GDPR – databeskyttelse i praksis

Klik på et afsnit for at folde beskrivelsen og tre eksempler ud.

GDPR (databeskyttelsesforordningen) blev vedtaget af EU den 14. april 2016 og trådte i kraft den 25. maj 2018. Begrundelsen var, at vores data i stigende grad indsamles, deles og handles digitalt – og at borgerne skulle have kontrollen tilbage over deres egne oplysninger med ét fælles regelsæt i hele EU. Virksomheder, der ikke overholder reglerne, risikerer bøder på op til 20 mio. euro eller 4 % af den globale omsætning – alt efter hvad der er højest.

Eksempel 1 Meta (Facebook) fik i 2023 EU's hidtil største GDPR-bøde på 1,2 mia. euro for at overføre europæiske brugeres data til USA uden tilstrækkelig beskyttelse.
Eksempel 2 Taxa 4x35 blev som en af de første danske virksomheder indstillet til en bøde på 1,2 mio. kr., fordi de gemte kunders oplysninger længere end nødvendigt.
Eksempel 3 Møbelkæden IDdesign (ILVA) blev indstillet til en bøde på 1,5 mio. kr. for at opbevare omkring 385.000 kunders oplysninger uden at have styr på slettefrister.

Man må ikke bare gemme oplysninger "for en sikkerheds skyld". Enhver opbevaring skal have et klart formål og et lovligt grundlag – fx en aftale, en lovpligt eller et samtykke. Og når formålet er opfyldt, skal oplysningerne slettes. Det kaldes også princippet om dataminimering og opbevaringsbegrænsning.

Eksempel 1 En webshop skal gemme dine ordreoplysninger i 5 år – ikke fordi de har lyst, men fordi bogføringsloven kræver det. Det er en gyldig begrundelse.
Eksempel 2 En virksomhed modtager 80 jobansøgninger. De afviste ansøgninger skal slettes efter rekrutteringen (typisk senest efter 6 måneder), medmindre ansøgeren har sagt ja til at blive gemt i en emnebank.
Eksempel 3 Et fitnesscenter må gemme dine medlemsdata, mens du er medlem – men når du har meldt dig ud og alt er afregnet, forsvinder begrundelsen, og oplysningerne skal væk.

En personoplysning er enhver information, der kan knyttes til en identificerbar person. Det behøver ikke være hemmeligt eller privat – bare det kan føres tilbage til dig, er det en personoplysning. Også indirekte: hvis man ved at kombinere oplysninger kan finde frem til én bestemt person, tæller det med.

Eksempel 1 De oplagte: navn, adresse, telefonnummer, e-mailadresse og cpr-nummer. Selv en helt almindelig arbejdsmail som fornavn.efternavn@firma.dk er en personoplysning.
Eksempel 2 De digitale: din IP-adresse, cookies og lokationsdata fra mobilen. De virker anonyme, men kan bruges til at genkende netop dig på tværs af hjemmesider.
Eksempel 3 De visuelle: et foto hvor du kan genkendes, en video fra et overvågningskamera – eller et billede af din bils nummerplade, som kan slås op og føres tilbage til dig.

GDPR skelner mellem almindelige og følsomme personoplysninger. De følsomme handler om de mest private sider af et menneske og er derfor langt strammere beskyttet: De må som udgangspunkt slet ikke behandles, medmindre der er en særlig undtagelse – fx et udtrykkeligt samtykke. Jo mere følsom oplysningen er, jo bedre skal den låses inde.

Eksempel 1 Almindelige oplysninger: navn, adresse, fødselsdato, hvad du har købt i en webshop. De skal stadig beskyttes – men må behandles, når der er et sagligt formål.
Eksempel 2 Følsomme oplysninger: helbred, religion, politisk holdning, fagforeningsforhold, seksuel orientering. En fysioterapeuts journal er fx fuld af følsomme oplysninger.
Eksempel 3 Den danske særling: cpr-nummeret er teknisk set ikke "følsomt" i GDPR-forstand, men det er en fortrolig oplysning med egne, skrappe danske regler – og må fx aldrig sendes i en almindelig, ukrypteret mail.

