Avancerede ØVELSER – GDPR OG DINE DATA

1. GDPR-principper og databehandling

Hvilke af følgende udsagn er i overensstemmelse med GDPR's principper for databehandling?

a) En virksomhed gemmer kundedata i 10 år efter sidste køb for at kunne lave markedsanalyser. b) En app indsamler brugerens lokationsdata 24/7 for at kunne give bedre anbefalinger. c) Et firma anonymiserer persondata, før de bruges til statistiske formål. d) En webshop kræver, at kunder opretter en profil med CPR-nummer for at kunne handle.

2. Håndtering af databrud

Scenario: Du er databeskyttelsesrådgiver (DPO) i en mellemstor virksomhed. En fredag eftermiddag opdager IT-afdelingen, at en ekstern hacker har fået adgang til jeres kundedata, herunder navne, e-mails og krypterede kreditkortoplysninger. Hackerangrebet startede onsdag aften.

Hvilke skridt skal du tage, og i hvilken rækkefølge? (Nummer dine svar fra 1-5)

3. Datasubjekters rettigheder

Match hver rettighed med den korrekte beskrivelse:

1. Ret til indsigt	A. Mulighed for at få slettet personlige data
2. Ret til berigtigelse	B. Mulighed for at få udleveret data i et struktureret format
3. Ret til sletning	C. Mulighed for at se, hvilke data der behandles
4. Ret til dataportabilitet	D. Mulighed for at korrigere fejlagtige oplysninger

4. Samtykke og lovlig behandling

Hvilke af følgende situationer kræver ikke eksplicit samtykke under GDPR?

a) En online boghandel gemmer en kundes ordrehistorik. b) Et hospital deler en patients journaler med en specialist som led i behandlingen. c) Et socialt medie bruger ansigtsgenkendelse til at tagge brugere i billeder. d) En arbejdsgiver overvåger de ansattes e-mails for at forhindre industrispionage. e) En bank udfører en kreditvurdering, før den godkender et lån.

Korrekte svar:

1. GDPR-principper og databehandling: c)

2. Håndtering af databrud:

Informer ledelsen og vurder omfanget af bruddet
Implementer øjeblikkelige sikkerhedsforanstaltninger for at stoppe bruddet
Anmeld bruddet til Datatilsynet inden for 72 timer (senest lørdag aften)
Forbered kommunikation til berørte kunder
Dokumenter hændelsen og planlæg forebyggende tiltag

3. Datasubjekters rettigheder: 1-C, 2-D, 3-A, 4-B

4. Samtykke og lovlig behandling: a), b), e)