Ved du hvad dataportabilitet er?
Hvis ikke, kan du finde svaret her i vores
FAQ (ofte stillede spørgsmål)
GDPR er et område med mange mærkelige begreber.
Vi håber du kan finde forklaring på det meste her.
Vælg kategori og find svaret på (næsten) alt lige her…
GDPR står for General Data Protection Regulation, men kaldes også både Databeskyttelsesforordningen og Persondataforordningen. Den har siden 25. maj 2018 været lovpligtig i Danmark.
GDPR er grundlæggende en EU-forordning, der skal styrke og harmonisere beskyttelsen af personoplysninger, så fysiske personer er sikret både ret til og kontrol over egne personlige oplysninger. I Danmark er området underlagt Datatilsynet.
GDPR gælder ALLE virksomheder der har personhenførbare data, oplysninger, billeder eller anden information, der kan identificere en person.
Ja, for selvom du er alene, er du automatisk dataansvarlig og skal derfor have en politik for, hvordan du håndterer persondata. Får du adgang til andre virksomheders data som fx CPR-numre eller adresser, kan du være databehandler, og skal så have en databehandleraftale med den dataansvarlige. Skal du tilmed dele data med en underleverandør eller samarbejdspartner, skal der også laves en underdatabehandleraftale.
I Danmark består vores lovgivning af love med paragraffer, mens lovgivningen i EU består af forordninger med artikler. En EU-forordning er således overnational, og står dermed over dansk lov.
Modsat et EU-direktiv gælder en EU-forordning direkte og ensartet i alle EU-lande, og skal efterleves i alle EU-lande uden undtagelse. Der er dog mulighed for at fastsætte nationale særregler på en række områder.
Omkring GDPR drejer det sig om 52 punkter, hvor den nationale lovgivning kan være forskellig fra land til land.
Databeskyttelsesloven er den nye danske databeskyttelseslov på de områder, hvor forordningen tillader de enkelte EU-stater at lave særlige supplerende regler.
Forordningen og loven skal give dig bedre kontrol over dine egne oplysninger, og samtidig skal virksomhederne have bedre styr på, hvordan de behandler og opbevarer dine personlige oplysninger.
Reglerne omfatter alle de personoplysninger, der kan identificere dig, ligesom den slår fast, hvordan virksomheder skal beskytte og behandle dine personlige oplysninger. Den giver dig som forbruger en række rettigheder, ligesom den specificerer, hvad du skal forvente og kræve af en virksomhed eller myndighed, som indsamler oplysninger om dig.
Kært navn har mange navne, for både Databeskyttelsesforordningen, Dataforordningen, Persondataforordningen og GDPR er reelt set det samme.
Siden 25. maj 2018 har denne forordning sammen med den danske databeskyttelseslov reguleret behandlingen af persondata i Danmark.
Kært navn har mange navne, for både Databeskyttelsesforordningen, Dataforordningen, Persondataforordningen og GDPR er reelt set det samme.
Siden 25. maj 2018 har denne forordning sammen med den danske databeskyttelseslov reguleret behandlingen af persondata i Danmark.
Kært navn har mange navne, for både Databeskyttelsesforordningen, Dataforordningen, Persondataforordningen og GDPR er reelt set det samme.
Siden 25. maj 2018 har denne forordning sammen med den danske databeskyttelseslov reguleret behandlingen af persondata i Danmark.
Arbejdet med GDPR er en løbende proces, hvor I hele tiden skal holde dokumentationen ved lige. GDPR kan også betragtes som en ordentlig hovedrengøring med efterfølgende vedligeholdelse.
Alle dataansvarlige og databehandlere har pligt til at udarbejde en fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata. Den skal give overblik over jeres behandlingsaktiviteter og samtidig bidrage til at dokumentere jeres behandlingsaktiviteter overfor fx Datatilsynet.
Juridisk er den officielle titel en Artikel 30-fortegnelse, men den kaldes også nogle gange bare en fortegnelse over behandlingsaktiviteter – og den er nærmest umulig at overskue i et almindeligt regneark.
