En introduktion til GDPR-overholdelse

Er din organisation GDPR-kompatibel?

Book en demo

skyskraber, glas, facader, på, en, lys, solrig, dag, med, solstråler

Hvad er den generelle databeskyttelsesforordning (GDPR)?

GDPR sætter standarden for databeskyttelse, privatliv og individuelle rettigheder. Etableret af Den Europæiske Union, håndhæver denne forordning strenge databeskyttelse love for at beskytte EU-borgeres privatliv, uanset hvor dataene behandles.

Organisationer, der håndterer personoplysninger om EU-borgere, er forpligtet til at sikre og beskytte disse data eller lide under juridiske konsekvenser. Specifikke forpligtelser omfatter opretholdelse af gennemsigtighed i brugen af ​​indsamlede data, implementering af strenge sikkerhedsforanstaltninger og efterlevelse af anmodninger fra enkeltpersoner om deres personlige data.

Er der sanktioner for manglende overholdelse af GDPR?

Økonomiske sanktioner

Ja, ignorering eller overtrædelse af GDPR-retningslinjer kan resultere i alvorlige sanktioner.

Organisationer, der ikke overholder kravene, risikerer økonomisk lammende bøder, der når op til 4 % af deres globale årlige omsætning eller €20 millioner – alt efter hvad der er størst. Dette understreger alvoren af ​​beskyttelsen af ​​personoplysninger og nødvendigheden af ​​at overholde GDPR-reglerne.

Omdømmeskade

I en verden, hvor kunder værdsætter deres privatliv, overtrædelse af data betyder ofte at miste deres tillid. Sådanne hændelser, når de først er offentlige, kan føre til et alvorligt tab af tillid blandt kunder og den bredere offentlighed, hvilket potentielt kan føre til en reduktion i kundebase og omsætning.

Sagsanlæg

Endelig kan manglende overholdelse medføre retssager. GDPR giver enkeltpersoner et mere omfattende sæt rettigheder over deres data. Dette inkluderer retten til at søge erstatning for ikke-materielle skader såsom nød, hvilket er en afvigelse fra tidligere lovgivning.

Hvis en organisation ikke overholder det, kan den sagsøges af en enkeltperson. Disse retssager kan føre til erstatning til den enkelte og øgede sagsomkostninger for organisationen.

Hvad er fordelene ved at vise overholdelse af GDPR?

Selvom overholdelse kræver en betydelig indsats, bidrager fordelene ved GDPR-overensstemmelse væsentligt til at styrke en organisations overordnede datastyring.

Disse inkluderer boosting forbrugernes tillid, der sikrer bedre datasikkerhed, reducerer omkostningerne til datavedligeholdelse og giver en konkurrencefordel. Brug af GDPR Compliance Software som ISMS.online kan hjælpe i denne proces, selvom omfanget af dets brug bør styres af organisationens specifikke behov og mål.

I denne tid med datadrevet beslutningstagning er opnåelse af GDPR-overholdelse ikke blot en juridisk forpligtelse, det giver også en strategisk fordel og tjener som et vidnesbyrd om organisationens forpligtelse til databeskyttelse.

Med omfattende forståelse og omhyggelig anvendelse kan din organisation gøre GDPR-overholdelse fra et krævende ansvar til et strategisk aktiv.

Hvordan kan din organisation vise overholdelse af GDPR?

Udfør en GDPR Compliance Audit

At udføre en revision af GDPR-overholdelse kan virke skræmmende, men ved at forstå de involverede nøgletrin og tilpasse processen til din organisations databeskyttelseslandskab, kan det blive en overskuelig opgave.

Forstå din organisations datalandskab

Foretag en udtømmende gennemgang af alle aktive databehandling aktiviteter i din organisation.

Forstå din organisations databeskyttelsesforanstaltninger

Når du har kortlagt datalandskabet, bør din opmærksomhed dreje sig om kritisk at vurdere dine databeskyttelsesforanstaltninger, der findes i din organisation.

I forbindelse med GDPR kræver fire nøglefacetter opmærksomhed – sikkerhedskontroller designet til at beskytte data, krypteringsmetoder anvendt til sikre data, adgangskontroller implementeret for at begrænse dataadgang og dataopbevaringspolitikker, der dikterer levetiden for lagrede data.

Gennemgå dine organisationers databehandlingsaftaler

Foretage en dybdegående gennemgang af databehandleraftaler, evaluere kontraktskabelonerne, granske klausuler relateret til dataoverførsler, især i international sammenhæng, og vurdere kontraktens overholdelse af fastsatte juridiske parametre.

