Den generelle forordning om databeskyttelse (GDPR)
RESUMÉ AF:
Forordning (EU) 2016/679 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger
HVAD ER FORMÅLET MED FORORDNINGEN?
- Den generelle forordning om databeskyttelse (GDPR) beskytter fysiske personer, når deres oplysninger behandles i den private sektor og i størstedelen af den offentlige sektor. Relevante myndigheders behandling af oplysninger i forbindelse med retshåndhævelse er dog underlagt retshåndhævelsesdirektivet (se resumé).
- Den giver fysiske personer bedre mulighed for at have kontrol over deres personoplysninger. Den moderniserer og ensretter også reglerne og giver virksomheder mulighed for at reducere bureaukratiet og drage fordel af øget forbrugertillid.
- Den opretter et system af fuldt uafhængige tilsynsmyndigheder med ansvar for overvågning og håndhævelse af overholdelsen.
- Den er en del af Den Europæiske Unions (EU) databeskyttelsesreform, sammen med retshåndhævelsesdirektivet og forordning (EU) 2018/1725 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU’s institutioner, organer, kontorer og agenturer (se resumé).
HOVEDPUNKTER
Fysiske personers rettigheder
GDPR styrker eksisterende rettigheder, giver mulighed for nye rettigheder og giver fysiske personer mere kontrol over deres personoplysninger. Den omfatter følgende.
- Nemmere adgang til en fysisk persons egne oplysninger. Dette omfatter mere information om, hvordan data behandles, og sikring af, at denne information er tilgængelig på en klar og forståelig måde.
- En ny ret til dataportabilitet. Dette gør det nemmere at transmittere personoplysninger mellem tjenesteydere.
- En tydeligere ret til sletning (retten til at blive glemt). Når en person ikke længere ønsker sine oplysninger behandlet, og der ikke er legitime grunde til at gemme dem, skal oplysningerne slettes.
- Retten til at vide det, når ens personoplysninger er blevet lækket. Virksomheder og organisationer skal straks underrette de relevante datatilsynsmyndigheder, og i tilfælde af alvorlige brud på persondatasikkerheden også den berørte fysiske person.
Regler for virksomheder
GDPR skaber lige vilkår for alle virksomheder, som driver forretning på EU’s indre marked, indfører en teknologineutral tilgang og stimulerer innovation gennem en række skridt, som omfatter følgende.
- Et enkelt sæt regler, der gælder i hele EU. En enkelt databeskyttelseslovgivning, der gælder i hele EU, øger retssikkerheden og mindsker den administrative byrde.
- En databeskyttelsesrådgiver. Offentlige myndigheder og virksomheder, som behandler data i stort omfang, eller hvis kerneaktiviteter er at behandle særlige kategorier af data, som for eksempel helbredsoplysninger, skal udpege en person, der er ansvarlig for databeskyttelse.
- One-stop-shop. Virksomheder skal kun have kontakt til én enkelt tilsynsmyndighed (i den EU-medlemsstat, hvor de har hovedvirksomhed). De relevante tilsynsmyndigheder samarbejder inden for rammerne af Det Europæiske Databeskyttelsesråd i grænseoverskridende sager.
- EU-regler for ikke-EU-virksomheder. Virksomheder med hjemsted uden for EU skal følge de samme regler, når de tilbyder tjenesteydelser eller varer, eller når de overvåger personers adfærd inden for EU.
- Innovationsvenlige regler. En garanti for, at databeskyttelsesgarantier er indbygget i produkter og tjenesteydelser fra første udviklingstrin (databeskyttelse gennem design og gennem standardindstillinger).
- Teknikker til privatlivsbeskyttelse. Der tilskyndes til anvendelse af teknikker som for eksempel pseudonymisering (når identificerede parametre i en dataregistrering erstattes med en eller flere koder) og kryptering (når data kodes på en måde, så kun de, der har autoriseret adgang, kan læse dem) for at gøre behandlingen mindre påtrængende.
- Fjernelse af anmeldelse. GDPR skrottede de fleste anmeldelsespligter og de omkostninger, der er forbundet med dette. Et at målene er at fjerne hindringer, som påvirker den frie strøm af personoplysninger i EU. Det vil gøre det nemmere for virksomheder at udvide deres aktiviteter på et digitalt indre marked.
- Konsekvensanalyse vedrørende databeskyttelse. Organisationer skal udføre en konsekvensanalyse, hvis databehandling kan indebære en høj risiko for personlige rettigheder og frihedsrettigheder.
- Fortegnelser. Små og mellemstore virksomheder er ikke forpligtede til at føre fortegnelser over behandlingsaktiviteter — medmindre behandlingen er regelmæssig eller sandsynligvis vil indebære en risiko for rettigheder og frihedsrettigheder for de personer, hvis data behandles, eller omfatter følsomme kategorier af oplysninger.
- En moderne værktøjskasse til internationale dataoverførsler. GDPR tilbyder forskellige instrumenter til overførsel af oplysninger uden for EU, herunder beslutninger om et tilstrækkeligt beskyttelsesniveau vedtaget af Europa-Kommissionen, hvis ikke-EU-landet tilbyder et tilstrækkeligt beskyttelsesniveau, forhåndsgodkendte (standard-) kontraktbestemmelser, bindende virksomhedsregler, adfærdskodekser og certificering.
Revision
Kommissionen forelagde en rapport vedrørende evaluering og revision af forordningen i juni 2020. Den næste evaluering er planlagt til 2024.
HVORNÅR GÆLDER FORORDNINGEN FRA?
GDPR trådte i kraft den 25. maj 2018.
BAGGRUND
For yderligere oplysninger henvises til:
Efter udbruddet af covid-19 og indførelsen af foranstaltninger til at afbøde virkningerne af krisen har Kommissionen vedtaget:
HOVEDDOKUMENT
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1-88).
Efterfølgende ændringer til forordning (EU) 2016/679 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.
TILHØRENDE DOKUMENTER
Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med kompetente myndigheders behandling af personoplysninger med henblik på at forebygge, efterforske, afsløre eller retsforfølge strafbare handlinger eller fuldbyrde strafferetlige sanktioner og om fri udveksling af sådanne oplysninger og om ophævelse af Rådets rammeafgørelse 2008/977/RIA (EUT L 119 af 4.5.2016, s. 89-131).
Se den konsoliderede udgave.
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39-98).
Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (direktiv om databeskyttelse inden for elektronisk kommunikation) (EUT L 201 af 31.7.2002, s. 37-47).
Se den konsoliderede udgave.
seneste ajourføring 07.01.2022