Learn About GDPR and Website Compliance


Hvad er GDPR?

Hvad står GDPR for?


GDPR (generel forordning om databeskyttelse) er den mest markante ændring i databeskyttelse i årtier. Forordningen kræver at virksomheder beskytter personoplysninger og privatlivets fred på vegne af EU-borgere. Det indfører skrappere bøder for manglende overholdelse og brud, og giver folk flere muligheder for at indhente deres persondata. Enhver virksomhed, der gør har med EU borgere at gøre skal være i overensstemmelse med GDPR.

Hvorfor GDPR?


Det overordnede formål med GDPR er at give borgerne kontrol over deres personoplysninger og til at forenkle de lovgivningsmæssige regler for EU. GDPR er en forordning og erstatter et direktiv (databeskyttelsesdirektivet). Som en forordning forenet GDPR reglerne for EU og mindsker administration samt uoverensstemmelser blandt lokale love. Direktiver, i modsætning til forordninger, kan implementeres forskellige i de enkelte medlemslande og kan derfor afvige fra land til land.

Hvem gælder GDPR for?


Mens forordningen stammer fra EU, så gælder det også for virksomheder uden for EU.

Under det tidligere databeskyttelsesdirektiv var en virksomhed omfattet af databeskyttelseslovgivningen, hvis den var placeret i et EU-land eller har brugt udstyr i et EU-land til at behandle data.Med de nye regel gælder det også virksomheder udenfor EU der tilbyder varer/tjenesteydelser eller overvåger personernes adfærd i EU. Det er en bred udvidelse af de tidligere krav og der vil påvirke mange flere organisationer over hele kloden.

Hvad er straffen?


GDPR sanktioner kan beløbe sig til 20 mio EUR eller 4 procent af den årlige omsætning (alt efter hvad er størst) af organisationen årlige omsætning.

Desuden er det for første gang muligt at rejse gruppesøgsmål.

Hvad er personoplysninger?


Personlige oplysninger er oplysninger, der vedrører en identificeret eller identificerbar individ. Forskellige stykker information der er indsamlet og som tilsammen kan føre til identifikation af en bestemt person, udgør også personoplysninger.

Personlige data, der er de-identificerede, krypterede eller pseudonymiserede, men kan bruges til at re-identificere en person forbliver personoplysninger og er omfattet af loven. Personlige data, der er gjort anonyme på en sådan måde, at den enkelte ikke er eller ikke længere kan identificeres anses ikke længere for personoplysninger. For data, der er anonymiseret, skal anonymisering være uoprettelige.

Eksempler på persondata omfatter navn, efternavn, en e-mail-adresse såsom [email protected], en hjemmeadresse, id-kort nummer, cookie-id, IP (Internet Protocol). Eksempler på data ikke anses persons data omfatter et CVR-nummer, en e-mail-adresse som [email protected] og anonymiserede data.

Overførsel af data udenfor EU


Personlig data kan sendes ud af det Europæiske Økonomiske Samarbejdsområde (EØS), som omfatter alle EU-lande og ikke-EU-landene Island, Liechtenstein og Norge til tredjeparts-lande uden yderligere sikkerhedsforanstaltning, når Europa-Kommissionen har erkendt at landet har tilstrækkelig beskyttelse. Lande anerkendt for at have tilstrækkelig beskyttelse er Andorra, Argentina, Canada (kommercielle organisationer), Færøerne, Guernsey, Israel, Isle of Man, Jersey, New Zealand, Schweiz, Uruguay og USA (begrænset til Privacy Shield) som giver tilstrækkelig beskyttelse. Samtalerne er i gang med Japan og Sydkorea.

Hvem håndhæver GDPR?


Håndhævelsen af GDPR sker gennem databeskyttelsesmyndigheder (DPA’er), som giver ekspertrådgivning om databeskyttelse og håndterer klager ved overtrædelser af GDPR. Der er én i hver EU-medlemsstat.

Det vigtigste kontaktpunkt for spørgsmål om databeskyttelse er DPA’er i det enkelte EU-medlemsstat, hvor din virksomhed / organisation er baseret. Men hvis din virksomhed / organisation behandler data i forskellige EU-lande, eller er en del af en gruppe af selskaber, der er etableret i forskellige EU-medlemsstater, kan det vigtigste kontaktpunkt være en DPA i en anden EU-medlemsstat.

Har vi brug for en databeskyttelsesansvarlig?


Din virksomhed / organisation har brug for at udpege en DPO, uanset om det er en controller eller en processor, hvis dens kerneaktiviteter involverer behandling af følsomme oplysninger i stor skala eller involverer regelmæssig og systematisk overvågning af enkeltpersoner. Det inkluderer alle former for sporing og profilering på internettet, herunder adfærdsbaseret annoncering.

Den databeskyttelsesansvarlige kan være ansat i din organisation eller udliciteres eksternt på grundlag af en tjeneste kontakt. En DPO kan være en enkeltperson eller en organisation.

Det er værd at nævne, at GDPR er baseret på en risikobaseret tilgang og organisationer anbefales til at gennemføre beskyttelsesforanstaltninger, der svarer til det niveau af risiko for deres databehandlingsaktiviteter.

