Lidt fact om GDPR

Digital Single Market

GDPR udspringer af EU's strategi kaldet Digital Single Market. Hele ideen er at harmonisere medlemslandenes individuelle digitale markeder til et fælles marked. EU vurderer, at det på årlig basis vil kunne give 415 billioner Euros til EU's fælles økonomi og skabe tusindvis af nye arbejdspladser. Faktisk er de mange medlemslandes forskellige digitale regelsæt en stor barriere for fri digital handel indenfor EU.

EU skønner, at i øjeblikket er det kun 7% af EU's små- og mellemstore virksomheder, som sælger over grænserne. Et fælles regulativ skal afhjælpe dette og skabe et fælles online digitalt marked. Derfor vil regulativet for mange virksomheder være en stor fordel i deres fremtidige digitale handel med produkter og services.

Data håndteret uden for EU

Ifølge EU's Data Protection Direktiv, som gælder for alle EU's medlemslande, så skal man tage specielle forholdsregler, når man flytter person data til lande udenfor EU, og som ikke overholder EU's standarder for databeskyttelse. Direktivet foreskriver, at persondata kun kan flyttes til lande udenfor EU/EEA, når en tilstrækkelig grad af databeskyttelse er garanteret. Der findes dog flere undtagelser til denne regel.

Databeskyttelse

Kernen i forordningen handler om at beskytte personlige oplysninger, og om hvordan man undgår, at de oplysninger, man som virksomhed har om sine kunder, klienter eller medarbejdere, ikke falder i de forkerte hænder. Ideen med GDPR er, at man skal sikre, at persondata kun bliver indsamlet, behandlet og lagret under strenge betingelser og for lovlige formål. Organisationer som indsamler og behandler dine personlige informationer skal altså beskytte dem mod misbrug samt respektere særlige betingelser.

Data Protection Officer (DPO)

Det er ikke alle organisationer, som skal have en DPO. Som udgangspunkt gælder det for:

  • Alle offentlige myndigheder (undtagen domstole)
  • Organisationer, hvis kerneforretning omhandler behandling af persondata som nødvendiggør systematisk og regelmæssig overvågning af de registrerede personer.
  • Organisationer, hvis kerneforretning omhandler behandling af "særlige kategorier af oplysninger" om registrerede, hvilket blandt andet omfatter helbredsoplysninger, etnicitet, politiske-, fagforeningsmæssige- eller religiøse tilhørsforhold og seksuelle forhold.

Selv om ens organisation ikke er omfattet af ovenstående krav, så giver det stadig mening at have en DPO. Selv om virksomheden ikke skal have en DPO, så skal den fortsat efterleve de lovmæssige krav til databeskyttelse. Med en DPO ved man, hvem der har det overordnede ansvar, kompetencen og ressourcerne tilknyttet virksomheden håndtering af databeskyttelse.

 

Straf og sanktioner

Med indførelsen af GDPR sker der det, at organisationer og virksomheder risikerer markante straffe og sanktioner, hvis de ikke lever op til de gældende regler.

Artikel 83 omtaler administrative bøder på op til 10.000.000 EUR, eller hvis det drejer sig om en virksomhed, med op til 2 % af dens samlede globale årlige omsætning hvis overtrædelsen skyldes:

  • den dataansvarliges og databehandlerens forpligtelser
  • certificeringsorganets forpligtelser
  • kontrolorganets forpligtelser

Administrative bøder på op til 20.000.000 EUR, eller hvis det drejer sig om en virksomhed, med op til 4 % af dens samlede globale årlige omsætning hvis overtrædelsen skyldes:

  • de grundlæggende principper for behandling, herunder betingelserne for samtykke
  • de registreredes rettigheder
  • overførsel af personoplysninger til en modtager i et tredjeland eller en international organisation
  • eventuelle forpligtigelser i medfør af medlemsstaternes nationale ret
  • manglende overholdelse af et påbud eller en midlertidig eller definitiv begrænsning af behandling eller tilsynsmyndighedens suspension af overførsel af oplysninger

Ovenstående er på ingen måde fuldt dækkende information om General Data Protection Regulation. Vi opfordrer derfor til, at man søger yderligere information fra diverse relevante hjemmesider. EU's hjemmeside om emnet findes her: http://ec.europa.eu/justice/data-protection/index_en.htm