Det grundlæggende om GDPR

Læs bl.a. om formålet med GDPR og få styr på de grundlæggende begreber.

Hvad er GDPR?

Når du som virksomhed i Danmark bruger personoplysninger, skal du overholde GDPR.

GDPR står for "General Data Protection Regulation" og er på dansk også kendt som databeskyttelsesforordningen. GDPR er EU-reglerne for databeskyttelse og gælder bl.a., når private virksomheder behandler oplysninger om personer (personoplysninger).

Alle danskere har som EU-borgere en række rettigheder i GDPR. Det betyder konkret, at når du som en privat virksomhed "behandler personoplysninger" om andre – dvs. indsamler, registrerer, videregiver eller sletter personoplysninger om f.eks. dine kunder eller ansatte – skal du overholde GDPR. 

 

Hvorfor GDPR?

Reglerne har skabt et øget fokus på den enkelte borgers ret til at have kontrol over sine egne data – det gælder også dine oplysninger, når du som privatperson bliver registreret af en virksomhed eller myndighed. Med GDPR har vi som EU-borgere de samme databeskyttelsesrettigheder inden for EU – uanset hvilket EU-land, vores data bruges i. 

For virksomheder skal GDPR skabe nogle klarere regler for brug af personoplysninger som forretningsdrivende. Som en fælles EU-lov gør GDPR de forskellige EU-landes håndtering af databeskyttelsesreglerne ensartet og fjerner unødvendig administration på tværs af landene. 

Find Databeskyttelsesforordningen (GDPR) på dansk her

Læs mere om hvordan reglerne for beskyttelse af personoplysninger har udviklet sig gennem tiden her

GDPR er fleksible regler

Du kender bedst din egen virksomhed, og det er derfor også dig, der er den bedste til at vurdere, hvilke personoplysninger, du har behov for at behandle for at kunne drive din forretning. Derfor er det også dig, der skal vurdere, til hvilke formål du behandler personoplysninger, og hvor længe det er nødvendigt at gemme oplysningerne. 

Formålet med at udforme databeskyttelsesreglerne som fleksible regler, hvor du selv skal vurdere og sikre, at du lever op til reglerne er ikke at skabe usikkerhed eller bekymring for dig som virksomhed, men derimod at sikre, at reglerne har den nødvendige fleksibilitet til at favne de mange forskellige brancher og virksomheder. 

Heldigvis har du altid mulighed for at få vejledning af Datatilsynet, og typisk vil din brancheorganisation også kunne være behjælpelig med at besvare konkrete spørgsmål til netop din virksomheds håndtering af GDPR. 

 

Myter om GDPR

Nej. Det afhænger altid af en konkret vurdering. Og hvad betyder det så? Man skal vurdere, hvor længe oplysningerne er relevante i forhold til det eller de formål, de er indsamlet til. Det er ikke en god idé at have personoplysninger liggende i en lang årrække ’bare for en sikkerhedsskyld.’ Fastsæt altid en slettefrist som giver mening – også for den registrerede.

Du kan læse mere om slettefrister her

Jo, reglerne gælder. Når der er tale om en B2B-situation, handler det stadig om personer, som interagerer og deler information om og med hinanden. Der skelnes ikke mellem personoplysninger relateret til personens private, offentlige eller arbejdsmæssige rolle. Derfor er GDPR naturligvis også gældende i dette tilfælde.

Læs mere om hvornår gælder databeskyttelsesforordningen her

Nej, men det kan være en god idé. Persondatalovgivningen stiller en række krav om oplysningspligt, interne retningslinjer og ansvar for virksomhedens egen behandling af personoplysninger. 

Derudover er en persondatapolitik også et godt værktøj til at oplyse omverdenen og virksomhedens egne medarbejdere om, hvordan behandlingen af personoplysninger er tilrettelagt.

Læs mere om hvordan du laver en persondatapolitik i trin 4: Oplys om at du behandler personoplysninger

Nej. Hvis du, som hjemmesideejer, har et cookie banner på din hjemmeside, hvor du blot beder brugerne om at trykke ”Godkend” eller ”OK” til brugen af cookies, så overholder du ikke længere de gældende regler på området. For at give brugerne kontrol over deres egne data og mere viden om virksomheders brug og indsamling af dem, er du forpligtiget til at specificere, hvad formålet er med cookies og dataindsamlingen.

