjeparts eller internationale dataoverførsler. - Individuelle Rettigheder
Under GDPR har enkeltpersoner rettigheder som dataadgang, portabilitet og retten til at blive glemt. Organisationer skal facilitere disse rettigheder og sikre nem tilbagetrækning af samtykke samt datasletning, hvis de ikke længere er nødvendige. - Overholdelse og Sanktioner
Manglende overholdelse kan resultere i store bøder op til 20 millioner euro eller 4 % af den globale omsætning. Organisationer skal forberede sig ved at træne medarbejdere, revidere data og servicepartnere, vedligeholde samtykkeoptegnelser, svare på rettighedsanmodninger og forberede sig på datasikkerhedsbrud.
Hvad er GDPR?
Den generelle databeskyttelsesforordning (GDPR) er en forordning, der spænder over hele Den Europæiske Union og regulerer, hvordan virksomheder og andre organisationer håndterer persondata. Det har haft en betydelig indvirkning på global lovgivning om databeskyttelse og kræver, at enhver organisation, der tilgår persondata fra enkeltpersoner inden for EU, skal overholde reglerne. Læs en dybdegående artikel om, hvad GDPR er
Hvorfor blev GDPR Oprettet?
GDPR blev designet til at styrke enkeltpersoner med kontrol over, hvordan deres persondata anvendes, og for at sikre beskyttelsen af deres grundlæggende rettigheder og friheder.
Reguleringen stiller strenge krav til datahåndteringsprocesser, gennemsigtighed, registrering og indhentning af brugersamtykke for enhver organisation, der behandler persondata inden for EU.
Væsentlige forpligtelser for organisationer
Organisationer skal have et legitimt juridisk grundlag for behandling af persondata, opretholde nøjagtige registre og løbende overvåge disse aktiviteter. Dette ansvar gælder både for intern datahåndtering og tredjepartsdatabehandlere – enheder som Software-as-a-Service (SaaS) leverandører eller indlejrede sporingsservices på websider.
Både dataansvarlige og -behandlere skal dokumentere typen af data, der behandles, formålet med behandlingen, og de enheder eller lande, som dataene transmitteres til.
Hvis persondata overføres uden for GDPR’s jurisdiktion eller til lande, der ikke anses for ’tilstrækkelige’ med hensyn til databeskyttelse, skal brugerne informeres om dette og eventuelle tilknyttede risici.
Samtykkekrav
Alle samtykker skal registreres korrekt og opbevares sikkert som bevis på, at de blev givet. Den 4. maj 2020 udsendte Det Europæiske Databeskyttelsesråd (EDPB) retningslinjer for, hvad der udgør gyldigt samtykke under GDPR. Samtykke skal gives frit, specifikt, informeret og gennem en klar, bekræftende handling fra brugeren.
Vigtigt, blot at fortsætte med at browse en hjemmeside tæller ikke som gyldigt samtykke, og cookie-bannere må ikke have forudrettede felter. Tvangssamtykke gennem cookie-vægge er også ikke-kompatibelt.
EDPB, som inkluderer repræsentanter fra databeskyttelsesmyndighederne i hver EU-medlemsstat, sikrer konsistent anvendelse og håndhævelse af GDPR i hele Europa.
Individernes rettigheder under GDPR
Individer har flere rettigheder under GDPR, herunder retten til dataportabilitet, adgang til deres data og “retten til at blive glemt” blandt andre. Individer kan tilbagetrække deres samtykke når som helst, og det skal være lige så let at trække det tilbage, som det var at give samtykke.
Når tilbagetrækning sker, skal datakontrollører stoppe behandlingen af individets data og slette det, hvis det ikke længere er nødvendigt til det oprindelige formål.
Organisationer skal også underrette databeskyttelsesmyndighederne og berørte individer inden for 72 timer i tilfælde af et databrud.
Data Protection Officer (DPO) Krav
Public authorities, organizations with more than 250 employees, and companies that process sensitive personal data on a large scale must appoint or train a Data Protection Officer (DPO). The DPO is responsible for ensuring and maintaining GDPR compliance across the organization.
