GDPR

GDPR fem år: En god fødselsdag

I PROSA mener formand Niels Bertelsen, at der er god grund til at fejre GDPR-reglerne.

– GDPR-reglerne har strammet op til gavn for alle. Det er en beskyttelse, som virker, fastslår han.

 

 

Der var et før og et efter, at GDPR-regler blev vedtaget og rullet ud 25. maj 2018. Forskellen bestod langt hen ad vejen i, at bøder blev af en størrelse, så virksomheder og organisationer er nødt til at tage dem alvorligt. Og tager dem alvorligt.

– Meget af personbeskyttelsen omkring data, indsamling og videregivelse af data, opbevaring af data, brug af data og salg af data fandtes måske allerede, men sanktionerne og bødestørrelserne var så små, at det næsten var billigere ikke at følge reglerne, siger Niels Bertelsen, formand for PROSA siden 2009.

Derfor mener formanden også, at det er en fødselsdag, som er værd at fejre – ikke bare i PROSA, men i hele samfundet.

– Det er en bedre beskyttelse af os alle. Beskytte, slette og minimere. Det giver os bedre rettigheder og skaber et transparent system omkring følsomme persondata. Det øger tilliden i samfundet. Det har startet en stor folkelig debat og forståelse af, hvad data er, og at vi skal passe på dem. Så ja, jeg synes virkelig, at der er grund til at markere dagen og ønske hinanden tillykke. Det er naturligvis ikke alt, som er nået. Men vi er nået et godt stykke af vejen, fortæller han.

Vores børns persondata flyder frit til USA og kan benyttes og sælges videre til alt fra virksomheder til folk med en lyssky dagsorden.
- Niels Bertelsen, formand PROSA
 

 

Chromebook suger data til USA

Formanden henviser til, at der stadig findes smuthuller eller brud på reglerne eller måden at sikre borgere på. Som eksempelvis Googles Chromebook, hvor data sendes til USA, og flere skoler herhjemme stadig gør brug af netop Chromebook.

– Vores børns persondata flyder frit til USA og kan benyttes og sælges videre til alt fra virksomheder til folk med en lyssky dagsorden. Det er ikke i orden, og den debat kunne vi godt tænke os blev rejst og taget mere alvorligt i Google og kommunerne herhjemme, advarer Niels Bertelsen.

 

Bøvlet bliver mindre

Men det skal ikke ændre ved, at GDPR-fødselsdagen ifølge formanden burde være en fest for os alle.

– Det er nok rigtigt, at mange sukker dybt, når de hører om GDPR, eller synes, det er enormt bøvlet. Men det er faktisk en beskyttelse af alle og en hjælp, i forhold til at vi kan vide og styre, hvordan vores data benyttes, og det glemmer man måske, siger Niels Bertelsen.

– Data kan bruges og misbruges, selvom det kan virke nok så uskyldigt, når vi oplyser om dem. Så der er brug for fælles retningslinjer, regler og sanktioner, der kan mærkes selv for techgiganter. Og så skal vi heller ikke glemme, at GDPR også har skullet operationaliseres herhjemme, og det har måske virket tungt i starten, men det bliver også i stigende grad tilrettet, så det ikke belaster virksomheder og organisationer i for stor grad. Opfattelsen af, at det er enormt bøvlet, vil nok blive stadig mindre af den grund.

 

Læs også de to interviews med henholdsvis forsker Hanne Marie Motzfeldt og Martin Glarvig, grundlægger og DPO for Geomatic, om oplevelsen af GDPR:


Prosabladet: Complianceregulering er kommet for at blive

Prosabladet: GDPR har skabt mere lige konkurrencevilkår
 

 

5 vigtige årstal

1980: OECD's retningslinjer for beskyttelse af privatlivets fred bliver de første internationalt aftalte principper for beskyttelse af privatlivets fred. De blev opdateret i 2013.

1995: Retshåndhævelsesdirektivet vedtages: ”Direktiv (EU) 2016/680 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i forbindelse med strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner og om fri udveksling af sådanne oplysninger”.

2002: Krav om accept af cookies ind­føres med EU's ePrivacy Directiv, direktiv om beskyttelse af privatlivets fred. Vigtigt juridisk instrument for privatlivets fred i den digitale tidsalder og mere specifikt for kommunikationshemmeligheden og reglerne om sporing og overvågning.

2014: EU-Domstolen fastslår, at enkeltpersoner har ret til at anmode om at få fjernet visse søgeresultater – "retten til at blive glemt". En tysk domstol søgte efterfølgende råd hos EF-Domstolen om balancen mellem retten til at blive glemt og retten til ytrings- og informationsfrihed.

2016: EU vedtager den nye person­dataforordning (GDPR).

2018: GDPR indgår i EU-landenes egne lovgivninger på området, dog med plads til supplerende national lovgivning på en række områder.
 

GDPR står for:

General Data Protection Regulation og gælder i hele EU. GDPR er det samme som Persondataforordningen.
GDPR handler om beskyttelse af ­personoplysninger.

Datatilsynet omtaler personoplysninger som: ”enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger”.

Personoplysninger kan inddeles i tre typer: følsomme, semi-følsomme og almindelige.

De følsomme har udvidet beskyttelse og er:

  • Race og etnisk oprindelse
  • Politisk overbevisning
  • Religiøs eller filosofisk overbevisning
  • Fagforeningsmæssige tilhørsforhold
  • Genetiske data
  • Biometriske data med henblik på entydig identifikation
  • Helbredsoplysninger
  • Seksuelle forhold eller seksuel orientering

På datatilsynet.dk er der en grundig gennemgang af persondatareglerne, vejledning samt spørgsmål/svar.

