GDPR står for den generelle forordning om databeskyttelse (forordning (EU) 2016/679), og i sin mest grundlæggende form angiver den, hvordan personoplysninger behandles på lovlig vis (herunder hvordan de indsamles, anvendes, beskyttes eller interageres med generelt).
Formålet er at styrke databeskyttelsen for alle personer, hvis personoplysninger falder ind under dens anvendelsesområde, og give dem kontrol med deres personoplysninger.
Personoplysninger i forbindelse med GDPR er alle oplysninger, der vedrører en identificeret eller identificerbar levende person. Dette omfatter oplysninger, der i samlet form kan føre til identifikation af en person.
Dette gælder også for oplysninger, der er pseudonymiseret eller krypteret, så længe krypteringen/anonymiseringen kan omgøres. For så vidt angår opfyldelse af databeskyttelsesforpligtelserne i henhold til forordningen betyder det, at dekrypteringsnøgler skal opbevares adskilt fra de pseudonymiserede data.
Eksempler på personoplysninger omfatter (men er ikke begrænset til) grundlæggende identitetsoplysninger som f.eks. navne, helbredsoplysninger, genetiske og biometriske data, webdata som IP-adresser, personlige e-mailadresser, politisk overbevisning og oplysninger om seksuel orientering.
Eksempler på ikke-personoplysninger omfatter virksomhedsregistreringsnumre, generiske virksomheds-e-mailadresser som f.eks. info@company.com og anonymiserede oplysninger.
En internetvirksomhed kan f.eks. indsamle brugeroplysninger via sit websted og gemme dem ved hjælp af en tredjeparts cloudtjeneste. I dette scenario er internetvirksomheden den dataansvarlige, og den organisation, der driver cloudtjenesten, er databehandleren.
GDPR kan finde anvendelse i følgende tilfælde:
Dette anvendelsesområde omfatter næsten alle virksomheder og betyder derfor, at GDPR kan gælde for dig, uanset om din organisation er baseret i EU eller ej. Faktisk har denne undersøgelse fra PwC vist, at GDPR er en topprioritet inden for databeskyttelse for op til 92 procent af de adspurgte amerikanske virksomheder.
A common misconception is that only EU users are covered by the protections of the GDPR, however the protections of the GDPR also extend to users outside the EU if the data controller is EU based . Therefore, if you are an EU-based data controller, the GDPR requirements apply to you and you must, by default, apply GDPR standards to ALL your users.
GDPR trådte i kraft den 25. maj 2018.
Betingelserne for anvendelse af GDPR er fastlagt i forordningens artikel 2 og 3 ud fra et materielt og territorialt synspunkt. For at vurdere, om en specifik behandlingsaktivitet er undtaget fra dens anvendelsesområde, skal vi overveje begge aspekter.
GDPR gælder for behandlingen af personoplysninger. Den gælder derfor ikke for virksomhedsoplysninger, f.eks. firmanavn og adresse. Vær dog opmærksom her, for normalt arbejder der “fysiske personer” i en virksomhed, og alle oplysninger, der henviser til dem, vil derfor blive betragtet som “personoplysninger”, uanset om de behandles i en Business to Customer (B2C)- eller en Business to Business (B2B)- kontekst.
Derudover vil personoplysninger ikke falde ind under GDPR’s anvendelsesområde, når:
I praksis er den eneste relevante undtagelse sidstnævnte: Hvis du f.eks. indsamler dine venners personoplysninger til din egen personlige telefonbog, er du ikke omfattet af GDPR.
Ud over og uanset ovenstående har vi allerede nævnt, på hvilke betingelser GDPR finder anvendelse ud fra et territorialt synspunkt.
For at en databehandlingsaktivitet ikke skal være omfattet af GDPR, skal alle følgende betingelser være opfyldt:
Lad os se på nogle praktiske eksempler:
I henhold til GDPR må data kun behandles, hvis der er mindst ét retsgrundlag derfor.
Retsgrundlagene er:
GDPR Requirements dictate that if relying on the legal basis of consent, data controllers must get verifiable consent from users.
I forhold til samtykke til børn skal organisationer indhente et verificerbart samtykke fra en forælder eller værge, medmindre den tjeneste, der tilbydes, er en forebyggende eller rådgivende tjeneste. Organisationer skal gøre rimelige bestræbelser (ved hjælp af den tilgængelige teknologi) for at verificere, at den person, der giver samtykke, rent faktisk har forældreansvaret for barnet.
