Der var et før og et efter, at GDPR-regler blev vedtaget og rullet ud 25. maj 2018. Forskellen bestod langt hen ad vejen i, at bøder blev af en størrelse, så virksomheder og organisationer er nødt til at tage dem alvorligt. Og tager dem alvorligt.
– Meget af personbeskyttelsen omkring data, indsamling og videregivelse af data, opbevaring af data, brug af data og salg af data fandtes måske allerede, men sanktionerne og bødestørrelserne var så små, at det næsten var billigere ikke at følge reglerne, siger Niels Bertelsen, formand for PROSA siden 2009.
Derfor mener formanden også, at det er en fødselsdag, som er værd at fejre – ikke bare i PROSA, men i hele samfundet.
– Det er en bedre beskyttelse af os alle. Beskytte, slette og minimere. Det giver os bedre rettigheder og skaber et transparent system omkring følsomme persondata. Det øger tilliden i samfundet. Det har startet en stor folkelig debat og forståelse af, hvad data er, og at vi skal passe på dem. Så ja, jeg synes virkelig, at der er grund til at markere dagen og ønske hinanden tillykke. Det er naturligvis ikke alt, som er nået. Men vi er nået et godt stykke af vejen, fortæller han.
Vores børns persondata flyder frit til USA og kan benyttes og sælges videre til alt fra virksomheder til folk med en lyssky dagsorden.
- Niels Bertelsen, formand PROSA
Chromebook suger data til USA
Formanden henviser til, at der stadig findes smuthuller eller brud på reglerne eller måden at sikre borgere på. Som eksempelvis Googles Chromebook, hvor data sendes til USA, og flere skoler herhjemme stadig gør brug af netop Chromebook.
– Vores børns persondata flyder frit til USA og kan benyttes og sælges videre til alt fra virksomheder til folk med en lyssky dagsorden. Det er ikke i orden, og den debat kunne vi godt tænke os blev rejst og taget mere alvorligt i Google og kommunerne herhjemme, advarer Niels Bertelsen.
Bøvlet bliver mindre
Men det skal ikke ændre ved, at GDPR-fødselsdagen ifølge formanden burde være en fest for os alle.
– Det er nok rigtigt, at mange sukker dybt, når de hører om GDPR, eller synes, det er enormt bøvlet. Men det er faktisk en beskyttelse af alle og en hjælp, i forhold til at vi kan vide og styre, hvordan vores data benyttes, og det glemmer man måske, siger Niels Bertelsen.
– Data kan bruges og misbruges, selvom det kan virke nok så uskyldigt, når vi oplyser om dem. Så der er brug for fælles retningslinjer, regler og sanktioner, der kan mærkes selv for techgiganter. Og så skal vi heller ikke glemme, at GDPR også har skullet operationaliseres herhjemme, og det har måske virket tungt i starten, men det bliver også i stigende grad tilrettet, så det ikke belaster virksomheder og organisationer i for stor grad. Opfattelsen af, at det er enormt bøvlet, vil nok blive stadig mindre af den grund.
Prosabladet: Complianceregulering er kommet for at blive
Prosabladet: GDPR har skabt mere lige konkurrencevilkår
1980: OECD's retningslinjer for beskyttelse af privatlivets fred bliver de første internationalt aftalte principper for beskyttelse af privatlivets fred. De blev opdateret i 2013.
1995: Retshåndhævelsesdirektivet vedtages: ”Direktiv (EU) 2016/680 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i forbindelse med strafbare handlinger eller fuldbyrdelse af strafferetlige sanktioner og om fri udveksling af sådanne oplysninger”.
2002: Krav om accept af cookies indføres med EU's ePrivacy Directiv, direktiv om beskyttelse af privatlivets fred. Vigtigt juridisk instrument for privatlivets fred i den digitale tidsalder og mere specifikt for kommunikationshemmeligheden og reglerne om sporing og overvågning.
2014: EU-Domstolen fastslår, at enkeltpersoner har ret til at anmode om at få fjernet visse søgeresultater – "retten til at blive glemt". En tysk domstol søgte efterfølgende råd hos EF-Domstolen om balancen mellem retten til at blive glemt og retten til ytrings- og informationsfrihed.
2016: EU vedtager den nye persondataforordning (GDPR).
General Data Protection Regulation og gælder i hele EU. GDPR er det samme som Persondataforordningen.
GDPR handler om beskyttelse af personoplysninger.