Sørg for, at din organisation regelmæssigt opdaterer sine databeskyttelsesforanstaltninger

Selvom det er vigtigt at sikre sikkerhedsforanstaltninger, vil regelmæssige gennemgange og opdateringer af disse foranstaltninger garantere deres fortsatte effektivitet over tid.

Virksomhedernes rolle i at overholde GDPR-principper

Overholdelse af omfattende og forskellige GDPR-principper er ikke kun obligatorisk for organisationer, der beskæftiger sig med EU-borgeres data, men det er også et middel for dem til at eksemplificere integritet og omfavne bedste praksis inden for databeskyttelse.

At overholde disse GDPR-principper er et eksempel på deres forpligtelse til at beskytte forbrugernes data, primært dem, der er nævnt i GDPR artikel 5, artikel 6 og artikel 7.

Principperne, som fremhævet af GDPR, omfatter:

  • Lovlighed, retfærdighed og gennemsigtighed
  • Formålsbegrænsning
  • Dataminimering
  • Nøjagtighed
  • Opbevaringsbegrænsning
  • Integritet og fortrolighed

Hvert princip er en søjle, der opretholder strukturen af databeskyttelse love. At ignorere eller overtræde nogen af ​​disse principper kan have alvorlige økonomiske og omdømmemæssige konsekvenser.

Princippet "Integritet og fortrolighed" kræver eksplicit opmærksomhed, da det er udtryk for organisationens forpligtelse til at beskytte data mod ulovlig behandling og utilsigtet tab.

Hvordan ISMS.online kan hjælpe organisationer med at vise GDPR-overholdelse

ISMS.online tilbyder løsninger til at vejlede organisationer i at opnå og vedligeholde GDPR-overholdelse.

Vores udvalg af tjenester og digitale værktøjer er designet til at strømline overholdelsesprocessen.

Ved at være en SaaS-platform kan du låse op for overholdelseskraften hvor som helst og når som helst.

Se ISMS.online
i aktion

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Betroet af virksomheder overalt
  • Enkel og nem at bruge
  • Designet til ISO 27001 succes
  • Sparer dig tid og penge
Book din demo
img

Nøgle GDPR-artikler

GDPR artikel 5

GDPR artikel 5 opfordrer organisationer til at overholde databeskyttelsesprincipper, såsom:

  • Fair, lovlig og gennemsigtig datahåndtering: Sikrer, at oplysningerne ikke bliver dårligt brugt eller fejlfortolket.
  • Formålsbegrænsninger: Dette princip kræver begrundelse for hver dataindsamling.
  • Dataminimering: Virksomheder skal begrænse dataindsamlingen til kun det nødvendige.
  • Nøjagtighed og valuta: Data skal opdateres, og korrektionsmekanismer bør være på plads.

GDPR artikel 6

GDPR artikel 6 fastsætter grundreglerne for juridisk behandling. Det bringer flere juridiske grunde i lyset, såsom:

  • Individets samtykke: En klar aftale fra den enkelte er obligatorisk.

  • Nødvendig på grund af kontrakt: Juridiske forpligtelser fra en kontrakt kan føre til databehandling.

  • Juridisk forpligtelse: Der kan opstå tilfælde, hvor databehandling er påbudt af loven.

  • Vitale interesser: Nogle gange bliver databehandling afgørende for at beskytte vitale livsinteresser.

GDPR artikel 7

GDPR artikel 7, der kræver betingelser for gyldigt samtykke, understreger dens betydning for virksomheder. For at overholde disse betingelser skal samtykke fra en person være klart, specifikt, bekræftende, velinformeret og utvetydigt.

GDPR artikel 12

GDPR artikel 12 gør det klart behovet for gennemsigtig kommunikation. Det kræver, at oplysninger præsenteres i et forståeligt og tilgængeligt format, hvilket styrker enkeltpersoners rettigheder vedrørende deres data.

Liste over GDPR-artikler og hvordan man viser overholdelse

Nedenfor finder du en komplet tabel over relevante og yderligere GDPR-artikler – klik venligst på hver enkelt for at læse mere detaljeret, og hvordan du viser overholdelse af GDPR.