Gælder for små og mellemstore virksomheder?


Ja, GDPR afhænger ikke af størrelsen af ​​din virksomhed / organisation, men om karakteren af ​​dine aktiviteter. Aktiviteter der udgør store risici for personers rettigheder, uanset om de udføres af en SMV eller en stor virksomhed, kan udløse sanktioner. Dog kan der være nogle forpligtelserne i GDPR, som ikke gælder for alle små og mellemstore virksomheder.

For eksempel har virksomheder med færre end 250 ansatte ikke behov for at føre registre over deres behandlingsaktiviteter, medmindre behandlingen af dem er en regelmæssig aktivitet eller udgør en trussel mod den enkeltes rettigheder og friheder.

På samme måde vil små og mellemstore virksomheder kun skulle udpege en databeskyttelsesansvarlig, hvis behandlingen af person data er deres hovederhverv, og det udgør konkrete trusler mod den enkeltes rettigheder og friheder (såsom overvågning af enkeltpersoner eller behandling af følsomme oplysninger eller straffeattester) især fordi det er gjort i stor skala.

Hvad skal vi gøre i tilfælde af overtrædelse af data?


Et brud af data opstår, når de oplysninger, som din virksomhed / organisation er ansvarlig for er udsat for et sikkerhedsbrud der resulterer i brud på personlig data, tilgængelighed eller integritet. Hvis det sker, og det er sandsynligt, at overtrædelsen udgør en risiko for den enkeltes rettigheder og friheder, og din virksomhed / organisation skal underrette tilsynsmyndigheden uden unødig forsinkelse og senest 72 timer efter at have blevet opmærksom på bruddet. Hvis din virksomhed / organisation er en databehandler, skal de underrette bruddet til den registeransvarlige.

Hvordan kan jeg gøre vores organisation GDPR kompatibel?


Den generelle forordning om databeskyttelse (GDPR) er baseret på en risikobaseret tilgang. Virksomheder / organisationer der behandler personoplysninger opfordres til at gennemføre beskyttelsesforanstaltninger der svarer deres risikobillede.

For eksempel er sandsynligheden for at en virksomhed skal ansætte en databeskyttelsesansvarlig langt højere hvis der processeres store mængder data end hvis der processeres en lille mængde data. Typen af ​​de personoplysninger der behandles spiller ligeledes en rolle. Behandling af en lille mængde data, men af følsom karakter, for eksempel sundhed data, ville kræve strengere foranstaltninger for at efterkomme GDPR.

Hvordan kan jeg gøre en hjemmeside GDPR kompatibel?


Den generelle forordning om databeskyttelse (GDPR) er baseret på en risikobaseret tilgang. Virksomheder / organisationer der behandler personoplysninger opfordres til at gennemføre beskyttelsesforanstaltninger der svarer deres risikobillede.

For eksempel er sandsynligheden for at en virksomhed skal ansætte en databeskyttelsesansvarlig langt højere hvis der processeres store mængder data end hvis der processeres en lille mængde data. Typen af ​​de personoplysninger der behandles spiller ligeledes en rolle. Behandling af en lille mængde data, men af følsom karakter, for eksempel sundhed data, ville kræve strengere foranstaltninger for at efterkomme GDPR.

Er vores hjemmeside berørt af GDPR?


Hvis din organisation / virksomhed interagerer eller gør forretninger med EU-borgere, for eksempel ved at sælge produkter / ydelser eller overvåge individuel adfærd på nettet, så er hjemmesiden berørt af GDPR.

Hvis du bruger tredjeparts værktøjer fra f.eks Google eller Facebook, som indsamler personlige data, så er du nødt til at indsamle et gyldigt samtykke, før der placeres cookies eller tracking teknologi på en computer.

Hvis du har kontakt formularer eller nyhedsbreve og indsamler personligdata fra EU-borgere, e.g. personlige email adresser, så er du også berørt af GDPR.

Er du opmærksom på hvilke trackere du har på din hjemmeside?


Mange websteder bruger avanceret teknologier, herunder cookies, pixel og tags, til at annoncere, indsamle statistik og udføre markedsføringskampagner. Under GDPR, er du ansvarlig for at levere varsel og opnå samtykke for hver enkelt af disse teknologier. Sørg for at gøre en web revision af din hjemmeside og se hvilke trackere du har aktiveret og kørende.

Hvis du er usikker på, hvilke trackere du har på din hjemmeside, så kør en omgang med Secure Privacy værktøjet gratis. Det vil give dig et resultat inden for 5 minutter eller mindre.

Indsamler du samtykke på den rigtige måde?


