Den generelle databeskyttelsesforordning (GDPR) er en ny EU-databeskyttelseslov, der trådte i kraft den 25. maj 2018. GDPR erstatter EU’s databeskyttelsesdirektiv fra 1995. Den styrker EU’s databeskyttelsesregler ved at give enkeltpersoner mere kontrol over deres personlige data og ved at indføre nye rettigheder for enkeltpersoner. GDPR skaber også nye forpligtelser for organisationer, der behandler personoplysninger. GDPR gælder for alle organisationer med kunder i EU, uanset hvor organisationen er baseret. Organisationer, der ikke overholder GDPR, kan få en bøde på op til 4 % af deres årlige globale omsætning eller 20 mio. euro (alt efter hvad der er højest), alt efter hvad der er højest. GDPR erstatter ikke de nationale databeskyttelseslove, men den opstiller et enkelt sæt regler, som alle organisationer skal følge.
GDPR kræver, at organisationer skal indhente udtrykkeligt samtykke fra enkeltpersoner, før de indsamler, bruger eller deler deres personlige data. Organisationer skal også give enkeltpersoner klare og præcise oplysninger om deres rettigheder i henhold til GDPR og sikre, at enkeltpersoner nemt kan udøve deres rettigheder. En organisation skal f.eks. give enkeltpersoner mulighed for at fravælge markedsføringskommunikation og give dem ret til at få adgang til deres personlige oplysninger. GDPR kræver også, at organisationer træffer foranstaltninger til at beskytte personoplysninger mod uautoriseret adgang, ødelæggelse eller ændring. En organisation skal f.eks. kryptere personoplysninger, hvis de lagres på en computer eller anden elektronisk enhed. GDPR kræver ikke, at organisationer skal destruere papirregistre med personoplysninger, men den kræver, at de træffer foranstaltninger til at beskytte papirregistre mod uautoriseret adgang eller ødelæggelse. Endelig kræver GDPR, at organisationer skal underrette enkeltpersoner, hvis deres personoplysninger er blevet tabt eller stjålet. Denne meddelelse skal gives inden for 72 timer efter tabet eller tyveriet.
Organisationer, der behandler personoplysninger, skal udpege en databeskyttelsesansvarlig (DPO). DPO’en er ansvarlig for at sikre, at organisationen overholder GDPR. DPO’en skal have ekspertviden om databeskyttelseslovgivning og -praksis og skal kunne rådgive organisationen om dens forpligtelser i henhold til GDPR. DPO’en skal også være tilgængelig for at besvare spørgsmål fra enkeltpersoner om behandlingen af deres personoplysninger. Desuden skal databeskyttelsesrådgiveren holde styr på alle klager indgivet af enkeltpersoner i henhold til GDPR og indberette eventuelle tilfælde af manglende overholdelse til tilsynsmyndigheden. Endelig skal den databeskyttelsesansvarlige samarbejde med tilsynsmyndigheden i forbindelse med alle undersøgelser, som myndigheden foretager. Du kan se mere om dit privacy her.
Skriv en kommentar