Gå til hovedindhold

General Data Protection Regulation (GDPR)

UC SYD

Persondataforordningen

Find alt, hvad du skal vide, her.
01

GDPR kort fortalt

Hvornår?

UC SYD's DPO

Kira Camilla Witte Leuenhagen
Data Protection Officer
dpo@ucsyd.dk

Den 25. maj 2018 træder EU's persondataforordning med navnet General Data Protection Regulation (GDPR) i kraft i hele EU. Derefter skal virksomheder, offentlige myndigheder og organisationer, der behandler persondata, opfylde den nye forordning.

Hvorfor?

GDPR har som formål at styrke og ensrette databeskyttelsen for borgere i EU. Det primære mål med GDPR er at sikre, at borgerne har kontrol over deres persondata og forenkle lovgivningen vedrørende international handel ved at ensrette love og regelsæt inden for EU.

Hvem?

GDPR gælder alle organisationer verden over, der behandler persondata om borgere fra Den Europæiske Union (EU). 

  • "Persondata" betyder alle informationer i relation til en identificeret og identificerbar fysisk person. De inkluderer data om genetiske, mentale, kulturelle, økonomiske og sociale oplysninger.
  • "Følsomme persondata" er persondata, fx om racemæssig eller etnisk oprindelse, politiske holdninger, religiøse eller filosofiske overbevisninger, medlemskab af faglige organisationer, data vedrørende sundhed, seksualliv og seksuel orientering, genetiske data eller biometriske data.

Hvad?

GDPR pålægger organisationer at beskytte persondata via organisatoriske, administrative og tekniske tiltag og denne beskyttelse skal dokumenteres.

GDPR stiller strenge krav til behandling af personoplysninger. For at opfylde kravene skal organisationer, der bruger persondata, indhente borgernes udtrykkelige samtykke eller være underlagt et lovgrundlag, der giver organisationen ret og pligt til at behandle persondata. 

UC SYD er i de fleste tilfælde underlagt et lovgrundlag med ret og pligt til at behandle persondata.
 

02

Håndtering af persondata

De registreredes rettigheder

  • Ret til at få besked om, at der behandles personoplysninger (oplysningspligt) 
  • Ret til at se oplysninger (indsigtsret) 
  • Ret til at transmittere oplysninger (dataportabilitet)
  • Ret til at få oplysninger rettet eller slettet (retten til at blive glemt)

Retten til at blive glemt, giver borgere ret til at kræve sletning af persondata, såfremt anden lovbestemmelse ikke forpligter UC SYD til at gemme data. Dette er f.eks. gældende for eksamensdata, således at eksamensbeviser kan genskabes.

Den skal være balanceret i forhold til ytringsfrihed, offentlighedens sundhedsinteresse, videnskabelig og historisk forskning og udøvelse eller forsvar af juridiske anmeldelser. 

Behandlingssikkerhed

Brug og håndtering af personoplysninger skal foregå betryggende og med et passende niveau af sikkerhed og privatlivsbeskyttelse. Sikkerhedsniveauet skal afspejle den konkrete risiko for, at oplysningerne stjæles, mistes, skades, eller behandles ulovligt.

Hvis risikoen må antages at være stor, må behandlingen af personoplysninger ikke påbegyndes, før der er gennemført en konsekvensanalyse vedrørende databeskyttelse og eventuelt en høring af datatilsynet.

Når it-løsninger designes og udvikles, skal databeskyttelse tænkes ind fra starten, og standardindstillinger skal sikre, at der kun behandles de personoplysninger, som er nødvendige i forhold til formålet med behandlingen.

Hvis det går galt, og man som dataansvarlig bliver bekendt med et brud på person-datasikkerheden, skal man uden unødig forsinkelse give besked til Datatilsynet og i visse tilfælde også til de personer, hvis oplysninger er berørt af sikkerhedsbruddet. Databehandlere, som bliver bekendt med et brud på persondatasikkerheden, skal uden unødig forsinkelse underrette den dataansvarlige.
 

Fortegnelser over behandlingsaktiviteter

UC SYD skal føre interne fortegnelser over deres behandling af personoplysninger. Dette er i tråd med forordningens risikobaserede tilgang og fokus på ansvarlighed (”accountability”).

Konsekvensanalyser

Virksomheder skal foretage en konsekvensanalyse forud for databehandlinger, som sandsynligvis vil indebære en høj risiko. Formålet med konsekvensanalysen er navnlig at vurdere risikoens oprindelse, karakter, særegenhed og alvor. Det vil bl.a. være relevant at foretage en konsekvensanalyse i tilfælde, hvor nye teknologier anvendes, eller hvor der behandles meget store mængder følsomme personoplysninger.
Analysen skal mindst omfatte:

  • Systematisk beskrivelse af de planlagte behandlingsaktiviteter og formålene med behandlingen.
  • En vurdering af, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene.
  • En vurdering af de risici behandlingen indebærer for de personer, der behandles oplysninger om.
  • Garantier, sikkerhedsforanstaltninger og mekanismer, der skal sikre beskyttelse af personoplysninger og påvise overholdelse af databeskyttelsesforordningen.
Databeskyttelsesrådgiver (DPO)

Offentlige myndigheder og visse private virksomheder skal udpege en såkaldt databeskyttelses-rådgiver, hvad enten de er dataansvarlige eller databehandlere. 

Databeskyttelsesrådgiveren vil fungere som en forlængelse af databeskyttelsesmyndigheden for at sikre, at behandling af persondata, aktiviteter og systemer overholder lovgivningen og tænkes ind i designet.

UC SYD vil udpege en Databeskyttelsesrådgiver(DPO), når forordningen træder i kræft.
Kontaktoplysninger for til DPO’en vil fremgå af www.ucsyd.dk samt intranettet.
 

GDPR kræver, at organisationer informerer de nationale tilsynsmyndigheder i tilfælde af databrud inden for 72 timer efter, at et sådant brud er konstateret.
Det er vigtigt, at organisationerne har teknologien og processerne på plads, der gør dem i stand til at konstatere og reagere på databrud.

Beskyttelse af personoplysninger skal være tænkt ind i designet af systemer og processer (data protection by design).
Software, systemer og processer skal være opbygget, så de opfylder principperne for databeskyttelse. I fremtiden skal al software kunne slette data helt.
Organisationerne skal som standard kunne behandle den minimale, nødvendige mængde data.

Offentlige organisationer, der ikke opfylder GDPR, risikerer bøder på op til 2 % af den årlige omsætning eller maksimalt EUR 16 mio.

03

UC SYD's Data Protection Officer

Data Protection Officer
Kira Camilla Witte Leuenhagen
Mail: dpo@ucsyd.dk

Henvendelser vedrørende GDPR skal sendes til følgende mail: dpo@ucsyd.dk 
Herefter vil vores Data Protection Officer, Kira Camilla Witte Leuenhagen, håndtere din henvendelse.

Leverandører, der henvender sig vedrørende databehandleraftaler, skal ikke sende til DPO-postkassen. Henvendelser vedrørende databehandleraftaler skal gå direkte via leverandørens kontaktperson ved UC SYD.

04

Vejledninger

Her kan du finde vejledninger til, hvordan du kan modtage og sende sikker post til os.

Sådan besvarer du sikker post via e-boks

Find en vejledning her.

Sådan sender du sikker post via e-boks

Find en vejledning her.