5 myter om GDPR:

"Virksomheder må kun bruge mine oplysninger, hvis jeg giver dem lov til det". Nej – samtykke er et af flere retlige grundlag for at behandle personoplysninger. Grundlaget kan for eksempel også være at opfylde en kontrakt eller en retlig forpligtelse.

"På grund af GDPR er det slut med at dele deltagerlister ud på kurser og seminarer". Nej, som udgangspunkt er det helt fint at dele deltagerlister ud til deltagerne. Man skal bare huske oplysningspligten og for eksempel fortælle deltagerne ved tilmeldingen, at man vil dele deres oplysninger med de andre deltagere – så har man også mulighed for at sige fra, hvis man ikke ønsker at optræde på sådan en liste.

”GDPR giver os ikke bedre kontrol med vores data – virksomhederne kan bare bede om samtykke én gang, og så kan de bruge vores data til hvad som helst”.

Nej, når en virksomhed indhenter dit samtykke til at behandle dine oplysninger til et bestemt formål, må de kun bruge dine oplysninger til det formål. Hvis virksomheden senere ønsker at behandle dine oplysninger til et andet formål, kan de ikke bare genbruge dit tidligere samtykke – det gælder nemlig kun til det først angivne formål, og derfor skal de indhente dit samtykke på ny til det nye formål.

"GDPR gælder kun europæiske virksomheder".

Nej, reglerne i Databeskyttelsesforordningen gælder også dataansvarlige fra resten af verden, som for eksempel sælger varer eller ydelser til EU-borgere. Læs mere på Datatilsynets side 'Danmark, EU og resten af verden'.

"Vaccinestatus, herunder i forhold til COVID-19, er en følsom oplysning, da det er en helbredsoplysning".

Nej, oplysninger om vaccinestatus giver ingen information om vedkommendes helbredstilstand. Der er derfor ikke tale om helbredsoplysninger, da sådanne oplysninger er personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand. Selvom oplysninger om vaccinestatus ikke er en følsom oplysning, skal man stadig have et lovligt grundlag for at behandle, herunder registrere, oplysningen.

 

Kilde: www.datatilsynet.dk/hvad-siger-reglerne/myter-om-gdpr

Statens personregistrering og databeskyttelse i Danmark


1923-1924: Grundlaget for folkeregistrene bliver en folketælling i København, Frederiksberg og Gentofte Kommuner.

1945: Efter ødelæggelser af folkeregistrene under Anden Verdenskrig nedsætter Indenrigsministeriet et udvalg, der gennemgår de gældende folkeregisterbestemmelser.

1956: Ny bekendtgørelse, der indeholder ajourføring af reglerne. Folkeregistrene baseres dog stadig på hovedkortregistret, afgangsregistret for hovedkort samt navneregistret.

1963: Oprettelse af folkeregistre i Grønland.

1968: Det centrale personregister, CPR, etableres i forbindelse med den nye folkeregisterlov.

1972: Grønland omfattes af folkeregisterloven.

1969: Indføres lov om, at Danmark, Finland, Island, Norge, Sverige og Færøerne betragtes som ét registreringsområde.

1979: Registertilsynet oprettes som myndighed (i dag: Datatilsynet).

2000: Persondataloven træder i kraft og afløser de hidtil gældende registerlove.

2007: Bekendtgørelse af lov om tv-overvågning, Datatilsynet kan udstede bøder for overtrædelse af databeskyttelsesloven ved for eksempel privat tv-overvågning.

2001: Loven om elektroniske signaturer træder i kraft.

2010: NemID lanceres til private borgere.

2012: Folketinget vedtager lov om offentlig Digital Post, der gør det obligatorisk for borgere og virksomheder at kunne modtage post fra offentlige myndigheder digitalt.

2018: Danmark tiltræder EU’s databeskyttelseslov (GDPR), EU’s generelle forordning om databeskyttelse (GDPR) erstatter databeskyttelsesdirektivet og styrker beskyttelsen af privatlivets fred for enkeltpersoner.

2021: Folketinget vedtager loven om MitID og NemLog-in.


Læs også...

Ole Tange, it-politisk rådgiver i PROSA, har i denne uge indsendt en klage over Danmarks Radio til Datatilsynet. Det skyldes DRs krav om obligatorisk…

Er du på jagt efter et nyt job i it-branchen? Og er du i tvivl om, hvad virksomhederne især kigger efter? PROSAbladet har spurgt en række…

Fra Baltikums største sciencepark i udkanten af Tallinn sikrer Tehnopol, at hundredvis af startups kommer flyvefærdigt ud i virkeligheden. De får…

Estiske børn og unge får praktisk talt tech ind med modermælken, da it og tech-gadgets er en helt central del af hverdagen i både børnehaver,…

I Estland har borgerne kunne stemme digitalt siden 2005. Der har været kritik og debat, men i dag er det mere end halvdelen af esterne, der bruger…

Hvis man i Estland gerne vil skifte spor i sin karriere, er der en lang række muligheder for at videreuddanne sig inden for it. Skoler og online…

I denne udgave af PROSAbladet har vi lavet et tema-nummer om Estland. Det er sjældent, at vi giver så meget spalteplads til et tema – men det baltiske…

Pulserende krea-værksted klæder estiske børn på med både tech-skills og startup-mentalitet. Der er ingen læreplaner eller kedelige eksamener, men 3D…

Det minder om en blanding af X Factor og Den store bagedyst, og det lægger på 15. år gaderne øde i Estland. Velkommen til tv-talentshowet Rakett69,…

Estland har rykket sig ufattelig langt de seneste 30 år – men hvad skal der ske nu? En af udfordringerne er, at Estland kommer til at mange hænder og…