Artikel

Oversigt: Sådan overholder du GDPR

January 25, 2024
5 min læsning
Indhold
Mød forfatteren
Christian Visti

M.Sc. in Business Adm. and Auditing from Copenhagen Business School. 15 years of experience within Banking, Financial Legislation, FinTech and the Payment Solutions sector.

Hvad er god GDPR-håndtering?

Har din virksomhed et godt greb om GDPR og hvordan du behandler personoplysninger?

Stort set alle virksomheder, der kommer i kontakt med personoplysninger, er underlagt lokale love og regler. I EU og EØS betyder det GDPR. Derfor er det vigtigt, at du kender kravene til, hvordan du behandler personoplysninger korrekt.

Nedenfor kan du læse om EU-direktivet og hvordan det gælder for personoplysninger — samt få et par tips om bedste praksis for behandling af personoplysninger:

  • Hvad er den generelle databeskyttelsesforordning (GDPR)?
  • Hvilke virksomheder er underlagt GDPR?
  • Hvad er en Data Manager og en Databehandler?
  • Hvad er en DPO (Data Protection Officer)?
  • Sådan overholder du GDPR
  • Opbevaring af personoplysninger — hvornår og hvor længe?
  • Privatpersoners rettigheder
  • Løbende revisioner og principperne om nøjagtighed

Hvad er den generelle databeskyttelsesforordning (GDPR)?

GDPR, eller General Data Protection Regulation, er en lovgivningsmæssig ramme og direktiv i EU-lovgivningen om databeskyttelse og privatlivets fred i Den Europæiske Union og Det Europæiske Økonomiske Samarbejdsområde.

Forordningen gælder for alle personoplysninger samt overførsel af personoplysninger uden for EU og EØS. Det blev implementeret i 2018.

Dets officielle navn er:

Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)

Som EU-forordning og direktiv er det strengt taget ikke en egentlig lov. I stedet er det en juridisk bindende aftale mellem alle EU- og EØS-lande, som de derefter skal fortolke og implementere i deres lokale lovgivning.

Det betyder, at selvom GDPR er bindende og har til formål at give specifikke anvisninger vedrørende personoplysninger, kan der være variationer og mindre forskelle fra land til land. Det fungerer ofte som en grundlæggende ramme, der derefter udvides af det enkelte land.

TilsynForskellige lande i EU og EØS har forskellige tilsyns- eller reguleringsorganer. Disse sikrer, at GDPR opretholdes og vejleder lokale myndigheder, virksomheder og organisationer i, hvordan de overholder GDPR.

Hvilke virksomheder er omfattet af GDPR?

GDPR gælder for stort set al behandling af personoplysninger, dvs. alle oplysninger, der kan forbindes med eller identificere en bestemt person.

Læs mere om Personlige data og de forskellige kategorier.

Da forordningen er geografisk specifik for EU og EØS, gælder den kun:

  • Når datahåndtering eller databehandler er i EU, uanset om den faktiske behandling foregår i eller uden for EU.
  • Når person, hvis personoplysninger behandles, befinder sig i EUuanset dataadministratorens eller databehandlerens placering.
  • Når behandlingen af personoplysninger vedrører et produkt eller en virksomhed i EU eller involverer overvågning af adfærd inden for EU.

For at være kortfattet: næsten alle virksomheder med et associeret selskab med EU, uanset om dette gælder for dem eller deres kunder/kunder, er underlagt GDPR.

Hvad er en Data Manager og Databehandler?

Og hvad er forskellen?

I henhold til GDPR er det vigtigt fundamentalt at adskille de to specifikke roller, som begge behandler personoplysninger.

Du kan enten være en datahåndtering eller en databehandler.

Der er forskellige krav til de to roller. Derfor er det vigtigt at vide, hvem der er hvem, og hvem der er hvem, inden du begynder at behandle personoplysninger.

Datahåndtering

Dataadministratoren definerer formålet og proceduren for, hvordan personlige oplysninger behandles. Som dataansvarlig er du forpligtet til at sikre, at:

  • Du har en lovlig ret til at behandle specifikke personoplysninger
  • Du er i stand til at give indsigt til de registrerede parter på deres anmodning
  • Du registrerer krænkelser af persondatasikkerheden til det relevante tilsyns-, tilsyns- eller reguleringsorgan.