Du kan læse mere om brugen af cookies her

Ikke helt. Det er naturligvis altid godt, at virksomheder gør sig ovenstående overvejelser – men når der er tale om en risikovurdering, menes der en databeskyttelsesretlig risikovurdering, som skal udarbejdes efter forordningens artikel 32. Omdrejningspunktet for risikovurderingen er de registrerede. Det betyder, at man f.eks. skal fokusere på risikoen ved at de registreredes oplysninger kommer til uvedkommendes kendskab. I den forbindelse skal man gennemføre et sikkerhedsniveau, der er passende i forhold til den konkrete risikovurdering.

Du kan læse mere om en risikovurderinger her

Der vil altid være tale om et sikkerhedsbrud. Men den dataansvarlige skal i den givne situation vurdere, om bruddet indebærer en risiko for den pågældende persons rettigheder. Hvis vurderingen lyder, at der ikke er nogen risiko, behøver man ikke at anmelde bruddet til Datatilsynet. Det kunne f.eks. være, hvis e-mailen er sendt til Advokat A i stedet for Advokat B, da de har en særlig tavshedspligt.

Selvom et sikkerhedsbrud ikke skal anmeldes til Datatilsynet, skal det altid påføres en liste over alle brud hos den dataansvarlige.

Du kan læse mere om brud på persondatasikkerheden i GDPR-guidens FAQ her

Nej. Der er ikke problemer i at modtage ansøgninger på mail, så længe de ikke indeholder følsomme eller fortrolige oplysninger (hvilket de sjældent gør) - og så skal man selvfølgelig håndtere ansøgningerne forsvarligt, når først man har modtaget dem.

Du kan læse mere om at sende personoplysninger via e-mail her

Bag om Datatilsynet

Datatilsynets rolle

Det er Datatilsynets opgave at føre tilsyn med GDPR, og at reglerne for databeskyttelse bliver overholdt i Danmark. Vi vejleder også i, hvordan du lever op til databeskyttelsesreglerne.

Som myndighed er vi uafhængige og administrativt placeret under Justitsministeriet. Du kan skrive og ringe direkte til Datatilsynet og få konkret vejledning i at efterleve GDPR. 

Læs mere om, hvordan Datatilsynet arbejder her

Fra kritik til politianmeldelse og bøde

Datatilsynet kan gøre en række ting, når vi opdager, at reglerne ikke er blevet overholdt. Vi kan bl.a. udtale kritik og/eller meddele dig som dataansvarlig et påbud eller forbud. Vi kan også indstille til en bøde, hvis overtrædelsen af GDPR er meget alvorlig. 

Vi vurderer altid forholdene i den konkrete sag, når vi afgør, hvilken sanktion eller reaktion den sagen skal ende med. Når vi vurderer en sag, lægger vi bl.a. vægt på, hvilken overtrædelse der er tale om, og hvor omfangsrig den er. Vi lægger også vægt på, om overtrædelsen kan anses som et udtryk for en manglende vilje til at overholde databeskyttelsesreglerne, en lemfældig omgang med personoplysninger – eller om der er tale om gentagelsestilfælde.

Det er langt fra alle sager, som Datatilsynet behandler, der resulterer i en politianmeldelse med en bøde. Langt de fleste sager ender enten med kritik og/eller påbud eller forbud - eller med at vi finder ud af, at reglerne er blevet overholdt.  

Du kan læse mere om GDPR-bøder her

 

  

Datadysten

Spil dig til viden om databeskyttelse

Kan du vinde den store guldpokal? Så kast dig ud i vores GDPR-spil "Datadysten" nu!

Feedback

Har du feedback til GDPR-universet for små virksomheder?

Send den til

GDPRunivers@datatilsynet.dk

Har du spørgsmål til GDPR i din virksomhed?

Skriv eller ring til os. 

dt@datatilsynet.dk

33 19 32 00