Der er specifikke krav til hvornår et samtykke er gyldigt. Samtykket skal være informeret, entydig, eksplicit, frit givet, specifik og være muligt at trække tilbage. For at et samtykke skal være gyldigt, skal den enkelte modtager have følgende oplysninger:

  • identiteten på organisationen;
  • formålet med opsamling af data;
  • hvortil de data behandles og opbevares;
  • mulighed for at trække den givne samtykke tilbage (for eksempel et unsubscribe link i slutningen af ​​en e-mail);
  • hvis samtykke er relateret til en international overførsel, de mulige risici ved dataoverførsler til tredjelande.
Nedenfor er et eksempel hvordan du kan kommunikere og modtage et gyldigt samtykke:


  1. Samtykket skal være bekræftende, specifik og utvetydig.
  2. Der skal være oplysninger om modtagerne og hvem som er data controller.
  3. Formålet med behandling og meddelelse af profilering skal nævnes
  4. Varighed skal være inkluderet
  5. Hvordan man trækker samtykke tilbage skal være nævnt.
  6. Sidst men ikke mindst skal muligheden for at klage være beskrevet
  7. Kan aftage

Er dine privatlivs bannere bekræftende?


Den standardtekst sætning, der er inkluderet i Cookie bekendtgørelser er ”ved at bruge dette site, dine accepterer cookies” ikke tilstrækkelig under GDPR, da det tyder kun et stiltiende samtykke, er tvetydig og generisk. Du skal have granulare niveauer af kontrol med separate tilladelser til sporing og analyse cookies.

Har du gjort det nemt at trække samtykke tilbage?


Det skal være lige så let at trække et samtykke tilbage, som at give det. Hvis et samtykke trækkes tilbage, så må din virksomhed / organisation ikke længere behandle data fra vedkommende. I vil have behov for at sikre, at data er blevet slettet, medmindre det kan behandles på en anden juridisk grund (for eksempel opbevaring eller for at opfylde kontrakten).

Eksempel: Du leverer et online nyhedsbrev. Din klient giver deres samtykke til at abonnere på dit online nyhedsbrev, der giver mulighed for at behandle data relateret til deres interesser, opbygge en profil og sende nyhedsbreve.

Et år senere, meddeler de, at de ikke længere ønsker at modtage online nyhedsbrevet. Du skal herefter slette alle personoplysninger vedrørende den pågældende person indsamlet i forbindelse med nyhedsbrevet, herunder profil(erne), der vedrører den pågældende person.

Har du navngivet 3. parts plugins, der behandler data?


Privatlivs bannere skal klart identificere hver part der giver tilladelse. Det er ikke nok at angive kategori navn, såsom analytics, men bør omfatte identiteten af ​​den organisation, f.eks Google, som behandler data.

Hvordan kan besøgende og kunder kontakte dig for personlig data?


Enkeltpersoner kan kontakte din virksomhed / organisation for at udøve deres rettigheder i henhold til GDPR (ret til indsigt, berigtigelse, sletning, portabilitet etc.). Hvor personoplysninger behandles elektronisk, skal din virksomhed / organisation gør det muligt at kontakte og udføre sin anmodning elektronisk.

Din virksomhed / organisation skal svare på deres anmodning uden unødig forsinkelse, og i princippet inden for 1 måned efter modtagelsen af ​​anmodningen.

De kan bede dem om yderligere oplysninger for at bekræfte identiteten af ​​den person, der har fremsat anmodningen. Hvis din virksomhed / organisation afviser anmodningen, så har det ret at underrette personen om grundene herfor og om deres ret til at indgive en klage til Datatilsynet og søge en domstolsprøvelse.

Har du dokumentation for gyldigt samtykke?


GDPR kræver, at du holder dokumentation for samtykke – hvem, hvornår, hvordan og hvad der blev insamlet. God praksis ville være at dokumentere både samtykke og afvist samtykke for besøgende og kunder, når du behandler deres personlige data.

Har du opdateret dine privatlivs politik?


Du bliver nødt til at opdatere dine tilknyttede politikker, f.eks en databeskyttelsespolitik. Det er vigtigt for virksomhederne at have en opdateret og dokumenteret politik på plads for at gøre det muligt for dine medarbejdere, at få en klar forståelse af, hvad der kræves af dem.

Disse politikker kan indeholde oplysninger såsom uddannelsespolitik, informationssikkerhedspolitik, opbevaring af optegnelser procedure, emne adgang anmodningsformularen og procedure, procedure privatliv, international dataoverførsel, dataportabilitet procedure og klageprocedure.

Har du ryddet op dine postlister?


Sørg for at rydde op i dine e-mail databaser. Hvis din database over abonnenter ikke blev indsamlet i henhold til GDPR standarder, så bliver du nødt til at validere at du har modtaget den nødvendige tilladelse. Dette kunne omfatte at sende dem en re-tilladelses mail, så de kan vælge at acceptere. Dette vil give bevis for samtykke og gøre din virksomhed i stand til at sende mails til dine email abonnenter.

Indsamler du for meget information?


GDPR indfører begrebet dataminimering, som kræver at du kun indsamler så mange data som er nødvendig for at kunne udføre en given opgave. Så mens det kan være nemt at tilføje et ekstra felt til at indsamle oplysninger om telefonnummer, køn og placering, så er du nødt til at vurdere, om du har brug for det til at behandle anmodningen. Derudover kan data indsamlet til ét formål ikke bruges til et andet formål uden yderligere samtykke.