23948sdkhjf
Log ind eller opret et abonnement for at gemme artikler
Få adgang til alt indhold på Metal Supply
Ingen binding eller kortoplysninger krævet
Gælder kun personlig abonnement.
Kontakt os for en virksomhedsløsning.
Annonce
Annonce

Sådan fungerer GDPR i Danmark ifølge DLA Pipers Q&A og gældende praksis

Artiklens indhold er sponsoreret af dlapiper.com

Når der arbejdes med personoplysninger i Danmark, er det væsentligt at have styr på reglerne for GDPR. Håndteringen berører både centrale begreber, praktiske krav og betydningen for den daglige drift og efterlevelse af lovgivningen. Med afsæt i DLA Pipers Q&A samt dansk praksis handler det blandt andet om samtykke, sikkerhedskrav og regler for internationale dataoverførsler, som alle er afgørende for en korrekt behandling af persondata.

Hvorfor GDPR i Danmark er relevant

GDPR fastsætter rammerne for, hvordan personoplysninger om medarbejdere, kunder eller borgere må behandles i Danmark. Reglerne styrker den enkeltes rettigheder og kræver gennemsigtighed om, hvilke data der indsamles og til hvilke formål. Udover at opfylde de lovpligtige krav handler det også om at etablere klare procedurer for dokumentation og ansvarlighed. Ansvarlighed er et bærende princip i GDPR og betyder, at organisationen ikke blot skal overholde reglerne, men også kunne dokumentere det. Datatilsynet fører tilsyn i Danmark og kan kræve indsigt i, hvordan personoplysninger behandles.

For organisationer kan tydelig håndtering af databeskyttelse bidrage til tillid blandt brugere og samarbejdspartnere. Derudover reduceres risikoen for overtrædelser, som kan medføre kritik eller sanktioner fra Datatilsynet. En oversigt over ofte stillede spørgsmål fra danske organisationer findes på https://denmark.dlapiper.com/da/fagomraade/qa-om-GDPR.

Praktiske krav til behandling af personoplysninger

Ved behandling af personoplysninger skal formål, retsgrundlag og de registreredes rettigheder altid være tydeligt defineret. Det kræver blandt andet, at man kan redegøre for, hvorfor oplysninger indsamles, hvor længe de opbevares, og hvem der har adgang til dem. Dokumentation er vigtig både i interne politikker og processer. Behandlingen skal altid hvile på et gyldigt retsgrundlag, som eksempelvis kan være samtykke, opfyldelse af en kontrakt, en retlig forpligtelse eller en legitim interesse. Anvender organisationen en ekstern leverandør til at behandle data, skal der desuden indgås en databehandleraftale, der fastlægger ansvaret mellem parterne.

Teknisk beskyttelse af data kan eksempelvis ske gennem adgangsstyring, logning og kryptering. Risikoen bør vurderes for hver type behandling: Behandles der følsomme oplysninger? Er samtykke nødvendigt? Hvilke leverandører og systemer benyttes? Procedurer bør løbende justeres ved ændringer i lovgivning eller tekniske forhold.

Der gælder særlige krav til oplysninger som CPR-numre samt ved overførsel af data uden for EU/EØS. Her stilles større krav til dokumentation og aftaler med eksterne samarbejdspartnere. Ved tvivl kan vejledninger og skabeloner fra fx DLA Pipers Q&A være en hjælp. Behandling af CPR-numre er underlagt særlige betingelser i databeskyttelsesloven, og overførsel af data til lande uden for EU og EØS kræver efter Schrems II-dommen et gyldigt overførselsgrundlag som standardkontraktbestemmelser suppleret med en konkret vurdering.

Sådan anvender danske organisationer GDPR i praksis

Mange danske organisationer har indarbejdet GDPR i deres daglige rutiner gennem kortlægning af alle behandlingsaktiviteter, altså hvor og hvordan personoplysninger opbevares eller deles internt såvel som eksternt. Denne fortegnelse over behandlingsaktiviteter er ofte det første, Datatilsynet beder om ved et tilsyn. Processen begynder typisk med at identificere relevante systemer og arbejdsgange.

Herefter udarbejdes retningslinjer for adgangsstyring, anonymisering eller sletning af data samt håndtering af eventuelle brud på datasikkerheden. Ofte indgår it-løsninger som logning og kryptering sammen med oplæring af medarbejdere. Rollen som databeskyttelsesrådgiver, en såkaldt DPO, kan desuden være lovpligtig for offentlige myndigheder og for organisationer, der behandler følsomme oplysninger i stor skala.

Når nye teknologier som kunstig intelligens tages i brug, foretages en grundigere vurdering af risici, både teknisk og juridisk. Danske organisationer benytter i stigende grad konsekvensanalyser, en såkaldt DPIA, til dette formål, og ved fortsat høj risiko skal Datatilsynet høres på forhånd. På tværs af brancher indgår GDPR som en fast del af virksomheders styringssystemer, blandt andet som følge af myndighedskrav og de registreredes ret til indsigt, sletning og indsigelse.

Annonce Annonce
BREAKING
{{ article.headline }}
0.062|