GDPR artikelNavn på artikel
GDPR artikel 1Emne og mål
GDPR artikel 5Principper vedrørende behandling af personoplysninger
GDPR artikel 6Behandlingens lovlighed
GDPR artikel 7Betingelser for samtykke
GDPR artikel 8Betingelser, der gælder for barnets samtykke i forbindelse med informationssamfundstjenester
GDPR artikel 11Behandling, der ikke kræver identifikation
GDPR artikel 12Gennemsigtig information, kommunikation og regler for udøvelse af den registreredes rettigheder
GDPR artikel 13Oplysninger, der skal gives, hvor personoplysninger indsamles fra den registrerede
GDPR artikel 14Oplysninger, der skal gives, hvor personoplysninger ikke er indhentet fra den registrerede
GDPR artikel 15Ret til indsigt for den registrerede
GDPR artikel 16Ret til rettelse
GDPR artikel 17Ret til sletning ('Right to Be Forgotten')
GDPR artikel 18Ret til begrænsning af behandling
GDPR artikel 19Underretningspligt vedrørende berigtigelse eller sletning af personoplysninger eller begrænsning af behandling
GDPR artikel 20Ret til dataportabilitet
GDPR artikel 21Ret til at gøre indsigelse
GDPR artikel 22Automatiseret individuel beslutningstagning, herunder profilering
GDPR artikel 23Begrænsninger
GDPR artikel 24Controllers ansvar
GDPR artikel 25Databeskyttelse ved design og som standard
GDPR artikel 26Fælles controllere
GDPR artikel 27Repræsentanter for dataansvarlige eller databehandlere, der ikke er etableret i Unionen
GDPR artikel 28Processor
GDPR artikel 29Behandling under bemyndigelse af den dataansvarlige eller databehandler
GDPR artikel 30Optegnelser over behandlingsaktiviteter
GDPR artikel 31Samarbejde med tilsynsmyndigheden
GDPR artikel 32Behandlingssikkerhed
GDPR artikel 33Anmeldelse af et brud på persondatasikkerheden til Tilsynsmyndigheden
GDPR artikel 34Kommunikation af et brud på persondatasikkerheden til den registrerede
GDPR artikel 35Databeskyttelseskonsekvensvurdering
GDPR artikel 36Forudgående konsultation
GDPR artikel 37Udpegning af den databeskyttelsesansvarlige
GDPR artikel 38Stilling som databeskyttelsesrådgiver
GDPR artikel 39Databeskyttelsesrådgiverens opgaver
GDPR artikel 40Code of Conduct
GDPR artikel 41Overvågning af godkendte adfærdskodekser
GDPR artikel 42Certificering
GDPR artikel 44Generelt princip for overførsler
GDPR artikel 45Overførsler på grundlag af en tilstrækkelighedsbeslutning
GDPR artikel 46Overførsler er underlagt passende sikkerhedsforanstaltninger
GDPR artikel 47Bindende forretningsregler
GDPR artikel 49Undtagelser for specifikke situationer

Oplev vores platform

Book en skræddersyet hands-on session
ud fra dine behov og mål
Book din demo

Enkel. Sikker. Bæredygtig.

Se vores platform i aktion med en skræddersyet hands-on session baseret på dine behov og mål.

Book din demo
img

Rollerne for dataansvarlige og databehandlere i GDPR-overholdelse

Dataansvarliges forpligtelser

Dataansvarlige, de enheder, der bestemmer forløbet og metoderne for behandling af personoplysninger, er underlagt følgende krav:

  • Formålsbegrænsning: Dataansvarlige bør klart definere, kommunikere og overholde legitime, gennemsigtige og lovlige mål for databehandling.
  • Dataminimering: Behandling bør kun involvere det absolutte minimum af data, der kræves til det angivne formål.
  • Nøjagtighed: Det er dataansvarliges forpligtelse at validere nøjagtigheden af ​​personlige data og straks rette eller slette unøjagtige indtastninger.
  • Opbevaringsbegrænsning: Dataansvarlige bør holde tidsrammen for opbevaring af personlige data til den absolut nødvendige varighed.

Databehandleres forpligtelser

Databehandlere, der har til opgave at udføre behandlingsaktiviteter på dataansvarliges kommandoer, skal opfylde følgende forventninger:

  • Verifikation af overholdelse: Behandlere er forpligtet til at føre en opdateret, omfattende fortegnelse over behandlingsaktiviteter, der viser overholdelse af GDPR-principper og ansvarlighed.
  • Sikkerhed: Behandlere bør håndhæve passende tekniske og organisatoriske sikkerhedsforanstaltninger for at sikre sikker behandling.
  • Underretning om databrud: Ved identifikation af et datasikkerhedsbrud er databehandleren forpligtet til straks at underrette den dataansvarlige.