Se Hvad er en intern fortegnelse?
En medarbejderinstruks pålægger medarbejderne de pligter, som databeskyttelsesreglerne kræver. Dette omfatter bl.a. at medarbejderen…
- kun må indsamle og gemme persondata, som er nødvendige for at kunne udføre deres job
- kun må gøre det på lovligt grundlag (efter aftale, lovkrav o.a.)
- skal slette oplysninger, der ikke længere er brug for
- skal bruge adgangskoder, der regelmæssigt udskiftes
- altid skal kryptere mails med følsomme og fortrolige personoplysninger
- skal udvise kritisk sans, når de åbner mails og klikker på links eller vedhæftede filer
- ikke må surfe på ikke-sikre hjemmesider
- ikke må benytte ikke-godkendte fildelings-services på internettet
- skal låse arkivskabe med følsomme personoplysninger o.lign.
- ikke må forlade skrivebordet med sådanne oplysninger uden opsyn
- har tavshedspligt omkring alle informationer, der involverer persondata
- kun må udlevere persondata til tredjepart, hvis der er en hjemmel hertil
Når en dataansvarlig indgår en aftale med en databehandler, skal der udarbejdes en skriftlig kontrakt, hvilket kaldes en databehandleraftale. Den skal bruges, når I som dataansvarlig sender data til en underleverandør, som skal behandle disse data udelukkende efter instruks fra jer.
Det er en god idé at inkludere et afsnit om fortrolighed i aftaler med samarbejdspartnere og medarbejdere – og at de også gælder efter aftalens ophør.
I skal som virksomhed løbende vurdere de risici, som opbevaring og behandling af data indebærer, og her er det primært de oplysninger, som kan føre til fysisk, materiel eller immateriel skade (omdømme), som udgør en høj risiko. Derfor skal I samtidig gennemføre foranstaltninger for at begrænse disse risici ved fx at kryptere data eller justere interne processer.
Der er hverken krav til udformningen af interne eller eksterne audits, men alle virksomheder skal løbende kontrollere, at alt stadig er ok i forhold til GDPR.
For nogle virksomheder, især it-virksomheder, der er underleverandører til andre virksomheder, kan det dog være relevant at få en ekstern audit af en ekstern ekspert.
Resultatet er en erklæring om, at virksomheden har styr på GDPR, hvilket kan være relevant overfor dataansvarlige og –behandlere, myndigheder, kunder, samarbejdspartnere og… pressen.
Et enkelt online værktøj til dokumentation af lovpligtige persondata. Platformen laver automatisk de nødvendige lovpligtige dokumenter på baggrund af de oplysninger, I indtaster i systemet. Nemt og enkelt.
En skræddersyet online løsning giver på en nem og overskuelig måde et overblik over alle personhenførbare data, I opbevarer og behandler i virksomheden, samt vished og tryghed for at I lever op til reglerne i Persondataforordningen.
Men den store forskel er i de løbende opdateringer og kontroller, hvor et almindeligt regneark kommer til kort. GDPR er ikke en engangsopgave – det er en proces.
Klik på Sign up øverst til højre , indtast virksomhedsoplysninger, mailadresse og mobil – og du har nu adgang til løsningen. Ønsker du at fortsætte med løsningen inden den gratis prøveperiode udløber, kan du betale ved at indtaste dit kort på dit dashboard.
Din prøveperiode udløber automatisk efter 14 dage. Hvis du ikke aktivt tilmelder dig betalingsløsningen, lukker prøveversionen, og du kan ikke længere logge på.
Alle indtastede data i prøveperioden er stadig tilgængelige, hvis du tilmelder dig betalingsløsningen. Så du kan roligt prøve at registrere flere af jeres systemer i prøveperioden.
Selve platformen er indtil videre kun på dansk, men alle standarddokumenter på platformen findes både på dansk og engelsk.