Generelt må organisationer ikke bruge alt for komplicerede eller uoverskuelige udtryk, når de indhenter samtykke til databehandling. Dette omfatter kompliceret juridisk sprog og unødvendig jargon. Det betyder, at vilkår og privatlivspolitikker skal være letlæselige (se vores her) og bruge et forståeligt sprog og letforståelige bestemmelser, så brugerne er fuldt ud klar over, hvad de giver deres samtykke til, og hvad konsekvenserne af deres samtykke er.
Forordningen forbyder specifikt at gøre brug af felter, der er afkrydset på forhånd.
Organisationerne skal være gennemsigtige med hensyn til formålet med dataindsamlingen, og samtykket skal være “udtrykkeligt og frit tilkendegivet”. Det betyder, at mekanismen til indhentning af samtykke skal være utvetydig og omfatte en tydelig “opt-in”-handling (forordningen forbyder specifikt afkrydsningsbokse og lignende “opt-out”-mekanismer). Forordningen giver også en specifik ret til at tilbagekalde samtykket; det skal derfor være lige så let at tilbagekalde samtykket som at give det.
Fordi samtykke i henhold til GDPR er så vigtigt et område, er det obligatorisk, at du fører nøjagtige fortegnelser, og at du er i stand til at påvise, at brugeren har givet sit samtykke. Hvis der opstår problemer, ligger bevisbyrden hos den dataansvarlige, så det er vigtigt at føre nøjagtige fortegnelser.
In line with GDPR requirements, your consent records should include:
Et eksempel på overensstemmende registrering og ikke-overensstemmende registrering kan ses i det følgende:
| Ikke-overensstemmende registrering | Overensstemmende registrering |
|---|---|
| Blot at have et regneark med kundens navne og angive, om der er givet samtykke eller ej. | Du skal sikre, at du opbevarer en kopi af kundens underskrevne og daterede formular, som viser, hvilken handling kunden har foretaget for at give sit samtykke til den specifikke behandling. |
| Blot at opbevare tidspunktet og datoen for samtykket knyttet til en IP-adresse med et weblink til din aktuelle formular til dataindsamling og din privatlivspolitik. | Du skal opbevare omfattende registreringer, der omfatter et bruger-id og de indsendte oplysninger samt et tidsstempel. Du skal også opbevare en kopi af den udgave af dataindsamlingsformularen og alle andre relevante dokumenter, der var i brug på den pågældende dato. |
Det kan være en teknisk udfordring at opretholde korrekte fortegnelser, selv om det er obligatorisk. Med vores Consent Database forenkles denne proces og gør det nemt for dig at se, administrere og eksportere dine registrerede samtykker. Du kan læse mere om den her.
En bemærkning om samtykke: Det er ikke det ENESTE grundlag, som en organisation kan vælge at behandle brugeroplysninger på; det er kun et af “retsgrundlagene”, og derfor kan virksomheder i nogle tilfælde anvende andre retsgrundlag (inden for GDPR’s anvendelsesområde) for en databehandlingsaktivitet (det anbefales dog at tale med en advokat om, hvorvidt et andet retsgrundlag kan finde anvendelse for din behandling ). Når det er sagt, vil der altid være databehandlingsaktiviteter, hvor samtykke er den eneste, bedste eller mest sikre mulighed.
En anden del af EU-lovgivningen, der er værd at nævne her, er e-databeskyttelsesdirektivet (også kaldet e-Privacy-direktivet). Denne lov gælder fortsat, da den ikke er blevet ophævet af den generelle forordning om databeskyttelse. Fremover vil e-databeskyttelsesdirektivet blive erstattet af e-databeskyttelsesforordningen, som vil fungere sideløbende med GDPR. Den kommende forordning forventes at videreføre de samme værdier som direktivet.
e-Privacy-direktivet stiller krav om brugernes informerede samtykke, før der lagres eller gives adgang til oplysninger på brugerens enheder.
e-Privacy-direktivet stiller krav om brugernes informerede samtykke, før der lagres eller gives adgang til oplysninger på brugerens enheder. Du kan læse mere om e-Privacy-direktivet her.