Du har ret til at spørge enhver virksomhed eller myndighed: "Hvad ved I om mig?" – og de skal svare, normalt inden for en måned, gratis. Svaret skal fortælle, hvilke oplysninger de har, hvor de kommer fra, hvad de bruges til, og hvem de deles med. Det er ofte en øjenåbner at se, hvor meget der faktisk er registreret.

Eksempel 1 Google Takeout (takeout.google.com): Her kan du downloade alt, hvad Google har om dig – søgehistorik, YouTube-visninger, lokationshistorik og mails. Prøv det som demonstration i undervisningen.
Eksempel 2 Facebook/Instagram har en tilsvarende funktion under "Download dine oplysninger" – inklusive gamle beskeder, likes og de annoncører, der har din kontaktinfo.
Eksempel 3 Den klassiske: Du skriver til dit forsikringsselskab eller din bank og beder om indsigt. De skal udlevere en kopi af dine oplysninger – også notater fra telefonsamtaler, hvis de er registreret på dig.

Når der ikke længere er en god grund til at gemme dine oplysninger, kan du kræve dem slettet. Retten er ikke absolut – lovpligtig opbevaring (fx bogføring) og pressefrihed vejer tungere – men i mange hverdagssituationer kan du faktisk bede om at blive glemt.

Eksempel 1 Ophavet til udtrykket: EU-dommen fra 2014, hvor en spansk mand fik ret til, at Google skulle fjerne søgeresultater om en gammel, afsluttet gældssag – historien var ikke længere relevant.
Eksempel 2 Du har en gammel profil på et datingsite eller et forum, du forlod for ti år siden. Du kan skrive til dem og kræve kontoen og alle oplysningerne slettet – ikke bare "deaktiveret".
Eksempel 3 Du afmelder dig et nyhedsbrev og beder samtidig om at få slettet dine oplysninger i deres system – så du ikke dukker op igen, næste gang de "støver kundekartoteket af".

Hvis der er registreret forkerte eller forældede oplysninger om dig, har du ret til at få dem rettet – det kaldes retten til berigtigelse. Virksomheden skal rette hurtigst muligt og som udgangspunkt også give besked til andre, de har delt de forkerte oplysninger med.

Eksempel 1 Lægen eller kommunen har en gammel adresse eller et forkert telefonnummer på dig – vigtig post og indkaldelser ryger det forkerte sted hen, indtil du får det rettet.
Eksempel 2 Dit navn er stavet forkert hos forsikringsselskabet, så policen ikke matcher dit pas – det kan give problemer ved en skadesag og skal rettes, når du gør opmærksom på det.
Eksempel 3 Du er fejlagtigt registreret som dårlig betaler hos et kreditoplysningsbureau (fx RKI), selvom gælden er betalt. Her er retten til berigtigelse helt afgørende for din økonomi.

Du har ret til at få de oplysninger, du selv har givet en virksomhed, udleveret i et almindeligt, maskinlæsbart format – og til at tage dem med til en konkurrent. Det kaldes dataportabilitet, og tanken er, at dine data er dine: Du skal ikke være "fanget" hos én udbyder, bare fordi de sidder på din historik.

Eksempel 1 Du skifter musiktjeneste og vil have dine playlister med. Med dataportabilitet (og værktøjer bygget på den) kan du flytte dine playlister i stedet for at starte forfra.
Eksempel 2 Din løbe-app har fem års træningshistorik. Du kan kræve dataene udleveret som fil (fx CSV eller GPX) og indlæse dem i en ny app – historikken følger med dig.
Eksempel 3 Du beder din bank om at udlevere dine kontobevægelser i et digitalt format, så din nye bank eller dit budgetprogram kan læse dem direkte ind.