Lexoforms abonnementet betales årligt via kort. På dit dashboard under ”Dit abonnement” kan du altid finde dine fakturaer. Når der er gået et år og dit kort debiteres for næste årlige træk, vil du modtage en mail med faktura, samt oplysning om at fakturaen er betalt med kreditkort.
Når du klikker på ”log in” har du mulighed for at klikke på ”glemt kodeord”. Vi sender dig herefter en mail, hvor du kan indtaste et nyt kodeord. Du kan altid efterfølgende ændre dit kodeord under menupunktet ”Profil”.
Du opsiger dit abonnement ved at sende os en skriftlig opsigelse på mail. Abonnementet skal være opsagt 1 måned før skæringsdatoen for næste betaling.
Løsningen inkluderer gratis support omkring platformen og eventuelle tekniske udfordringer. På platformen kan du også finde gratis hjælpevideoer, der guider dig igennem alle menupunkter. Du finder hjælpevideoerne under menupunktet ”Hjælp”.
Du kan altid kontakte vores support enten via chat, via mail på support@lexoforms.com eller via telefon 78 700 800.
Med Lexoforms platform kan ALLE løse GDPR-opgaven. I løsningen bliver du trin for trin guidet gennem opbygningen af den lovpligtige dokumentation – og mange af felterne er allerede udfyldt med juridisk korrekt tekst, der enten kan bruges direkte, eller tilrettes en smule, så det passer 100% til jeres situation.
Desuden er der både hjælpevideoer, support og dygtige rådgivere.
Lexoforms er uvildig, så har du spørgsmål til GDPR, jura eller IT henviser vi til vores screenede og godkendte rådgivere, som du finder under menupunktet ”Rådgivere”. Rådgiverne på listen kender alle platformen, og kan tilgå din løsning online og hjælpe dig direkte i systemet.
Lexoforms yder support omkring platformen inkl. opsætning, menuer og guides mv. Men har du behov for direkte rådgivning omkring GDPR, jura og IT-sikkerhed mv., henviser vi til vores dygtige godkendte rådgivere, der kan tilgå din platform, og hjælpe dig direkte online. Du finder listen over rådgivere under menupunktet ”Rådgivere”.
Den dataansvarlige er den, der afgør hvilke persondata der skal behandles og på hvilken måde inkl. formål, omfang og metoder – og det er den dataansvarlige, der har det endelige ansvar. Den dataansvarliges hovedydelse er andet end behandling af persondata.
Databehandlerens hovedydelse er helt eller delvist at behandle personoplysninger på vegne af en dataansvarlig og efter en aftalt instruks, som databehandleren skal holde sig indenfor. Det kan fx være lønbureauer, hosting-virksomheder eller cloud-tjenester.
Hvis I som dataansvarlig bruger en databehandler, kan denne videregive en eller flere opgaver til en underdatabehandler, der har mindst de samme forpligtelser som databehandleren. Det kræver dog en skriftlig godkendelse fra jer, da underdatabehandleren handler på vegne af jer – og ikke databehandleren. Derfor er det en god idé at præcisere ansvaret i en databehandleraftale.
En juridisk eller fysisk person, en offentlig myndighed, en institution eller et andet organ, der bliver videregivet personoplysninger til.
Den registrerede er den person, der er registreret personhenførbare oplysninger om. Vedkommende kan både være medarbejder, leverandør, samarbejdspartner, kunde eller noget helt femte som fx en nyhedsbrevsmodtager.
Det afhænger meget af virksomhedens størrelse, branche og organisering. I mange mindre virksomheder er det direktøren, der selv klarer opgaven, mens det i andre er en sekretær, der får opgaven.
Er virksomheden lidt større, kan den både lande hos IT-, HR- eller Marketingchefen, mens der i større virksomheder findes en egentlig DPO, der er ansvarlig for opgaven. Nogle virksomheder bruger også en ekstern DPO i form af en revisor eller en ekspert.
