Når der behandles personoplysninger i Danmark, er det væsentligt at forstå samspillet mellem databeskyttelsesloven og GDPR. Siden GDPR trådte i kraft den 25. maj 2018, stilles der krav om ansvarlig håndtering af data og beskyttelse af privatlivet. Databeskyttelsesloven supplerer GDPR med særlige danske regler, som gælder ud over de fælleseuropæiske bestemmelser. Dette indebærer blandt andet et øget fokus på ansvar hos både databehandlere og dataansvarlige samt præcise retningslinjer for lovlige behandlingsgrundlag, rettigheder i forbindelse med automatiserede beslutninger og mulighed for tilsyn fra Datatilsynet. Loven skærper også opmærksomheden på bestemte branchers eller sektorers særlige behov, herunder krav om sikkerhedsforanstaltninger i den offentlige sektor og særlige regler for behandling af personoplysninger om børn. De danske regler rummer ligeledes bestemmelser, der præciserer behandlingen af følsomme oplysninger, så virksomheder og myndigheder skal være opmærksomme på, hvordan disse regler påvirker arbejdsgange i praksis. Myndighederne i Danmark har desuden kompetence til at udstede særskilte anvisninger, der tager afsæt i nationale forhold.

Hvad det betyder for virksomheder og organisationer

Ved behandling af personoplysninger i Danmark skal både GDPR og databeskyttelsesloven overholdes. Det omfatter mere end blot samtykke; der skal være styr på alle relevante behandlingsgrundlag, såsom opfyldelse af kontrakter eller overholdelse af lovkrav. Selvom GDPR udstikker de overordnede rammer for datahåndtering, indeholder databeskyttelsesloven yderligere danske krav.

Det er nødvendigt at sikre, at procedurer og processer lever op til begge regelsæt, især når automatiserede systemer anvendes til beslutningstagning. Personer har ret til at få en afgørelse vurderet af et menneske, hvis de har været udsat for en automatisk afgørelse. Det skal desuden kunne dokumenteres overfor Datatilsynet, hvordan reglerne overholdes.

Yderligere information om centrale gdpr regler kan findes her, hvor der er samlet svar på ofte stillede spørgsmål om både EU-forordningen og den danske lovgivning.

I praksis betyder det, at organisationer bør gennemføre løbende uddannelse af ansatte, så de er bekendt med relevante regler. Det anbefales at udføre risikovurderinger regelmæssigt og at udvikle klare interne retningslinjer for håndtering af data. Ud over de juridiske krav er opmærksomhed på etik og god dataskik også en væsentlig del. Ved at implementere disse forholdsregler, kan virksomheder og organisationer undgå uforudsete problemer under Datatilsynets kontroller og sikre, at behandling af persondata sker ansvarligt.

Praktiske krav og ansvar ved håndtering af persondata

Det er ikke nok at have procedurer – de skal løbende opdateres og dokumenteres. Der er et dokumentationskrav for al behandling af personoplysninger, så det kan vises overfor tilsynsmyndighederne, hvordan reglerne efterleves. Dette gælder både tekniske løsninger og organisatoriske processer.

Ved brud på datasikkerheden eller fejl i behandlingen kan Datatilsynet gribe ind med sanktioner. For eksempel blev der i 2024 foreslået en bøde på to millioner euro til Netcompany som følge af fejl i databehandlingen. Derfor er det væsentligt løbende at vurdere risici og sikre sig mod fejl eller mangler.

Praktiske krav kan også inkludere udpegning af en databeskyttelsesrådgiver (DPO), hvis virksomhedens aktiviteter kræver det, samt sørge for løbende opdateringer af tekniske sikkerhedsforanstaltninger, som adgangskontrol, kryptering og regelmæssige back-ups. Det er afgørende at have klare procedurer for behandling af anmodninger fra registrerede, såsom indsigt eller sletning. Disse processer skal være gennemsigtige og let tilgængelige for både medarbejdere og de personer, hvis data behandles. Endvidere bør alle hændelser dokumenteres, så det hurtigt kan vises, at reglerne bliver overholdt i praksis.

Nye udviklinger og fremtidige aspekter af databeskyttelse

Reglerne for behandling af personoplysninger udvikler sig løbende, blandt andet i takt med nye teknologier og digitalisering. Data Act forventes at træde i kraft fra 2025, hvilket vil medføre yderligere krav til deling og brug af data på tværs af sektorer. Samtidig bliver AI-lovgivning integreret med GDPR-principper for at beskytte følsomme oplysninger ved brug af kunstig intelligens.

Arbejdet med databeskyttelse slutter ikke ved den nuværende lovgivning. Det er nødvendigt løbende at følge nye regler og justere processerne derefter. Overholdelse af eksisterende krav samt kommende initiativer vil være afgørende for en sikker behandling af personoplysninger i Danmark.

Fremover kan organisationer forvente øget fokus på transparens og retfærdighed i brugen af data, især i forbindelse med automatisering og brugen af algoritmer til beslutningstagning. Der vil sandsynligvis blive stillet krav om mere detaljeret dokumentation af, hvordan data analyseres og behandles, samt hvordan eventuelle risici håndteres. Udviklingen kræver derfor en fleksibel tilgang i tilrettelæggelsen af dataarbejde og en vilje til at tilpasse politikker og rutiner efterhånden som nye retningslinjer eller lovkrav træder i kraft.