Skridt til at opnå GDPR-overholdelse
Hvis din hjemmeside har besøgende eller kunder fra EU, og du eller dine tjenesteudbydere (som Google og Facebook) behandler nogen personoplysninger, skal du indhente forhåndssamtykke fra den besøgende. Dette kræver:
- Forklare omfanget og formålet med databehandling i klart sprog, før nogen behandling finder sted.
- Gøre denne information konstant tilgængelig, for eksempel i din privatlivspolitik.
- Give nemme muligheder for besøgende til at ændre eller trække deres samtykke tilbage når som helst.
- Logge og sikkert lagre alle samtykker samt dokumentere sporing af personlige data, herunder deres overførsel til andre lande.
Hvordan Conzent CMP kan hjælpe
Conzent’s Consent Management Platform (CMP) automatiserer GDPR-overholdelse relateret til cookie- og tracker-samtykkekrav. Det giver dig mulighed for at:
- Overvåg og dokumenter cookies og andre sporingsteknologier, der bruges på din hjemmeside.
- Vis relevante oplysninger til dine besøgende på hjemmesiden.
- Automatisk indhentning og sikker registrering af alle brugersamtykker.
Hvad betragtes som personoplysninger?
Under GDPR er personoplysninger enhver information, der kan identificere en person, enten direkte eller indirekte, såsom navne, identifikationsnumre, lokaliseringsdata, online-id’er, eller forskellige faktorer, der er specifikke for deres identitet. Online-id’er som IP-adresser betragtes som personoplysninger, medmindre de er anonymiseret. Selv pseudonymiserede data falder ind under GDPR, hvis de kan re-identificeres.
GDPR Ikrafttrædelsesdato
GDPR trådte i kraft den 25. maj 2018 efter at være blevet vedtaget af Europaparlamentet og EU-rådet den 27. april 2016 og erstatter databeskyttelsesdirektivet.
GDPR Bøder og Sanktioner
Manglende overholdelse af GDPR kan medføre alvorlige bøder på op til €20 millioner eller 4% af organisationens globale årlige omsætning, alt efter hvad der er højest, især ved alvorlige overtrædelser.
GDPR Overholdelsescheckliste: Væsentlige Skridt
- Prepare Your Organization: Educate stakeholders about GDPR requirements and provide employee training on Cybersecurity, Privacy by Design, and Privacy by Default. Assign a DPO if necessary.
- Audit Your Data: Identify where
alle dine data befinder sig, hvem der har adgang til dem, og på hvilke enheder. Sørg for, at du ved, hvor personoplysninger behandles, herunder af tredjepartsbehandlere. Dokumentér de juridiske grunde for databehandling og revider dine privatlivspolitikker efter behov.
- Revisér Servicepartnere: Sørg for, at dine servicepartnere, såsom indlejrede tredjepartstjenester på din hjemmeside eller SaaS-leverandører, overholder GDPR eller er i jurisdiktioner officielt anset for at være “tilstrækkelige” til databeskyttelse. Gennemgå og kortlæg deres internationale dataflows.
- Indhent Samtykke: Implementér processer for at anmode om, opnå og sikkert registrere brugernes samtykke for at sikre løbende overholdelse af privatlivsbestemmelserne. Hold en klar registrering af hver enkelt persons samtykker og giv dem muligheder for nemt at tilbagekalde eller ændre samtykke til enhver tid.
- Besvar Anmodninger om Registreredes Rettigheder: Etablér procedurer for prompt besvarelse af anmodninger om registreredes rettigheder, herunder anmodninger om adgang til, rettelse og sletning af data. Dokumentér, hvordan disse anmodninger vil blive håndteret i både kunde- og medarbejdersammenhæng.
- Forbered Dig på Datasikkerhedsbrud: Udvikl procedurer til at forebygge, opdage, undersøge og rapportere datasikkerhedsbrud. Sørg for, at dine processer opfylder GDPR’s krav om at underrette databeskyttelsesmyndighederne og berørte enkeltpersoner inden for 72 timer efter et brud.
Ved at følge disse retningslinjer kan din organisation effektivt navigere i kompleksiteten ved GDPR-overholdelse, sikre robust databeskyttelse og fremme tillid hos dine brugere.