💡 Få mere at vide om, hvilke EU-regler for samtykke til cookies der gælder for hvert enkelt land, i vores du se vores oversigt over cookiesamtykke her.
Organisationer skal give brugerne oplysninger om de databehandlingsaktiviteter, de udfører. Sådanne oplysninger bør gives på det tidspunkt, hvor personoplysningerne indhentes, typisk via en privatlivsmeddelelse/privatlivspolitik. Oplysningerne skal være kortfattede, gennemsigtige, forståelige, let tilgængelige, skrevet i et klart og tydeligt sprog (især hvis de er rettet mod et barn) og gratis.
Hvis oplysningerne indsamles hos den faktiske bruger, som de vedrører, så skal brugeren oplyses om databeskyttelse på det tidspunkt, hvor oplysningerne indhentes, men hvis personoplysningerne er indhentet fra en anden kilde end den bruger, som de vedrører, skal brugeren have oplysninger om databeskyttelse inden for en “rimelig periode” efter, at oplysningerne er blevet indhentet. Denne periode må generelt være maks. en måned. Hvis du bruger oplysningerne til at kommunikere med brugeren, skal sådanne oplysninger tilvejebringes senest, når den første kommunikation finder sted.
Users have the right to access their personal data and information about how their personal data is being processed. GDPR requirements dictate that should a user request it, data controllers must provide an overview of the categories of data being processed, a copy of the actual data and details about the processing. The details should include the purpose, how the data was acquired and with whom it was shared.
Organisationen skal også give den person, der fremsætter anmodningen, en gratis kopi af vedkommendes personoplysninger (der kan opkræves et rimeligt gebyr for yderligere kopier). De ønskede oplysninger skal udleveres til den enkelte uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen. Det nøjagtige antal dage, som organisationen har til at efterkomme en anmodning, afhænger af den måned, hvor anmodningen blev fremsat.
Retten til indsigt er tæt forbundet med Retten til dataportabilitet, men disse to rettigheder er ikke de samme. Det er derfor vigtigt, at der i din privatlivspolitik er en klar sondring mellem de to rettigheder.
Brugerne har ret til at få deres personoplysninger rettet, hvis de er unøjagtige eller ufuldstændige. Denne ret indebærer også, at berigtigelse skal meddeles til alle tredjepartsmodtagere, der er involveret i behandlingen af de pågældende oplysninger – medmindre det er umuligt eller uforholdsmæssigt vanskeligt at gøre dette. Hvis brugeren anmoder om det, skal organisationen også informere brugeren om disse tredjepartsmodtagere.
Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig. Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen.
I de fleste tilfælde skal organisationer efterkomme en anmodning om berigtigelse uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen eller nægte at behandle anmodningen. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.
I henhold til GDPR har brugerne ret til at gøre indsigelse mod visse behandlingsaktiviteter i forbindelse med deres personoplysninger, der udføres af den dataansvarlige. Kort sagt kan brugeren gøre indsigelse mod behandlingen af sine oplysninger, når behandlingen er baseret på den dataansvarliges legitime interesse eller på udførelsen af en opgave af almen interesse/udøvelse af offentlig myndighed eller til videnskabelige/historiske forsknings- og statistikformål. Brugeren skal angive en begrundelse for sin indsigelse, medmindre behandlingen foretages med henblik på direkte markedsføring, i hvilket tilfælde der ikke er behov for en begrundelse for at udøve denne ret.
Hvis der modtages en indsigelse mod behandlingen af personoplysninger, og der ikke er nogen grund til at afvise den, skal behandlingen ophøre. Mens behandlingsaktiviteten (herunder lagring) skal ophøre for de særlige behandlingsaktiviteter, der gøres indsigelse imod, er det måske ikke hensigtsmæssigt at slette oplysningerne, hvis de behandles til andre formål (herunder opfyldelse af retlige eller kontraktlige forpligtelser), da oplysningerne skal opbevares til disse formål.
Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen. Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.
I de fleste tilfælde skal organisationer imødekomme en indsigelse (hvis der ikke er nogen grund til at afvise den) uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen, eller anmodningen kan afvises. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.
Brugerne har ret til at få udleveret deres personoplysninger (i et maskinlæsbart format) med henblik på at overføre dem fra én dataansvarlig til en anden, uden at databehandleren hindrer dem i at gøre dette. Både “leverede” og “observerede” oplysninger er omfattet af denne regel. Denne ret gælder kun for personoplysninger og gælder som sådan ikke for reelt anonyme oplysninger (oplysninger, der ikke kan føres tilbage til en enkelt person).
Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen. Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.
I de fleste tilfælde skal organisationer efterkomme en anmodning uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen, eller anmodningen kan afvises. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.
Når oplysninger ikke længere er relevante for det oprindelige formål, eller hvis brugerne har trukket deres samtykke tilbage, eller hvis personoplysningerne er blevet behandlet ulovligt, har brugerne ret til at anmode om, at deres oplysninger slettes, og at al videregivelse ophører. Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen.
Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.
Retten til sletning kan afvises:
Brugere har ret til at begrænse behandlingen af deres personoplysninger i tilfælde hvor:
Begrænsningen skal meddeles til alle tredjepartsmodtagere, der er involveret i behandlingen af de pågældende oplysninger – medmindre det er umuligt eller uforholdsmæssigt vanskeligt at gøre dette. Hvis brugeren anmoder om det, skal organisationen også informere brugeren om disse tredjepartsmodtagere.
Anmodninger skal imødekommes uden unødig forsinkelse og senest inden for en måned efter modtagelsen af anmodningen. Anmodninger kan forlænges med yderligere to måneder, hvis anmodningen er kompleks, eller hvis der er modtaget mange anmodninger fra den pågældende person. Den pågældende skal underrettes senest en måned efter modtagelse af anmodningen med en forklaring på, hvorfor forlængelsen er nødvendig.
I de fleste tilfælde skal organisationer efterkomme en anmodning uden at opkræve et gebyr, men hvis en anmodning anses for at være “åbenbart ubegrundet eller overdreven”, kan der opkræves et “rimeligt gebyr” for at efterkomme anmodningen, eller anmodningen kan afvises. I begge tilfælde skal beslutningen være rimeligt begrundet. Hvis en anmodning afvises, skal den pågældende underrettes (sammen med begrundelsen) uden unødig forsinkelse og senest en måned efter modtagelse af anmodningen.
Brugerne har ret til ikke at blive gjort til genstand for en afgørelse, når den er baseret på automatisk behandling eller profilering, og den har en retlig eller lignende væsentlig virkning for brugeren.
Organisationer må kun træffe automatiske afgørelser, hvis det er nødvendigt for opfyldelsen af en kontrakt, hvis det er tilladt i henhold til lovgivningen i EU-medlemsstaten, hvis det ikke har en juridisk eller lignende væsentlig virkning for brugeren, eller hvis det er baseret på den enkeltes udtrykkelige samtykke. Du må kun træffe automatiserede afgørelser baseret på særlige kategorier af personoplysninger med brugerens udtrykkelige samtykke eller på baggrund af en væsentlig offentlig interesse.
The GDPR permits data transfers of EU resident data outside of the European Economic Area (EEA) only when in compliance with set conditions. Under GDPR requirements, the country or region the data is being transferred to must have an “adequate” level of personal data protection by EU standards, or where not considered adequate, transfers may still be allowed under the use of standard contractual clauses (SCCs) or binding corporate rules (BCRs).
GDPR tillader kun overførsler af data fra EU-borgere til steder uden for Det Europæiske Økonomiske Samarbejdsområde (EØS), hvis de er i overensstemmelse med de fastsatte betingelser.
Med hensyn til overførsel af data til USA kræves det for alle overførsler, at brugeren giver sit informerede samtykke (i så fald skal samtykket gives på grundlag af tilstrækkeligt præcise oplysninger, herunder oplysninger om den manglende beskyttelse i tredjelandet).
I henhold til GDPR skal databeskyttelse indgå fra starten af design og udvikling af forretningsprocesser og infrastruktur. Det betyder, at indstillingerne for beskyttelse af personoplysninger skal være sat til “høj” som standard, og at der skal træffes foranstaltninger for at sikre, at databehandlingens livscyklus falder inden for GDPR-kravene.
