1. Maj 2018, trådte GDPR i kraft.
GDPR handler først og fremmest om sikring af private enkeltpersoner som kunder, ansatte og deres personoplysninger. GDPR er vældig omfattende og gennemgående.
Mange mindre virksomheder har haft svært ved at følge med til trods for at loven blev vedtaget 2 år forinden.
Dog er de fleste aktøre i starten af 2020 efterhånden med.
GDPR kræver at man som virksomhed, skal have en system, der håndterer personoplysninger. Derudover skal man kunne oplyse brugerne om deres rettigheder, hvad der bliver samlet af data, hvor længe dataene bliver opbevaret, og i de fleste tilfælde hvad disse data bliver brugt til.
Det sidste har vist sig svært for de store internetgiganter og sociale medier.
Hvis en bruger i systemet, som eks. en kunde, søger indsigt i de persondata der bliver opbevaret af virksomheden, skal virksomheden kunne dokumentere, udlevere og slette de data.
I Danmark er det Datatilsynet der håndterer håndhævelsen af GDPR.
Grundlæggende handler GDPR, som i daglig tale i Danmark kaldes persondataloven, om ansvarlig håndtering af persondata.
GDPR er også et værn der sikrer at persondata ikke tilfældigt ligger i gamle systemer, i tilfælde af hacking eller lignende.
Det Generiske Databeskyttelsesforordning (GDPR) er et EU-direktiv, der har til formål at styrke og harmonisere databeskyttelse for individer inden for EU. Det trådte i kraft den 25. maj 2018 og erstattede den tidligere EU-lov om databeskyttelse, den såkaldte Databeskyttelsesdirektiv fra 1995.
Formålet med GDPR er at give individerne mere kontrol over deres personlige oplysninger og at sikre, at de behandles på en ansvarlig og transparent måde. GDPR gælder for alle virksomheder, organisationer og offentlige institutioner, der behandler personlige oplysninger om EU-borgere, uanset om behandlingen finder sted inden for EU eller udenfor EU.
GDPR indeholder en række nye regler og bestemmelser, som har til formål at øge beskyttelsen af individers personlige oplysninger. Dette omfatter bl.a.:
- Det såkaldte “behandlingsgrundlag”, der fastlægger, hvilke formål der kan begrunde behandling af personlige oplysninger. Behandlingsgrundlaget kan være samtykke, lovmæssig forpligtelse, legitim interesse eller andre formål, der er beskrevet i GDPR.
- Det såkaldte “databeskyttelsesprincip”, der fastlægger, at personlige oplysninger kun må behandles på en lovlig, fair og transparent måde, og kun til de formål, der er angivet i behandlingsgrundlaget.
- Det såkaldte “retten til at blive glemt”, der giver individerne ret til at få deres personlige oplysninger slettet, hvis der ikke længere er nogen legitim grund til at behandle dem.
- Det såkaldte “retten til dataportabilitet”, der giver individerne ret til at få deres personlige oplysninger udleveret i et struktureret, almindeligt anvendt og maskinlæsbart format, så de kan overføres til en anden databehandler.
- Det såkaldte “retten til at gøre indsigelse”, der giver individerne ret til at gøre indsigelse mod behandling af deres personlige oplysninger, hvis de mener, at behandlingen ikke er lovlig eller er i strid med deres rettigheder.
På Datatilsynets hjemmeside findes en liste over myter, der kan svare på nogle af de spørgsmål, mange kan sidde med.