GDPR & Grundprincipper
Hvad er GDPR?
GDPR er EU’s direkte gældende regler om databeskyttelse, som i Danmark suppleres af databeskyttelsesloven
(hvordan data om personer må indsamles, behandles og opbevares).
Hvornår gælder GDPR?
GDPR gælder, når der sker enhver form for behandling af personoplysninger om en identificerbar person.
Beskriv Datatilsynets overordnede rolle som myndighed
Datatilsynet er den myndighed, der kontrollerer og sikrer, at GDPR og databeskyttelsesloven overholdes i Danmark.
Forklar de specifikke krav til et gyldigt samtykke.
Gyldigt samtykke kræver frivillighed, klar information, specifikt formål og mulighed for tilbagekaldelse.
Hvad betyder begreberne “Indtænkt databeskyttelse” (Privacy by Design) & “Standardindstillinger” (Privacy by Default)??
Indtænkte databeskyttelse: Databeskyttelse skal tænkes ind fra starten i systemer og løsninger, fx når en app eller database udvikles.
Standardindstillinger: Systemer skal som udgangspunkt være indstillet til højeste beskyttelsesniveau
- kun nødvendige data indsamles
- adgang og deling er begrænset som standard
Hvad er Persondataloven?
Tidligere dansk lov, der regulerede behandling af personoplysninger før GDPR.
Hvornår er en aktivitet omfattet af GDPR?
Når der behandles oplysninger om en identificeret eller identificerbar person.
Fx navn, CPR-nummer, billeder, IP-adresser mv.
Hvilke konkrete ting kan Datatilsynet gøre?
Datatilsynet kan kontrollere, kritisere og udstede påbud eller forbud for at sikre overholdelse af GDPR og databeskyttelsesregler.
Hvordan kan et samtykke tilbagekaldes, og hvad betyder det for den data, der allerede er behandlet?
Samtykke kan frit tilbagekaldes, hvilket stopper fremtidig behandling, men påvirker ikke nødvendigvis allerede lovligt behandlet data.
Hvornår gælder retten til sletning?
En person kan kræve sine oplysninger slettet, når:
- Oplysningerne ikke længere er nødvendige til formålet
- Samtykke trækkes tilbage (og der ikke er andet lovgrundlag)
- Oplysningerne er behandlet ulovligt
Der er pligt til sletning efter lovgivning
Hvad er Dataminimering?
Man må kun indsamle de oplysninger, der er nødvendige - Ikke mere data end formålet kræver
Hvilket regelsæt fastsætter reglerne for, hvordan persondata må behandles i EU?
Databeskyttelsesforordningen
Hvordan håndhæves reglerne for GDPR i Danmark?
Igennem tilsyn, påbud, forbud og i alvorlige tilfælde økonomiske sanktioner og myndigheder skal rette sig efter Datatilsynets afgørelser
Forklar Interesseafvejningsreglen
En regel hvor en dataansvarlig må behandle personoplysninger uden samtykke, hvis virksomhedens legitime interesse vejer tungere end den registreredes interesser eller rettigheder.
Hvad indebærer den registreredes ret til indsigt?
Indsigtsret = retten til at se hvilke persondata der behandles, og hvordan de bruges.
Hvad er Formålsbegrænsning?
Data må kun indsamles til specifikke, saglige og legitime formål - Må ikke genbruges til andre formål uden hjemmel
Hvem er dataansvarlig for at GDPR overholdes?
Den myndighed/virksomhed der bestemmer formål og midler for behandlingen
Hvem udsteder bøder hvis GDPR ikke bliver overholdt?
Datatilsynet kan indstille en sag om bøde, men det er domstolene (strafferetssystemet) der endeligt pålægger og fastsætter bøder
Hvornår kan en virksomhed bruge data uden samtykke?
Når alle tre betingelser er opfyldt:
- Virksomheden har en legitim (lovlig og saglig) interesse
- Behandlingen er nødvendig for at opfylde denne interesse
- Den registreredes interesser eller rettigheder ikke vejer tungere
Hvad er Berigtigelsesret?
Retten til at få rettet eller opdateret forkerte eller ufuldstændige personoplysninger.
Hvad er Opbevaringsbegrænsning?
Personoplysninger må ikke gemmes længere end nødvendigt - Skal slettes eller anonymiseres, når formålet er opfyldt
Hvad er forskellen på følsomme og fortrolige oplysninger?
Følsomme oplysninger: Særlige datatyper med højt beskyttelsesniveau (fx helbred, religion, politik)
Fortrolige oplysninger: Juridisk kategori i dansk ret om hemmeligholdelse og tavshedspligt
Hvem håndhæver reglerne indenfor GDPR i Danmark?
GDPR håndhæves gennem Datatilsynet
Kom med eksempler på hvornår en virksomhed kan bruge data uden samtykke
Forebyggelse af svindel
Sikkerhedsovervågning (fx IT-sikkerhed)
Direkte markedsføring (i visse tilfælde)
Hvad indebærer retten Dataportabilitet?
Retten til at få sine data udleveret digitalt og evt. overført til en anden udbyder.