EU GDPR

Bøder kan beløbe sig til 4% af den årlige globale omsætning for overtrædelse af GDPR eller €20 millioner. Dette er den maksimale bøde, der kan pålægges for de mest alvorlige overtrædelser, f.eks. ikke at have tilstrækkelig kundesamtykke til at behandle data eller krænke kernen i "Privacy by Design"-konceptet.

Personoplysninger er enhver information, der kan bruges til direkte eller indirekte at identificere en person, såsom et navn, et foto, en e-mailadresse, bankoplysninger, indlæg på sociale netværk, medicinske oplysninger eller en computer-IP-adresse.

Samtykke skal gives i en forståelig og let tilgængelig form med formålet med databehandlingen knyttet til dette samtykke. Det skal være entydigt, let identificerbart og bruge clear og let forståeligt sprog. Det skal også være lige så nemt at trække samtykke tilbage, som det er at give det. Når der behandles følsomme personoplysninger, vil intet mindre end "opt-in" være tilstrækkeligt.

Hvis den registrerede er under 16 år, kræves der forældresamtykke for at behandle barnets personoplysninger. Medlemsstaterne kan sænke alderen for forældresamtykke, men ikke lavere end 13 år.

DPO'er skal udnævnes i tilfælde af (a) offentlige myndigheder, (b) organisationer, der engagerer sig i storskala eller systematisk overvågning af store data, eller (c) organisationer, der deltager i massebehandling af følsomme personoplysninger (Art. 37). Hvis din organisation ikke falder ind under en af disse kategorier, behøver du ikke at udnævne en DPO.

Underretning om brud

I henhold til GDPR vil underretning om brud blive obligatorisk i alle medlemsstater, hvor et databrud sandsynligvis vil "resultere i en risiko for rettighederne og frihederne for enkeltpersoner." Underretning skal ske inden for 72 timer efter at være blevet opmærksom på bruddet. Databehandlere vil også være forpligtet til at underrette kontrolinstanserne "uden unødig forsinkelse" efter først at være blevet opmærksom på et databrud.

Ret til adgang

De registrerede har ret til at få bekræftelse fra datakontrolleren om, hvorvidt personoplysninger vedrørende dem er blevet behandlet, hvor og med hvilket formål. Datakontrolleren skal give en kopi af personoplysningerne, gratis, i et elektronisk format.

Ret til at blive glemt

Kendt som dataudryddelse, giver retten til at blive glemt den registrerede ret til at få datakontrolleren til at slette deres personoplysninger, stoppe yderligere udbredelse af dataene og potentielt få tredjeparter til at stoppe behandlingen af dataene. Dataene må ikke længere være relevante for de oprindelige formål med behandlingen, eller den registrerede trækker samtykke tilbage. Det skal også bemærkes, at denne ret kræver, at kontrolinstanserne sammenligner den registreredes rettigheder med "den offentlige interesse i tilgængeligheden af dataene", når sådanne anmodninger overvejes.

Dataportabilitet

Den registrerede kan modtage de personoplysninger, der vedrører dem, som de tidligere har givet i et "almindeligt anvendt og maskinlæsbart format" og har ret til at overføre disse data til en anden kontrolinstans.

Privatliv ved design

Databeskyttelse skal være i kernen af de teknologiske systemer, som kontrolinstanserne og databehandlerne bruger til at håndtere de registreredes oplysninger, ikke blot en tilføjelse.

De oplysninger, der skal stilles til rådighed for en registreret, når data indsamles, er blevet skarpt defineret og inkluderer:

• Identiteten og kontaktoplysningerne for kontrolinstansen og DPO
• Formålene med behandlingen, som de personoplysninger er beregnet til
• Det juridiske grundlag for behandlingen
• Hvor det er relevant, de legitime interesser, der forfølges af kontrolinstansen eller en tredje part
• Hvor det er relevant, modtagerne eller kategorierne af modtagere af de personoplysninger
• Den periode, hvor de personoplysninger vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at bestemme denne periode
• Eksistensen af retten til adgang, berigtigelse eller sletning af de personoplysninger
• Retten til dataportabilitet
• Retten til at trække samtykke tilbage til enhver tid
• Retten til at indgive en klage til en tilsynsmyndighed

Vigtigt er, at hvor dataene ikke er blevet indhentet direkte fra den registrerede (måske ved at bruge en tredjepartsliste), varierer listen og inkluderer, hvilken kilde de personoplysninger stammer fra:

• Eksistensen af enhver profilering og meningsfulde oplysninger om den involverede logik samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.
• GDPR repræsenterer et betydeligt problem for marketingfolk, der får data fra tredjepartslister.

1. Sæt en proaktiv plan i værk for din GDPR-overholdelse.
2. Gennemgå privatlivsmeddelelser og politikker, og sørg for, at de opfylder GDPR-overholdelsesniveauer.
3. Forbered en plan i tilfælde af et sikkerhedsbrud.
4. Revider dine samtykker.
5. Gør markedsføringssamtykker til opt-in.
6. Gennemgå den legitime interesse del af direktivet med din juridiske rådgiver for at sikre, at det dækker din organisation for brugen af køberens data til at behandle og administrere den ordre.
7. Gør dit samtykkesprog let at finde og læse om brugen af personlige data.
8. Opret en handlingsplan for anmodninger fra registrerede til din organisation om brugen af deres data.
9. Bliv ansvarlig for din overholdelse.
10. Uddan dine medarbejdere.
11. Hav clear processer på plads, skriftlige og reviderede.
12. Udnævn en DPO, hvor det er nødvendigt.
13. Sørg for, at dine controller-/behandlingspartnere er compliant.

GDPR gælder for organisationer, controllere og behandlere, der er placeret inden for og uden for EU, som tilbyder varer eller tjenester til EU-dataemner. GDPR gælder også for organisationer, såsom marketingorganisationer eller dem, der leverer eller bruger data, der overvåger adfærden hos EU-emner.

En controller bestemmer formålene, betingelserne og midlerne til behandling af personlige data, mens processoren behandler de personlige data på vegne af controllere.