Den dataansvarlige skal underrette tilsynsmyndigheden senest 72 timer efter at have fået kendskab til et brud. Hvis databehandlingen udføres af en databehandler på vegne af den dataansvarlige, skal databehandleren underrette den dataansvarlige straks efter at have fået kendskab dertil. I henhold til denne regel skal brugerne også informeres om bruddet (inden for samme tidsramme), medmindre de data, der er omfattet af bruddet, var beskyttet af kryptering (data er gjort ulæselige for den uvedkommende), eller bruddet generelt ikke kan forventes at medføre en risiko for enkeltpersoners rettigheder og frihedsrettigheder. Under alle omstændigheder bør den dataansvarlige føre fortegnelser over de forekommende overtrædelser for at kunne påvise over for tilsynsmyndigheden, at disse bestemmelser er overholdt.
Databeskyttelsesrådgiveren (DPO) er en person med ekspertviden om databeskyttelseslovgivningen, som har til opgave at bistå den dataansvarlige eller databehandleren med at overvåge den interne overholdelse af GDPR-reglerne og føre tilsyn med databeskyttelsesstrategien og implementeringen. Databeskyttelsesrådgiveren bør også være dygtig til it-processtyring, datasikkerhed og andre kritiske spørgsmål vedrørende behandling af personoplysninger og følsomme data.
GDPR kræver, at der udpeges en databeskyttelsesrådgiver i følgende konkrete tilfælde:
Udpegelsen af en databeskyttelsesrådgiver er derfor ikke kun baseret på det faktiske antal ansatte, men på selve databehandlingsaktiviteten. Hvis din organisation falder uden for disse kategorier, er det ikke obligatorisk at udpege en databeskyttelsesrådgiver.
I henhold til GDPR kræver skal både dataansvarlige og databehandlere føre og vedligeholde “fuldstændige og omfattende” ajourførte registre over de særlige databehandlingsaktiviteter, de udfører.
Der kræves udtrykkeligt fuldstændige og omfattende fortegnelser over behandlingen i de tilfælde, hvor databehandlingsaktiviteterne:
Dette omfatter reelt næsten alle dataansvarlige og databehandlere.
Registreringer af behandlingsaktiviteter skal være skriftlige. Selvom både papirformularer og elektroniske formularer accepteres, så er det bedste praksis at anvende en elektronisk metode til registrering, så det er nemmere at foretage ændringer.
Den dataansvarliges fortegnelser bør omfatte:
Databehandlerens fortegnelser bør omfatte:
Selv hvis dine behandlingsaktiviteter på en eller anden måde falder uden for ovennævnte situationer, er det nødvendigt, at du i henhold til dine oplysningspligter over for brugerne (artikel 13 og 14) fører grundlæggende fortegnelser over, hvilke data du indsamler, formålet med dem, alle parter, der er involveret i behandlingen, og opbevaringsperioden for dataene – dette er obligatorisk for alle.
Du vil måske opdage, at det faktisk er ret nyttigt at foretage regelmæssig revision af de data, som din organisation er i besiddelse af, da denne praksis ikke blot hjælper dig med at opfylde dine forpligtelser til at føre fortegnelser, men også gør det lettere for dig at gennemgå og optimere dine databehandlingsprocedurer.
Vores løsning med et Register over databehandlingsaktiviteter er også meget nyttigt her, da det I HØJ GRAD forenkler den tekniske proces med at oprette og vedligeholde dit Register over Behandlingsaktiviteter. Læs mere om, hvordan det kan hjælpe dig her, eller gå direkte til opsætningsvejledningen og videoen her.
En konsekvensanalyse vedrørende databeskyttelse (DPIA) er en proces, der bruges til at hjælpe organisationer med at overholde GDPR på en effektiv måde og sikre, at principperne om ansvarlighed, privacy by design og privacy by default bliver gennemført i organisationen. DPIA-processen bør være skriftlig. Selv om offentliggørelse af DPIA’en ikke er et generelt juridisk krav i henhold til GDPR, foreslås det, at de dataansvarlige overvejer at offentliggøre hele eller dele af deres DPIA for at sikre gennemsigtighed og ansvarlighed, især i tilfælde, hvor offentligheden er involveret (f.eks. hvis en offentlig myndighed udfører DPIA’en).
En effektiv DPIA er nyttig for at opfylde kravet om “Privacy by design”, da den gør det muligt for organisationer at finde og løse problemer på et tidligt tidspunkt, hvilket mindsker både datasikkerhedsrisici for brugerne og risikoen for bøder, sanktioner og omdømmeskader, som ellers kunne ramme organisationen. DPIA er kun obligatorisk i tilfælde, hvor databehandlingsaktiviteter sandsynligvis vil medføre en høj risiko for brugerne (dette gælder især ved indførelse af ny behandlingsteknologi).