Ved at overholde disse forpligtelser kan dataansvarlige og databehandlere hjælpe med at etablere en kultur for databeskyttelse, der overholder de grundlæggende principper i GDPR og sikrer respekt for den registreredes rettigheder.

Etablering af en bæredygtig GDPR-overholdelsesstrategi med ISMS.online

Organisationer, der interagerer med EU-borgeres personoplysninger, har et obligatorisk ansvar for at overholde den generelle databeskyttelsesforordning (GDPR). Dette ansvar nødvendiggør udvikling af omfattende databeskyttelsespolitikker, konsekvent udførelse af databeskyttelsesvurderinger (DPIA) og omhyggelig vedligeholdelse af databehandlingsaktiviteter.

Selvom disse opgaver i første omgang kan virke udfordrende, kan deres effektive styring opnås med den strategiske brug af en robust Information Security Management System (ISMS), såsom ISMS.online.

Du kan oprette tilpassede dashboard-oversigter til grundig overvågning og revision gennem vores SaaS-software. Disse dashboards leverer indsigt i realtid, tilbyder datasporingsfunktioner og genererer omfattende statusrapporter til autoritativ styringskontrol i din organisation.

Lær hvordan vi kan hjælpe din virksomhed ved booking af en demo.

ISMS.online er en
one-stop-løsning, der radikalt fremskyndede vores implementering.

Evan Harris
Grundlægger & COO, peppy

Book din demo

Ofte stillede spørgsmål

Hvad er retten til at gøre indsigelse under GDPR?

Retten til at gøre indsigelse i henhold til den generelle databeskyttelsesforordning (GDPR) er en grundlæggende rettighed, der er givet til enkeltpersoner til at gøre indsigelse mod behandlingen af ​​deres personoplysninger under visse omstændigheder. Denne ret er beskrevet i artikel 21 i GDPR og gælder for forskellige behandlingsaktiviteter, der er baseret på den dataansvarliges eller en tredjeparts legitime interesser.

Retten til at gøre indsigelse giver enkeltpersoner mulighed for at anfægte behandlingen af ​​deres personoplysninger, når de bruges til formål såsom direkte markedsføring, videnskabelig eller historisk forskning eller profilering. Hvis en person gør indsigelse mod behandlingen af ​​deres personoplysninger til disse formål, skal den dataansvarlige stoppe behandlingen af ​​oplysningerne, medmindre de kan påvise tvingende legitime grunde for behandlingen, der tilsidesætter den enkeltes interesser, rettigheder og friheder.

Ud over disse specifikke omstændigheder har enkeltpersoner også ret til at gøre indsigelse mod behandlingen af ​​deres personoplysninger uanset årsag. Dette omfatter situationer, hvor behandlingen er baseret på den dataansvarliges eller en tredjeparts legitime interesser, eller når den udføres i offentlighedens interesse eller under udøvelse af offentlig myndighed, som den dataansvarlige har.

Når en person udøver sin ret til at gøre indsigelse, skal den dataansvarlige informere vedkommende om sin ret og konsekvenserne af ikke at udøve den. Den registeransvarlige skal også sørge for mekanismer til, at enkeltpersoner nemt kan gøre indsigelse mod behandlingen af ​​deres personoplysninger, såsom gennem onlineformularer eller andre tilgængelige midler.

Hvad er retten til sletning i henhold til GDPR?

Retten til sletning i henhold til den generelle databeskyttelsesforordning (GDPR) er en grundlæggende rettighed tildelt enkeltpersoner. Det er også kendt som "retten til at blive glemt." Denne ret giver enkeltpersoner mulighed for at anmode om, at deres personlige data slettes fra en organisations optegnelser. Personlige data refererer til enhver information, der direkte eller indirekte kan identificere en person, såsom deres navn, adresse, e-mail eller IP-adresse.

Retten til sletning gælder under visse omstændigheder. For det første gælder det, når personoplysningerne ikke længere er nødvendige til det formål, hvortil de blev indsamlet. For eksempel, hvis en person lukker sin konto hos en onlineforhandler, kan de anmode om, at deres personlige data slettes, da de ikke længere er nødvendige for at levere tjenester.

For det andet gælder retten til sletning, når en person trækker sit samtykke til behandlingen af ​​sine data tilbage. Hvis en person oprindeligt gav samtykke til, at en organisation måtte behandle deres personoplysninger, men senere ændrer mening, har de ret til at anmode om, at deres data slettes.

For det tredje gælder retten til sletning, hvis personoplysningerne er blevet ulovligt behandlet. Hvis en organisation har indsamlet eller brugt persondata i strid med GDPR eller andre gældende love, har den enkelte ret til at anmode om sletning.