Hvad der passer bedst til jer, afhænger helt af jer, men vi hjælper gerne med opgaven!
DPO står for Data Protection Officer og er en medarbejder eller rådgiver, der er ansvarlig for at underrette og rådgive den dataansvarlige eller databehandleren, om deres forpligtelser iht. GDPR. Desuden er DPO’en ansvarlig for at føre tilsyn med, om virksomheden overholder reglerne.
En personoplysning er enhver form for information, der kan henføres til en bestemt person, også selv om personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger.
Det kan fx være CPR-nummer, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller biologisk materiale, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Personoplysninger kaldes også personhenførbare oplysninger.
Der er tre typer personoplysninger:
- almindelige oplysninger
- følsomme oplysninger
- oplysninger om straffedomme og lovovertrædelser mv.
Almindelige (ikke-følsomme) personoplysninger er alle oplysninger, der ikke er klassificeret som følsomme. Disse omfatter identifikationsoplysninger som navn, adresse, mailadresse, telefon, portrætfoto, IP-adresser (også dynamiske) og GPS-oplysninger.
Men også oplysninger om økonomi, skat, gæld, væsentlige sociale problemer, andre rent private forhold, fødselsdato, sygedage, tjenstlige forhold, familieforhold, bolig, bil, eksamen, ansøgning, CV, ansættelsesdato og -stilling, arbejdsområde og arbejdstelefon er omfattet.
Reglerne for følsomme personoplysninger er snævrere end ved almindelige personoplysninger, og omfatter oplysninger om…
- race og etnisk oprindelse
- politisk overbevisning
- religiøs eller filosofisk overbevisning
- fagforeningsmæssige tilhørsforhold
- genetiske data
- biometriske data med henblik på entydig identifikation
- helbredsoplysninger
- seksuelle forhold eller seksuel orientering
Der er pålagt skærpede krav til behandling af følsomme oplysninger, der som udgangspunkt er forbudt. Der er dog en række undtagelser, som hvis der fx er indhentet udtrykkeligt samtykke fra den registrerede.
Fortrolige oplysninger er en særlig kategori af oplysninger, hvor særlige beskyttelsesbehov kan spille ind, hvilket bl.a. kræver en vurdering af, om oplysningen efter gængs opfattelse i samfundet bør kunne forlanges unddraget offentlighedens kendskab. Det gælder fx CPR-nummeret.
Følsomme persondata vil altid være fortrolige, men fortrolige data er ikke altid følsomme.
Til gengæld kan ikke-følsomme personoplysninger afhængigt af omstændighederne være fortrolige, hvis de fx omhandler indtægts- og formueforhold, arbejds-, uddannelses- og ansættelsesmæssige forhold eller indeholder oplysninger om fx selvmordsforsøg eller ulykker.
Oplysninger om strafbare forhold er i GDPR-sammenhæng almindelige personoplysninger, og er særskilt reguleret i databeskyttelsesloven. Begrebet skal forstås bredt, og omfatter ikke kun egentlige domme, men også fx rettighedsfrakendelse.
Almindelige virksomheder må ikke føre registre over strafbare forhold, og kan kun indhente oplysninger om strafbare forhold, hvis de får et samtykke til det fra den pågældende medarbejder eller samarbejdspartner – og det er relevant for det konkrete arbejde, der skal udføres.
Der må ikke opbevares personoplysninger, der ikke har noget reelt formål. Hvis dette sker, skal de slettes øjeblikkeligt. Alle indsamlede personoplysninger må desuden kun benyttes til det formål, det er indsamlet til, og må ikke senere anvendes til andre formål, med mindre den registrerede har givet sit samtykke til dette.
Der skal altid være et formål med indsamling af data, så I ikke indsamler unødige oplysninger. Gennemsigtighed om dette gør det nemmere for alle at gennemskue, hvorfor de afgiver deres personlige oplysninger.