Databehandler

Som databehandler behandler du udelukkende personoplysningerne på vegne af databehandleren. Du har ingen indflydelse på det formål eller den procedure, du opererer under.

En databehandler kan for eksempel være en softwareudbyder til de tjenester, der bruges til at gemme data på serverne, eller en anden type udbyder af en automatiseret behandling af personoplysninger, hvor du ikke direkte har adgang til dataene.

Da forholdet mellem databehandler og databehandler indebærer udveksling af personoplysninger, er det vigtigt, at der er en databehandleraftale på stedet, der klart definerer det nøjagtige forhold mellem de to. En skabelon til dette kan findes på GDPR.eu.

Hvad er en databeskyttelsesansvarlig (DPO)?

Der kan også være en tredje rolle: DPO eller databeskyttelsesansvarlig. Du har måske stødt på dette udtryk før, men hvad betyder det? Skal din virksomhed have en DPO?

DPO's rolle er at vejlede om kravene i GDPR og guide datahåndtereren i, hvordan de kan opfylde disse krav. Det er vigtigt at bemærke, at DPO er ikke ansvarlig for, hvorvidt virksomheden overholder GDPR eller lokal lovgivning.

Statslige agenturer er forpligtet til - uanset om de er databehandlere eller databehandlere - udpege en DPO. Private virksomheder er kun forpligtet, hvis alle af følgende tre betingelser gælder:

  • Behandling af personoplysninger er en kernearbejdsaktivitet
  • Personlige oplysninger behandles i store mængder
  • Forarbejdning består af Regelmæssig og systematisk overvågning eller indeholder følsomme personoplysninger (“ særlige kategorier af personoplysninger“)

Hvornår er behandling af personoplysninger en“ kernearbejdsaktivitet“?

De fleste organisationer udfører en eller anden form for behandling af personoplysninger, men GDPR skelner mellem ikke-kernearbejdsaktiviteter og kernearbejdsaktiviteter.

Ikke-kernearbejdsaktiviteter kan generelt siges at være aktiviteter, der understøtter kernearbejdsaktiviteter. For eksempel kommer de fleste virksomheder i kontakt med en vis mængde personoplysninger med hensyn til medarbejderdata og personoplysninger relateret til salg og forskellige typer support. Disse betragtes som ikke-kernearbejdsaktiviteter.

I henhold til GDPR er behandling af personoplysninger en kernearbejdsaktivitet, hvis det, en virksomhed ønsker at sælge, er uigendriveligt forbundet med personoplysninger. Dette kan for eksempel være:

  • Forsikringsselskaber hvis produkt er skræddersyet på grundlag af personoplysninger
  • Udbydere af markedsundersøgelser
  • Søgemaskiner
  • Virksomheder relateret til headhunting af nye medarbejdere

Dette er alle eksempler på forretningsaktiviteter, der er centreret omkring behandling af personoplysninger, og hvor output afhænger af de indhentede og behandlede oplysninger.

Sådan overholder du GDPR

GDPR kræver en risikobaseret tilgang svarende til for eksempel initiativer til bekæmpelse af hvidvaskning af penge.

En risikobaseret tilgang betyder, at uanset om virksomheden er en databehandler eller en dataansvarlig eller ej, er du forpligtet til at foretage en vurdering af de typer data, der opbevares eller behandles af virksomheden. Så skal du sørge for, at der er organisatorisk og tekniske sikkerhedsforanstaltninger eller sikkerhedsforanstaltninger på plads, der svarer til de vurderede risici.

Tekniske sikkerhedsforanstaltninger

Eksempler er stærke firewalls, løbende opdateringer af koder og systemer, kryptering og en stærk IT-infrastruktur.

Organisatoriske sikkerhedsforanstaltninger

Eksempler inkluderer beskrevne procedurer, virksomheder kan vedtage organisatoriske sikkerhedsforanstaltninger såsom klare politikker for personoplysninger, sikkerhedsadgang, kurser i korrekt databehandling og videreuddannelse af medarbejdere.

For at overholde GDPR skal virksomheder have:

  • Risikovurderinger
  • Politikker og procedurer
  • Revision og dokumentation

Hvordan foretager du en risikovurdering?

