GDPR – Den nye EU persondataforordning

I maj 2018 træder nye dataregler i kraft for alle der håndterer data fra EU-borgere, både udenfor og indenfor EU. Se her hvad GDPR går ud på.
Snart træder en ny EU persondataforordning i kraft. Den hedder General Data Protection Regulation eller bare GDPR. Den kommer til at påvirke firmaer i både EU, USA og andre dele af verden. I hvert fald alle de firmaer som håndterer data fra brugere, der er EU borgere.

8 nye datarettigheder

GDPR udstyrer forbrugere i EU med et sæt datarettigheder. Faktisk hele 8 datarettigheder, som organisationer skal sikre hvis de ønsker at håndtere data fra EU borgere. Lad os lige kort nævne de 8 nye datarettigheder:

  1. Ret til information: Firmaer skal fortælle brugerne hvilke data de indsamler, hvordan de bliver brugt, hvor lang tid de vil blive opbevaret og om de vil blive delt med nogen 3. part. Denne information skal beskrives kort og så alle kan forstå det.
  2. Ret til indsigt: Borgerne i EU har ret til at anmode firmaerne om en kopi af alle de personlige data der er registreret om vedkommende. Firmaerne har så en måned til at aflevere denne kopi.
  3. Ret til rettelser: Borgerne har ret til at få rettet ukorrekte eller ukomplette oplysninger, så de til enhver tid beskriver virkeligheden. Dette har firmaerne også en måned til at efterleve.
  4. Ret til at blive glemt: Borgere har ret til at få slettet data under visse omstændigheder, som fx. hvis de ikke længere er nødvendige, de blev indsamlet ulovligt eller ikke længere opfylder det lovgrundlag som de blev indsamlet under. Dette gælder også hvis borgeren trækker sit samtykke til indsamlingen af data tilbage.
  5. Ret til restriktiv behandling af data: Borgere kan anmode om at virksomheder begrænser behandlingen af data. Dette er et alternativ til retten til at blive glemt, for eksempel hvis data skal bruges i en retsag.
  6. Ret til dataflytning: Borgere har ret til at få udleveret og genbruge deres personlige data på forskellige tjenester. Retten gælder kun personlige data som personen har givet ifølge en kontrakt eller et samtykke.
  7. Ret til indvending: Borgere kan klage over behandlingen af personlige data, der indsamles på grund af legitime interesser eller for at udføre en opgave, der er en del af en officiel myndighed. Firmaerne skal stoppe med at behandle informationen, med mindre de kan demonstrere legitime grunde til at behandle dataene, som gælder over de interesser, rettighed og frihed for den enkelte eller hvis behandlingen er en del af en juridisk sag.
  8. Ret til ikke at blive resultat af en automatisk proces: Firmaer skal sikre at borgerne ikke tager skade som følge af en beslutning, der ikke involverer en menneskelig vurdering. Det kunne for eksempel være en algoritme eller lign.

Hvad er personlige data?

Ifølge EU-kommisionen er personlige data defineret som:

“personal data is any information relating to an individual, whether it relates to his or her private, professional or public life. It can be anything from a name, a home address, a photo, an email address, bank details, posts on social networking websites, medical information, or a computer’s IP address.”

Der behøver altså ikke kun at være tale om information der omhandler privatlivet, men også for eksempel oplysning i forhold til det professionelle liv eller oplysninger som den enkelte selv har offentliggjort. Det kan være navn, adresse, et foto, e-mailadresse, bankoplysninger, indlæg på sociale netværk, medicinsk information eller en computers IP-adresse.

Grundlag for indsamling af data

For at der må indsamles data skal der være gode grunde til det. Faktisk må data kun indsamles hvis en af følgende er opfyldt:

  • Borgeren har givet samtykke til behandlingen af personlige data til et eller flere specifikke formål.
  • Behandlingen af data er nødvendig for at kunne opfylde en kontrakt, som personen er en del af eller som forberedelse af en kontrakt, som personen skal være en del af.
  • Behandlingen af data er nødvendig for at opfylde juridiske krav.
  • Behandlingen af data er nødvendig for at beskytte vitale interesser for personen eller en anden person.
  • Behandlingen af data er nødvendig for at kunne udføre en opgave der har offentlighedens interesser eller som udføres af en offentlig myndighed.
  • Behandlingen af data er nødvendig for at opfylde legitime interesser eller af en 3. part med mindre disse interesser overstiges af interessen eller den fundamentelle rettighed som borgerne har.

Samtykke til indsamling af data

Der skal gives samtykke til indsamlingen af data. Samtykket skal eksplicit gælde for den data der indsamles og til det formål det bruges til. Samtykke for børn skal ske af forældre eller værge og dette skal verificeres.
Firmaer skal kunne dokumentere at der er givet samtykke. Borgere har også ret til at trække et samtykke tilbage.
Det kan give store bøder ikke at overholde GDPR reglerne. Faktisk kan bøden være op til 20 milllioner kroner euro eller hvad der svarer til 4% af den årlige omsætning. De nye regler træder i kraft 25. maj 2018, hvor virksomhederne har haft 2 år til at implementere de nye regler.
 

0 0 votes
Article Rating

Andreas Andersen

Forfatter og grundlægger af IT-blogger.dk, der har blogget om IT-emner siden 2012. Findes på Mastodon på @aphandersen@ansico.dk

You may also like...

Abonner
Giv besked ved
guest

0 Comments
mest stemt på
nyeste ældste
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x