Hvad er GDPR?

glossary_se_gdpr_377570130

Den generelle databeskyttelsesforordning (GDPR) er en omfattende databeskyttelsesforordning, der trådte i kraft den 25. maj 2018. Det erstattede det tidligere databeskyttelsesdirektiv fra 1995 og har til formål at harmonisere databeskyttelseslovgivningen i hele Den Europæiske Union (EU), styrke beskyttelsen af enkeltpersoners rettigheder og give dem større kontrol over deres personoplysninger. GDPR gælder for alle organisationer, der behandler personoplysninger om enkeltpersoner i EU, uanset hvor organisationen er baseret.

 

Grundprincipper

GDPR er baseret på flere grundlæggende principper, der styrer, hvordan personoplysninger skal behandles:

  • Lovlighed, nøjagtighed og gennemsigtighed: Behandling af personoplysninger skal være lovlig, retfærdig og gennemsigtig for den registrerede.
  • Formålsbegrænsning: Personoplysninger må kun indsamles til specifikke, eksplicitte og legitime formål og må ikke behandles på en måde, der er uforenelig med disse formål.
  • Dataminimering: Kun de personoplysninger, der er relevante og nødvendige for formålet med behandlingen, må indsamles.
  • Nøjagtighed: Personoplysninger skal være nøjagtige og opdaterede. Forkerte oplysninger skal rettes eller slettes hurtigst muligt.
  • Opbevaringsminimering: Personoplysninger må ikke opbevares længere, end det er nødvendigt til de formål, hvortil de behandles.
  • Privatliv og fortrolighed: Personoplysninger skal behandles på en måde, der sikrer passende sikkerhed, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod utilsigtet tab, ødelæggelse eller beskadigelse.

 

De registreredes rettigheder

GDPR styrker enkeltpersoners rettigheder i forhold til deres personoplysninger. Nogle af de vigtigste rettigheder omfatter:

  • Ret til indsigt: Den registrerede har ret til at få bekræftelse på, om personoplysninger om ham eller hende behandles, og i givet fald til at få adgang til disse data samt oplysninger om behandlingen.
  • Ret til berigtigelse: Den registrerede har ret til at få unøjagtige personoplysninger om sig selv berigtiget uden unødig forsinkelse.
  • Ret til sletning ("retten til at blive glemt"): Under visse omstændigheder har den registrerede ret til at få sine personoplysninger slettet.
  • Ret til begrænsning af behandling: Den registrerede har ret til at anmode om, at behandlingen af hans eller hendes personoplysninger begrænses under visse betingelser.
  • Ret til dataportabilitet: Den registrerede har ret til at modtage de personoplysninger, som han eller hun har givet til en dataansvarlig i et struktureret, almindeligt anvendt og maskinlæsbart format, og har ret til at overføre disse data til en anden dataansvarlig.
  • Ret til indsigelse: Den registrerede har til enhver tid ret til at gøre indsigelse mod behandlingen af personoplysninger baseret på den dataansvarliges legitime interesser eller offentlige interesser, herunder profilering.

 

Ansvar og overholdelse

Organisationer, der behandler personoplysninger, er forpligtet til at overholde GDPR og kan holdes ansvarlige for overtrædelser. Nogle af de vigtigste krav omfatter:

  • Dataansvarlig og databehandler: Organisationer skal klart definere roller og ansvarsområder. Den dataansvarlige bestemmer formålene med og midlerne til behandling af personoplysninger, mens databehandleren behandler oplysningerne på vegne af den dataansvarlige.
  • Databeskyttelsesrådgiver (DPO): Nogle organisationer er forpligtet til at udpege en databeskyttelsesrådgiver (DPO) til at overvåge overholdelse af GDPR, yde rådgivning og fungere som kontaktpunkt for registrerede og tilsynsmyndigheder.
  • Konsekvensanalyser (DPIA): Når behandling sandsynligvis vil resultere i en høj risiko for enkeltpersoners rettigheder og friheder, skal organisationen foretage en konsekvensanalyse vedrørende databeskyttelse.
  • Anmeldelse af brud på persondatasikkerheden: Organisationer skal indberette brud på persondatasikkerheden til tilsynsmyndigheden inden for 72 timer efter at være blevet opmærksomme på dem, hvis bruddet sandsynligvis vil medføre en risiko for enkeltpersoners rettigheder og frihedsrettigheder.
  • Privacy by design og privacy by default: Organisationer skal integrere databeskyttelsesforanstaltninger i deres processer og systemer fra starten og sikre, at kun de personoplysninger, der er nødvendige for hvert specifikt formål, behandles.

 

Sanktioner

Overtrædelser af GDPR kan resultere i betydelige sanktioner. Tilsynsmyndighederne kan udstede advarsler, påbud og administrative bøder. Bøden kan beløbe sig til 20 mio. EUR eller 4 % af den globale årlige omsætning, alt efter hvad der er højest.

 

Resumé

GDPR er en omfattende og streng forordning, der har til formål at beskytte enkeltpersoners personoplysninger inden for EU. Det stiller høje krav til organisationer om at behandle personoplysninger på en lovlig, retfærdig og gennemsigtig måde og giver enkeltpersoner stærke rettigheder over deres data. Overholdelse af GDPR er afgørende for at undgå betydelige sanktioner og for at opbygge tillid hos kunder og medarbejdere.

Relaterede sider:

Hvad er data leakage?

Hvad er en database?

Hvad er Cloud-tjenester?

HR-afdelingens ændrede rolle E-bok

HR-termer og forkortelser - Dette er vores HR-ordbog

Uanset om du arbejder med HR og ønsker en genopfriskning, eller du bare er nysgerrig efter HR-terminologi, er dette ordbogen for dig.
Tilbage til HR-ordbogen

Copyright © CatalystOne Solutions Danmark AS / Frederiksborggade 15, 1360 KBH K.