Risikovurderinger vil typisk evaluere eller vurdere:

  • Hvilke typer data gemmes af virksomheden (der er f.eks. forskelle i følsomheden mellem lagring af e-mail-adresser og kopier af pas)
  • Konsekvenser for datalækager (f.eks. phishing, hacking eller utilsigtet intern lækage af materiale vedrørende personlige data)
  • Den sikkerhedsforanstaltninger på plads for at minimere ovenstående risici

På baggrund af disse faktorer kan du vurdere, om risikoen er acceptabel, eller om du har brug for at implementere nye sikkerhedsforanstaltninger for at minimere risikoen for, at data bliver stjålet eller lækket.

Der er også krav til Dokumentation af dine overvejelser med hensyn til procedurerne.

Politikker

De fleste virksomheder har indført procedurer og politikker, der strømliner og systematiserer arbejdsaktiviteter. På samme måde er det en god idé at definere politikker og procedurer for behandling af personoplysninger.

Du opdeler typisk persondatapolitikker i, om de vedrører personoplysninger om medarbejdere eller kunder/kunder. En persondatapolitik for klienter kan f.eks. indeholde følgende:

  • En afklaring af, om du opfører dig som datahåndtering eller databehandler.
  • Hvor personoplysningerne opbevares — på interne eller eksterne servere eller lagerenheder? Hvis det opbevares uden for EU/EØS, hvad gjorde du så for at sikre et tilstrækkeligt sikkerhedsniveau?
  • Uanset om du har en DPO, og i bekræftende fald, hvad DPO's opgave er, og hvordan du har sikret DPO's position i organisationen.
  • Hvad er det angivne formål med lagring af data, specifikt din juridiske rettigheder og Formålets legitimitet.
  • Hvad er din politik for sletning eller sletning af personoplysninger, og hvor længe du opbevarer data efter ophør af et kunde/kundeforhold.
  • Eventuelt, hvilken teknisk og organisatoriske sikkerhedsforanstaltninger du har implementeret for at beskytte mod datalækager, og hvordan du planlægger at reagere i tilfælde af en lækage.

Forretningsprocedurer

Forretningsprocedurerne skal være i et internt tilgængeligt dokument, der er skrevet for at understøtte det arbejdsflow og procedurer, du har aftalt. En forretningsprocedure er ofte en forholdsvis detaljeret beskrivelse af, hvordan du håndterer personoplysninger med specifikke procedurer for, hvordan din virksomhed — i sine daglige aktiviteter — får unødvendige data til at blive slettet, og hvordan du deler data med andre, hvad enten det er med kolleger eller eksterne databehandlere.

Revision og dokumentation

Samtidig skal du være i stand til at dokumentere, at din behandling af personoplysninger sker i overensstemmelse med GDPR og lokal lovgivning. Du skal f.eks. dokumentere, hvordan du sletter personoplysninger efter afslutningen af et forretningsforhold.

En virksomhed kan have flere procedurer for, hvordan og hvor ofte de sletter data. Men ifølge GDPR er det vigtigt, at det er nedskrevet eller på en eller anden måde dokumenteret, så de rette tilsynsmyndigheder kan revidere dine handlinger og dermed sikre, at du overholder GDPR.

Dokumentationskravet kan understøttes af it-løsninger, der endda kan automatisere nogle af de nødvendige processer.

Opbevaring af personoplysninger — hvornår og hvor længe?

Virksomheder kan gemme personoplysninger, så længe de:

  • Har en lovlig ret til det.
  • Har en legitimt formål til opbevaring af dataene.

Den lovlig ret med hensyn til opbevaring af personoplysninger defineres som:

  • Virksomheden har opnået samtykke fra den person, hvis personoplysninger opbevares.
  • Det er skrevet i loven, at dataene skal gemmes.
  • Det er nødvendigt for at opretholde en aftale eller kontrakt.
  • Virksomheden har en legitim interesse ved opbevaring af personoplysninger. Og denne interesse har en større værdi for personens egen interesse, end hvis den blev slettet.

Normalt har virksomheden eller det statslige organ tilstrækkelige juridiske rettigheder, hvis bare en Ovenstående kriterier er opfyldt.

EN legitimt formål er grundlæggende defineret af sund fornuft.

Spørg dig selv: Hvad er formålet med at gemme de givne personoplysninger?

Hvis du ikke har et legitimt formål, skal dataene slettes.

Eksempel

For seks måneder siden havde virksomheden et jobopslag på udkig efter en retshjælp. De havde mange ansøgere, men har siden lukket hele afdelingen og planlægger ikke at ansætte juridiske hjælpemidler nogensinde igen.