Derfor må den registrerede ikke på noget tidspunkt være i tvivl om, at der behandles data om vedkommende, ligesom vedkommende skal have let adgang til hvilke rettigheder, vedkommende har ifm. behandlingen.
Al behandling af persondata skal være rimelig, hvilket er mere end bare at overholde loven. En databehandling kan godt være lovlig, men samtidig urimelig, hvilket i sidste ende vurderes af tilsynsmyndigheden på baggrund af den gældende gængse opfattelse i samfundet. Ofte er der tale om sund fornuft.
Alle, der behandler persondata, skal have en klar procedure for, hvordan de vil håndtere krav fra en registreret person, hvis denne ønsker at udøve sine rettigheder. Personen har ret til…
- at få oplyst, om der indsamles og behandles personoplysninger om vedkommende
- at få berigtiget urigtige data og begrænset behandlingen
- at få slettet data*
- at gøre indsigelse over at oplysningerne behandles og videregives til fx markedsføring
- at få løbende indsigt i, hvordan vedkommendes oplysninger behandles
- at kunne få udleveret sine data, så de kan overflyttes til anden udbyder (dataportabilitet)
- at tilbagekalde samtykke
- at klage til Datatilsynet
* medmindre det af regnskabsmæssige eller juridiske årsager skønnes, at det er nødvendigt at beholde data i en længere periode. Oplysningerne slettes senest, når eventuelle formueretlige krav er forældet.
Oplysningspligt betyder, at den registrerede skriftligt og i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og tydeligt sprog skal kunne få oplyst, hvilke data, virksomheden har registreret om vedkommende, samt hvorfra oplysningerne stammer, hvis de ikke er afgivet af vedkommende selv (tredjepart).
Det skal endvidere oplyses, med hvilket formål og hjemmel dataene opbevares, hvem der internt og eksternt modtager disse data, samt om der foregår overførsel til tredjelande.
Ved samtykke giver den registrerede lov til, at personoplysninger omkring vedkommende bliver lagret og behandlet. Forinden skal vedkommende dog være informeret om sin ret til når som helst at kunne tilbagetrække sit samtykke.
Samtykke omfatter også brug af (portræt)billeder til fx din virksomheds hjemmeside. Dog er de såkaldte situationsbilleder undtaget, med mindre de er taget på arbejdspladsen. Se mere nedenfor.
Ved et såkaldt situationsbillede er det reelle hovedformål med billedet en given aktivitet eller situation. Her må billedet gerne offentliggøres uden samtykke fra de medvirkende personer.
Alle registrerede har indsigtsret, hvilket betyder, at vedkommende har krav på at få be- eller afkræftet, om der behandles data om vedkommende – og hvis ja, skal I kunne oplyse hvilke data, det drejer sig om. Desuden skal den registrerede have adgang til disse data.
Registrerede personer kan gøre indsigelse mod jeres brug af personoplysninger til fx markedsføring eller profilering. Hvis vedkommende ønsker det, skal al behandling straks standses.
Vær opmærksom på, at den registrerede skal gøres opmærksom på sin indsigelsesret ved første kontakt, hvilket rent praktisk ofte sker i et oplysningsdokument.
Ja, og allerede når samtykket gives, skal den dataansvarlige informere skriftligt om retten til at tilbagetrække samtykket – ellers er det ikke gyldigt.
Det er et krav, at det er let at tilbagekalde samtykket (fx et link i en mail) – og umiddelbart efter tilbagekaldelsen skal alle oplysningerne straks slettes.
En struktureret samling af personoplysninger, hvor der kan søges efter bestemte kriterier, som fx de fleste databaser med personoplysninger, lige fra lønsystemer til CRM-systemer og leverandørarkiver.
Se Hvad er personoplysninger?
Se Hvad er personoplysninger?
Hvis en registreret person finder fejl i data, skal disse rettes og eventuelt suppleres, ligesom alle modtagere af de pågældende data skal informeres om berigtigelsen. Dette kan dog undtages, hvis den dataansvarlige kan dokumentere, at det er en uforholdsmæssig stor byrde at informere alle.