Datatilsynet omtaler personoplysninger som: ”enhver form for information, der kan henføres til en bestemt person, også selvom personen kun kan identificeres, hvis oplysningen kombineres med andre oplysninger”.
Personoplysninger kan inddeles i tre typer: følsomme, semi-følsomme og almindelige.
De følsomme har udvidet beskyttelse og er:
På datatilsynet.dk er der en grundig gennemgang af persondatareglerne, vejledning samt spørgsmål/svar.
"Virksomheder må kun bruge mine oplysninger, hvis jeg giver dem lov til det". Nej – samtykke er et af flere retlige grundlag for at behandle personoplysninger. Grundlaget kan for eksempel også være at opfylde en kontrakt eller en retlig forpligtelse.
"På grund af GDPR er det slut med at dele deltagerlister ud på kurser og seminarer". Nej, som udgangspunkt er det helt fint at dele deltagerlister ud til deltagerne. Man skal bare huske oplysningspligten og for eksempel fortælle deltagerne ved tilmeldingen, at man vil dele deres oplysninger med de andre deltagere – så har man også mulighed for at sige fra, hvis man ikke ønsker at optræde på sådan en liste.
”GDPR giver os ikke bedre kontrol med vores data – virksomhederne kan bare bede om samtykke én gang, og så kan de bruge vores data til hvad som helst”.
Nej, når en virksomhed indhenter dit samtykke til at behandle dine oplysninger til et bestemt formål, må de kun bruge dine oplysninger til det formål. Hvis virksomheden senere ønsker at behandle dine oplysninger til et andet formål, kan de ikke bare genbruge dit tidligere samtykke – det gælder nemlig kun til det først angivne formål, og derfor skal de indhente dit samtykke på ny til det nye formål.
"GDPR gælder kun europæiske virksomheder".
Nej, reglerne i Databeskyttelsesforordningen gælder også dataansvarlige fra resten af verden, som for eksempel sælger varer eller ydelser til EU-borgere. Læs mere på Datatilsynets side 'Danmark, EU og resten af verden'.
"Vaccinestatus, herunder i forhold til COVID-19, er en følsom oplysning, da det er en helbredsoplysning".
Nej, oplysninger om vaccinestatus giver ingen information om vedkommendes helbredstilstand. Der er derfor ikke tale om helbredsoplysninger, da sådanne oplysninger er personoplysninger, der vedrører en fysisk persons fysiske eller mentale helbred, herunder levering af sundhedsydelser, og som giver information om vedkommendes helbredstilstand. Selvom oplysninger om vaccinestatus ikke er en følsom oplysning, skal man stadig have et lovligt grundlag for at behandle, herunder registrere, oplysningen.
Kilde: www.datatilsynet.dk/hvad-siger-reglerne/myter-om-gdpr
1923-1924: Grundlaget for folkeregistrene bliver en folketælling i København, Frederiksberg og Gentofte Kommuner.
1945: Efter ødelæggelser af folkeregistrene under Anden Verdenskrig nedsætter Indenrigsministeriet et udvalg, der gennemgår de gældende folkeregisterbestemmelser.
1956: Ny bekendtgørelse, der indeholder ajourføring af reglerne. Folkeregistrene baseres dog stadig på hovedkortregistret, afgangsregistret for hovedkort samt navneregistret.
1963: Oprettelse af folkeregistre i Grønland.
1968: Det centrale personregister, CPR, etableres i forbindelse med den nye folkeregisterlov.
1972: Grønland omfattes af folkeregisterloven.
1969: Indføres lov om, at Danmark, Finland, Island, Norge, Sverige og Færøerne betragtes som ét registreringsområde.
1979: Registertilsynet oprettes som myndighed (i dag: Datatilsynet).
2000: Persondataloven træder i kraft og afløser de hidtil gældende registerlove.
2007: Bekendtgørelse af lov om tv-overvågning, Datatilsynet kan udstede bøder for overtrædelse af databeskyttelsesloven ved for eksempel privat tv-overvågning.
2001: Loven om elektroniske signaturer træder i kraft.
2010: NemID lanceres til private borgere.
2012: Folketinget vedtager lov om offentlig Digital Post, der gør det obligatorisk for borgere og virksomheder at kunne modtage post fra offentlige myndigheder digitalt.
2018: Danmark tiltræder EU’s databeskyttelseslov (GDPR), EU’s generelle forordning om databeskyttelse (GDPR) erstatter databeskyttelsesdirektivet og styrker beskyttelsen af privatlivets fred for enkeltpersoner.