Hvis du er usikker på, om din behandlingsaktivitet falder ind under det, der betragtes som “høj risiko”, anbefales det dog alligevel at gennemføre en DPIA, da det er et nyttigt redskab til at sikre, at loven overholdes.
“Højrisiko”-databehandlingsaktiviteter omfatter:
DPIA’er kan også være påkrævet i andre tilfælde (baseret på en vurdering fra sag til sag), herunder, men ikke begrænset til, behandling af oplysninger om sårbare personer (f.eks. børn og ældre), overførsel af oplysninger på tværs af grænserne uden for EU og oplysninger, der anvendes til profilering (f.eks. kreditvurdering). Du kan læse mere om kriterierne her [PDF].
DPIA’en bør omfatte:
De juridiske konsekvenser af manglende overholdelse kan omfatte bøder på op til 20 millioner EUR eller 4 % af den årlige verdensomsætning (alt efter hvad der er størst), men måske lige så bekymrende er de andre potentielle sanktioner, der kan iværksættes over for organisationer, der overtræder reglerne. Disse sanktioner omfatter officielle irettesættelser (ved førstegangsovertrædelser), regelmæssige databeskyttelsesrevisioner og erstatningsansvar.
De juridiske konsekvenser af manglende overholdelse kan omfatte bøder på op til 20 millioner EUR eller 4 % af den årlige verdensomsætning.
Databeskyttelsesforordningen giver brugerne en udtrykkelig ret til at indgive en klage til en tilsynsmyndighed, hvis de mener, at behandlingen af deres personoplysninger er i strid med databeskyttelsesforordningen. Det betyder, at hvis der f.eks. bliver foretaget en indberetning til myndigheden om et tilfælde af overtrædelse af lovgivningen, kan myndigheden vælge at foretage en revision af virksomhedens databehandling. Hvis det viser sig, at en behandlingsaktivitet er ulovlig, pålægges der ikke blot en bøde, men virksomheden kan også få forbud mod at gøre yderligere brug af de oplysninger, der er genstand for undersøgelsen, og oplysninger, der er erhvervet ved hjælp af lignende mekanismer. Det betyder, at hvis den upassende brug vedrørte indsamling af e-mailadresser, risikerer virksomheden at blive udelukket fra at bruge hele den tilknyttede e-mailliste.
Databeskyttelsesforordningen giver også brugerne ret til erstatning som følge af en organisations manglende overholdelse af reglerne, og virksomheden kan blive mødt med en potentiel retssag.
I forhold til overholdelse er et af de første logiske skridt at sikre, at dine dokumenter er i overensstemmelse med lovgivningen. Hos iubenda har vi en samlet tilgang til overholdelse af datalovgivningen. Vi bygger løsninger med de strengeste regler i tankerne og giver dig alle muligheder for at tilpasse dem efter behov. På denne måde hjælper vi dig med at opfylde dine juridiske forpligtelser, reducere risikoen for at blive mødt med retssager og beskytte dine kunder – og opbygge tillid og troværdighed.
Her er, hvad du skal bruge for at komme i gang med at sikre fuld overholdelse:
Dette juridiske dokument bør angive, hvordan dit websted eller din app indsamler, behandler, opbevarer, deler og beskytter oplysninger om brugerne, formålet dermed og brugernes rettigheder i den forbindelse.
Med vores Generator af privatlivs- og cookiepolitik kan du oprette en nøjagtig privatlivspolitik, der er udarbejdet af en advokat, og integrere den problemfrit på dit websted eller i din app. Du kan ganske enkelt tilføje en af de mange forud oprettede bestemmelser med et klik på en knap eller nemt skrive dine egne bestemmelser ved hjælp af den indbyggede formular.
Privatlivspolitikken indeholder også muligheden for at inkludere en cookiepolitik (dette er nødvendigt, hvis dit websted eller din app bruger cookies). Politikkerne kan tilpasses til dine behov og vedligeholdes elektronisk af et internationalt juridisk team.
Du kan få flere oplysninger om privatlivspolitikker ved at klikke her.