Persondata må ikke opbevares i længere tid end nødvendigt for at kunne opfylde det formål, dataene er indsamlet til. Dette kræver ofte en individuel vurdering, der dog skal kunne dokumenteres.
Hvis en registreret person tilbagekalder sit samtykke eller gør indsigelse, skal den dataansvarlige som hovedregel aktivt slette alle oplysninger om vedkommende.
Men den dataansvarlige skal også selv løbende holde øje med, om der er data, der skal slettes. Det kan fx være fordi…
- dataene er ikke længere nødvendige
- behandlingen er ulovlig
- sletningen er lovpligtig
Når personoplysninger slettes, må de ikke længere være tilgængelige. Så hvis de efter sletning fx kan tilgås af en administrator, er det ikke en reel sletning.
Data lagres ofte i en database og en brugerrettet del som fx en lokal pc, og her er det vigtigt at vurdere begge dele, da en såkaldt ”soft delete”, hvor data kun slettes lokalt, ikke er en rigtig sletning. Omvendt opfattes de som slettet, selvom de stadig ligger lokalt, hvis bare de er slettet på det bagvedliggende operativsystem. For så er de ikke længere tilgængelige med rimelige midler.
Læs mere om sletning her.
Genetiske data er oplysninger om genetiske specifikationer hos den registrerede, ofte fra en biologisk prøve.
Oplysninger om en persons fysiske, fysiologiske eller adfærdsmæssige karakteristika, der gør det muligt at identificere vedkommende. Disse omfatter fingeraftryk og iris-analyse.
I må som virksomhed kun indsamle tilstrækkelige, relevante og nødvendige data om personer. I må således ikke indsamle data, der er unødvendige i forhold til formålet. Derfor skal I, når I indsamler data, konkret vurdere hvilke data, der er relevante for at opfylde formålet med indsamlingen – og hvilke, der ikke er.
Uigenkaldelig af-identificering af persondata, så en fysisk person ikke længere kan identificeres via pågældende data.
Kryptering af personoplysninger, så de ikke længere kan identificere en konkret person uden brug af supplerende oplysninger. Disse skal dog opbevares utilgængeligt og separat fra personoplysningerne.
Dataportabilitet betyder, at den registrerede har ret til at få sine registrerede persondata udleveret i et struktureret, almindelig anvendt og maskinlæsbart format enten til sig selv eller til en anden dataansvarlig. Det gælder dog kun ved samtykke eller kontrakt, og når databehandlingen er automatisk.
Et brud på sikkerheden, der medfører, at persondata går tabt, bliver utilgængelig, tilintetgjort, ændret, offentliggjort, videregivet eller på anden vis bliver tilgængelig for uvedkommende. Dette kan fx være en ulovlig ændring, videregivelse af data eller hacking.
En cookie er en lille tekstfil, der indhenter data om en bruger ved dels at lagre og senere tilgå allerede lagrede oplysninger på brugerens pc, smartphone eller tablet.
Databeskyttelse gennem design er, når databeskyttelse er tænkt ind fra starten i en given aktivitet eller i et (nyt) IT-system, så det også bliver en integreret del af alle relevante processer.
Databeskyttelse gennem standardindstillinger handler om, at kun nødvendige personoplysninger indsamles og behandles til ét konkret formål. Er det fx nødvendigt at registrere fødselsdato for at kunne udsende et nyhedsbrev?
I skal som virksomhed have tekniske og organisatoriske foranstaltninger, som passer med den risiko (høj, middel, lav) som behandlingsaktiviteten udgør – specielt ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet.
Profilering er en automatisk behandling af personoplysninger, ofte med det formål at kortlægge en given persons forbrugs- og/eller adfærdsmønster med henblik på mere målrettet markedsføring, som fx brug af cookies til at registrere interesse for et givent produkt.
