GDPR: Hvad er persondata-forordningen GDPR (på 1 minut)?

By 
Henning Mortensen
October 20, 2019

Alle taler om disse fire bogstaver, og det fyger med rygter om store bøder for at overtræde det. Men hvad er GDPR egentlig? Det ser vi på i denne lille artikel.

GDPR står for General Data Protection Regulation. Det er en fælles europæisk retsakt, som adresserer, hvornår og hvordan en virksomhed eller en myndighed må behandle oplysninger om personer. Når man indsamler, bruger eller sletter f.eks. navn, e-mailadresse eller telefonnummer for en kunde, en borger eller en ansat, skal dette altså ske på en måde, hvor reglerne i GDPR overholdes. Ellers kan man få en bøde.

GDPR indhold

GDPR kan deles op i en række hovedområder:

  • Først er der en række helt grundlæggende principper for behandling, som altid skal efterleves. Her fastslås det f.eks., at man altid skal have et formål med at behandle personoplysninger, og at personoplysningerne skal slettes, når formålet er opfyldt.
  • Herefter skal man afgøre, hvordan ens behandling kan gøres lovlig. Udgangspunktet er nemlig, at det er ulovligt at behandle personoplysninger, med mindre man kan finde en lovlig grund, som f.eks. er, at man har lavet en kontrakt med den data vedrører, eller at man har bedt vedkommende pænt om lov.
  • For det tredje giver GDPR den, som personoplysningerne vedrører, en række rettigheder, som man skal sikre sig, kan udleves. Det er f.eks. retten til at få lov til at se, hvilke oplysninger der behandles til hvilke formål og retten til at få dem slettet, hvis ikke der er anden lovgivning, som forhindrer dette.
  • Videre findes en række forpligtelser som pålægges dem, der ønsker at behandle personoplysningerne. Det er f.eks. krav om, at man skal behandle personoplysningerne på en sikker måde, at man skal styre de partnere man har til at behandle oplysningerne, og at man skal fortælle Datatilsynet det, hvis man har tabt personoplysninger og fået gjort dem tilgængelige for uvedkommende.
  • For det femte er der en række bestemmelser, som drejer sig om under hvilke forudsætninger, man kan få behandlet personoplysninger udenfor EU.
  • Endelig er der også en række regler om, hvordan de europæiske tilsyn skal indrette sig og samarbejde. Det er i denne del af reglerne, at det fastslås at der kan gives bøder på op til 4% af omsætningen eller 20 mio. EUR, hvilket af de to beløb der er højest, hvis man ikke efterlever reglerne.

To regelsæt set fra dansk perspektiv

GDPR fik virkning den 25. maj 2018. Ca. samtidig blev også den danske lov, som supplerer GDPR, Databeskyttelsesloven, vedtaget. Der er altså som udgangspunkt to love man skal forholde sig til, når man behandler personoplysninger: GDPR og Databeskyttelsesloven.

GDPR er seneste skud på stammen

Det er imidlertid ikke nyt, at der findes regler for behandling af personoplysninger. I 1995 blev det europæiske persondatadirektiv vedtaget, som udgjorde grundlaget for persondataloven fra 2000. Forinden EU lavede harmoniserende retsakter, havde vi i Danmark de såkaldte registerlove, som omfattede henholdsvis offentlige og privates behandling af personoplysninger.

Ud over de generelle regler for behandling af personoplysninger, som er dækket af GDPR og Databeskyttelsesloven, findes der også særlige regler i sektorlovgivning – f.eks. i Sundhedsloven.

Flere blogs indenfor området

Se alle blogs

Sådan mestrer du DPIA-processen

Få styr på DPIA-processen: 7 trin til succesfuld implementering af nye systemer

Tærskel- og konsekvensanalyse: Indledende screening vs dybdegående vurdering