Da brugen af cookies både kan betyde behandling af brugeroplysninger og installation af filer på brugerens enheder, er de et bekymringspunkt, når det drejer sig om brugernes ret til beskyttelse af personoplysninger. Derfor er det vigtigt, at dit websted eller din app overholder EU’s e-databeskyttelsesdirektiv (e-Privacy-direktivet). I den forbindelse har vi skabt vores omfattende Privacy Controls and Cookie Solution, som forenkler overholdelsen af bestemmelserne i det europæiske e-Privacy-direktiv. Det er en løsning, der er nem at afvikle med cookiepolitik og cookietilladelse (herunder bannerstyring), den er hurtig og kræver ikke de store investeringer.
Du kan få flere oplysninger om vores Privacy Controls and Cookie Solution her.
Mange databeskyttelsesmyndigheder i EU har skærpet deres krav og tilpasset deres regler om cookies og trackere til kravene i databeskyttelsesforordningen. Mere specifikt kræves det, at du registrerer og gemmer dokumentation for dine brugeres præferencer.
En log for cookie- og samtykkeindstillinger er nu tilgængelig i vores Privacy Controls and Cookie Solution. Klik her for at få flere oplysninger om, hvordan du aktiverer loggen for cookie- og samtykkeindstillinger i din Privacy Controls and Cookie Solution.
Det kan være en teknisk udfordring rent praktisk at opfylde bestemmelserne i GDPR. Dette gælder især for dine databehandlingsaktiviteter. For at overholde reglerne skal du holde styr på og beskrive:
Vores løsning hjælper dig med nemt at registrere og administrere alle databehandlingsaktiviteter i din organisation, så du nemt kan overholde GDPR-kravene og opfylde dine juridiske forpligtelser. Det giver dig mulighed for at oprette registreringer af behandlingsaktiviteter: tilføj behandlingsaktiviteter ved at vælge mellem mere end 1.700 muligheder, opdel dem efter område (underopdelinger, inden for hvilke databehandlingsaktiviteterne er de samme), tildel databehandlere og andre medlemmer roller, og dokumentér retsgrundlaget og andre GDPR-registreringer.
Bemærk: Selv hvis dine behandlingsaktiviteter på en eller anden måde falder uden for de situationer, der er nævnt tidligere i denne vejledning, er det nødvendigt, at du i henhold til dine oplysningspligter over for brugerne (artikel 13 og 14) fører grundlæggende fortegnelser over, hvilke oplysninger du indsamler, formålet med dem, alle parter, der er involveret i behandlingen, og dataopbevaringsperioden – dette er obligatorisk for alle
Selv om GDPR er en god grund til at gøre en større indsats for at holde styr på dine databehandlingsaktiviteter, er vores værktøj ikke udelukkende beregnet til anvendelse i forbindelse med GDPR. Det kan også bruges til generelle databehandlingsaktiviteter, selv af virksomheder, der ikke har nogen brugere/kunder i EU.
Du kan få en oversigt over alle funktionere i Registret over databehandlingsaktiviteter ved at klikke her eller læse vejledningen her.
For at overholde lovgivningen om beskyttelse af personoplysninger, især GDPR, skal virksomheder opbevare dokumentation for samtykke, så de kan dokumentere, at der er indhentet samtykke. Disse fortegnelser skal vise:
Vores Consent Database forenkler denne proces ved at hjælpe dig med nemt at gemme dokumentation for samtykke og administrere samtykke og fortrolighedspræferencer for hver enkelt af dine brugere. Det giver dig mulighed for at spore alle aspekter af samtykket (herunder den juridiske meddelelse eller fortrolighedsmeddelelse og den samtykkeformular, som brugeren blev præsenteret for på tidspunktet for indhentningen af samtykket) og de tilhørende præferencer, som brugeren har givet udtryk for.
Du skal blot aktivere Consent Database og få API-nøglen, installere den via HTTP API eller JS widget, og så er du færdig. Du kan til enhver tid hente samtykket og holde det opdateret.
Du kan få en oversigt over alle funktioner i Consent Database ved at klikke her eller læse vejledningen her.
Vær opmærksom på, at lovgivningen ændres og ajourføres løbende. Det er derfor vigtigt at sikre, at dine politikker opfylder de nyeste krav. Derfor bruger vi indlejring og IKKE kopiering og indsættelse. Med denne metode kan du være sikker på, at din politik er opdateret og vedligeholdes elektronisk af vores juridiske team.