Datatilsynet er både kontrol- og tilsynsmyndighed, men fungerer også som klageinstans ift. enkeltpersoner. Desuden arbejder de også med information og vejledning om datasikkerhed og lovgivning på området mm.
Datatilsynet fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder reglerne i databeskyttelsesforordningen, databeskyttelsesloven og retshåndhævelsesloven mv. – og de udfører både planlagte og ad hoc tilsyn.
De har hjemmel til både at begrænse og i værste fald forbyde jeres behandling af persondata, hvis de vurderer, at den ikke er i overensstemmelse med GDPR.
Datatilsynet har en række sanktionsmuligheder overfor overtrædelser af GDPR i form af advarsler og kritiske udtalelser om virksomheden til pålæg om at rette op på forholdene og egentlig politianmeldelse med risiko for bødestraf.
Hvis I som virksomhed bruger underleverandører som fx en databehandler eller en underdatabehandler, har I som dataansvarlig pligt til at føre tilsyn med, at de overholder reglerne.
Desuden kan I selv blive udsat for tilsyn fra fx Datatilsynet, der fører tilsyn med, at myndigheder, virksomheder og andre dataansvarlige og databehandlere overholder GDPR-reglerne. De bruger overordnet to typer tilsyn:
Planlagte tilsyn
Tilsyn, der er den del af den årlige tilsynsplanlægning, der både omfatter generelle tilsyn, samt tilsyn med fokus på specielle emner eller typer af fx dataansvarlige.
Ad hoc tilsyn
Iværksættes som følge af konkrete hændelser, som Datatilsynet bliver opmærksom på selv, eller hvor de får tips fra borgere og/eller pressen.
Alle kan anmelde en virksomhed, der ikke lever op til GDPR. Datatilsynet er den øverste myndighed i Danmark, der fører tilsyn med virksomheder, ligesom de laver bødepålæg.
Hvis I har haft et databrud, og persondata er blevet kompromitteret, skal Datatilsynet orienteres indenfor 72 timer af den dataansvarlige. Du finder en trin-for-trin guide til anmeldelse her.
Virksomheden kan få bøder, der findes i to kategorier afhængigt af omfang og grad af overtrædelsen. I første kategori er bøden op til € 10 mill. eller 2 % af den globale omsætning, alt efter hvad der er højest. I den anden kategori er niveauerne € 20 mio. eller 4 % af omsætningen.
I Danmark kan Datatilsynet ikke selv give bøden, men skal først politianmelde virksomheden. Det betyder til gengæld, at virksomheden risikerer stor presseomtale, selvom sagen ender uden bøde.
GDPR er en EU-forordning, og gælder i alle EU-lande for samtlige borgere og virksomheder. Også virksomheder udenfor EU, der handler med borgere og/eller virksomheder i EU, er underlagt GDPR.
Har I afdelinger i flere EU-lande, er det som udgangspunkt jeres hovedkontor for moderselskabet (hovedvirksomheden), der er GDPR-ansvarlig.
Træffes beslutninger om GDPR i en anden del af virksomheden, er det dog denne afdeling, der i GDPR-sammenhæng er hovedvirksomheden.
I dag behandles mange data i tredjelande uden for EU, og her gælder særlige regler. Er landet af EU-Kommissionen vurderet sikkert, kan data uden tilladelse overføres, men er landet stemplet usikkert, er der en række krav. Du kan læse mere her.
Indtil for nylig havde flere lande som USA, Canada og Japan særordninger, og i USA hed den EU-U.S. Privacy Shield. Her kunne amerikanske virksomheder tilmelde sig et selvcertificeringssystem, så europæiske virksomheder frit kunne sende persondata til dem.
Men EU-domstolen har i sommeren 2020 erklæret, at denne mulighed er ulovlig, fordi der ikke er nok beskyttelse af personers data i USA. Så pt er det usikkert hvilken hjemmel, der skal afløse den hidtidige ordning.
Indtil videre kan I som virksomhed eventuelt overveje at bruge Kommissionens Binding Contracts.