Har virksomheden stadig et legitimt formål med at gemme CV'er og applikationer? Her er svaret nej.

Så længe en virksomhed har den juridiske ret og et legitimt formål, kan virksomheden fortsætte med at gemme data. Så snart dette ikke længere er tilfældet, skal dataene slettes.

Privatpersoners rettigheder

Med implementeringen af GDPR får privatpersoner ret til at få adgang til de data, virksomheder gemmer om dem. Dette kaldes ofte adgangsrettigheder eller emneret:

  • Du har i princippet ret til at få adgang til alle personoplysninger om dig selv, som datahåndtering er ansvarlig for.
  • EN databehandler kan ikke give adgang, fordi de ikke er ansvarlige for de registrerede data.

De data og oplysninger, du kan anmode om, inkluderer:

  • Sådan behandles dine personoplysninger
  • Hvilket formål er der med behandlingen
  • Hvem oplysningerne deles med
  • Hvor længe dataene gemmes
  • Hvor personoplysningerne stammer fra

Dette er for at sikre, at dataene er verificerbare, nøjagtige, og at behandlingen udføres på grundlag af forsvarlig juridisk myndighed.

Løbende revision og princippet om nøjagtighed

Som virksomhed er du forpligtet til at sikre dig, at de lagrede personoplysninger er korrekte, og at forkerte eller falske oplysninger slettes.

Dette kaldes også princippet om nøjagtighed.

Princippet drejer sig ikke kun om pligten til at slette eller rette oplysninger, som du er blevet informeret om, er forkert. Du har også en forpligtelse til aktivt at søge og kontrollere nøjagtigheden af dine data.

Dette kan f.eks. ske ved, at du løbende sammenligner de data, du indhenter, med søgninger i registre og databaser med offentligt tilgængelige oplysninger, eller at du med jævne mellemrum anmoder om verifikation fra den person, som oplysningerne handler om.

Omfanget af, hvor grundigt du har brug for at verificere oplysningernes nøjagtighed og ægthed, og hvor ofte du skal gentage denne proces, afhænger af de data, du behandler. Jo mere følsomme - og derfor jo større betydning oplysningerne har for ejeren - jo flere procedurer og fejlsikre skal du implementere for at beskytte mod dette resultat.

Cases hos Meo

Meo har også samarbejdet med en masse forskellige virksomheder, der har haft stor gavn af den danske softwareplatform, Meo. Blandt dem er advokatfirmaet Bech-Bruun, der for nylig kommenterede, om platformen har givet klarhed om sikker håndtering af information og data fra nye kunder i overensstemmelse med GDPR-loven.

Dette fokus er noget, der afspejles i udtalelser fra vores forskellige partnere og kunder, som alle mener, at vores softwareplatform har skabt sikkerhed for dem i forbindelse med udveksling af data og information med kunder eller partnere.

Vi hos Meo hjælper derfor med at skabe klarhed over administrative opgaver samt sikkerheden i din virksomhed og udveksling af data.

Meo — Behandling af personoplysninger nemt og sikkert

Hvis du har læst med fra toppen og har mistet pusten over udfordringerne ved at arbejde med GDPR og personlige data, så er du ikke alene.

Heldigvis findes der en række gode løsninger til de forretningsmæssige udfordringer ved databehandling.

Meo er en softwareplatform, der siden 2015 har gjort det muligt for virksomheder og enkeltpersoner at udveksle information på en gennemsigtig og sikker måde.

For virksomheder er der en række fordele ved at bruge Meo:

Onboarding

Ombord dine kunder digitalt på sikre kanaler.

Validering

Opsæt dine egne krav til validering af oplysninger.

Dokumentation

Et komplet revisionsspor og oversigt over de udførte handlinger og samtykke til behandling.

Forarbejdning

Med Meo overholder du alle juridiske krav, både GDPR og AML.

Se, hvordan Meo kan hjælpe dig med at vinde stort for dine kunder.

Lad os vise dig, hvorfor Meo er det foretrukne valg for advokater og advokatfirmaer, der ønsker at automatisere deres AML-processer.
Book en demo
__wf_reserved_arv
Book en online konsultation
Vælg et passende tidspunkt for at diskutere dine forretningsbehov og udforske skræddersyede løsninger.
Book konsultation