Når en person udøver sin ret til sletning, skal organisationen efterkomme anmodningen, medmindre der er juridiske eller andre tvingende grunde til at opbevare dataene. Organisationen skal tage rimelige skridt til at informere eventuelle tredjeparter, der har modtaget dataene, om den enkeltes anmodning om sletning. Dette sikrer, at personoplysningerne ikke viderebehandles eller videregives af andre organisationer.

Organisationer skal også tage rimelige skridt for at sikre, at personoplysningerne slettes fra deres egne systemer og registreringer. Dette omfatter sikker sletning af data og fjernelse af kopier eller sikkerhedskopier. Derudover skal organisationer give den enkelte en bekræftelse på, at data er blevet slettet, medmindre det ikke er muligt at gøre det. Hvis organisationen ikke er i stand til at opfylde anmodningen om sletning, skal de give den enkelte en forklaring på hvorfor.

Hvad er definitionen af ​​samtykke i henhold til GDPR?

Definitionen af ​​samtykke i henhold til den generelle databeskyttelsesforordning (GDPR) er, at det er enhver frit givet, specifik, informeret og utvetydig indikation af den registreredes ønsker, hvormed de ved en erklæring eller ved en klar bekræftende handling tilkendegiver samtykke til behandlingen af ​​personoplysninger vedrørende dem.

Det betyder, at samtykke skal gives frivilligt, uden nogen form for tvang eller pres. Det skal også være specifikt, hvilket betyder, at det skal gives til et eller flere bestemte formål. Den registrerede skal være fuldt informeret om behandlingen af ​​deres personoplysninger, herunder formålene med behandlingen og eventuelle konsekvenser.

Derudover skal samtykket være entydigt, hvilket betyder, at det skal være klart og let forståeligt. Det kan ikke udledes af tavshed, forhåndsafkrydsede felter eller inaktivitet. Samtykke skal gives gennem en klar bekræftende handling, såsom at sætte kryds i en boks eller klikke på en knap.

Den registrerede har også ret til at trække sit samtykke tilbage til enhver tid, og denne tilbagetrækning skal være lige så let som at give samtykke. Den dataansvarlige for personoplysningerne skal kunne påvise, at den registrerede har givet sit samtykke til behandlingen af ​​sine personoplysninger.

Hvad er definitionen af ​​et databrud under GDPR?

I henhold til den generelle databeskyttelsesforordning (GDPR) er et databrud defineret som et "brud på sikkerheden, der fører til utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personlige data, der overføres, opbevares eller på anden måde behandles. ”

Det betyder, at et databrud opstår, når der er et brud på sikkerheden, der resulterer i uautoriseret adgang, ødelæggelse, ændring eller videregivelse af personlige data.

Eksempler på databrud omfatter hacking, malware, phishing og ransomware-angreb samt utilsigtet eller bevidst videregivelse af personlige data. Det kan også omfatte uautoriseret adgang til et system, tab af en bærbar computer eller anden enhed, der indeholder personlige data, eller utilsigtet videregivelse af personlige data.

Hvad er definitionen af ​​pseudonymisering under GDPR?

Pseudonymisering, som defineret af den generelle databeskyttelsesforordning (GDPR), er processen med at erstatte personligt identificerbare oplysninger (PII) med kunstige identifikatorer eller pseudonymer. Denne proces bruges til at beskytte enkeltpersoners privatliv ved at forhindre direkte identifikation af enkeltpersoner fra dataene.

Pseudonymisering involverer transformation af personoplysninger på en sådan måde, at de ikke længere kan henføres til en bestemt registreret uden brug af yderligere oplysninger. Disse yderligere oplysninger skal opbevares adskilt og underlagt tekniske og organisatoriske foranstaltninger for at sikre, at personoplysningerne ikke kan knyttes til en identificeret eller identificerbar fysisk person.

Formålet med pseudonymisering er at reducere de risici, der er forbundet med behandling af personoplysninger. Ved at erstatte PII med pseudonymer reduceres mængden af ​​personlige data, der er tilgængelige for enhver person, og derved minimeres den potentielle virkning af et databrud.

Pseudonymisering er også med til at sikre, at data kun bruges til det formål, hvortil de er indsamlet, og forhindrer dem i at blive brugt til utilsigtede eller uforenelige formål.

ISMS.online vil spare dig tid og penge

Få dit tilbud

Status for informationssikkerhedsrapport 2024 nu live - læs nu