Regulation

GDPR

General Data Protection Regulation er EU's databeskyttelseslov. Den regulerer hvordan personoplysninger om personer i EU indsamles, behandles, overføres og opbevares, med ekstraterritorial rækkevidde til enhver organisation der behandler disse data.

GDPR har været i kraft siden 25. maj 2018, og tilsynsmyndighederne har udstedt mere end 4 milliarder euro i akkumulerede bøder siden håndhævelsen begyndte. For en SMV er den daglige virkelighed dokumentationssættet: fortegnelse over behandlingsaktiviteter (ROPA), databehandleraftaler (DPA) med hver underdatabehandler, konsekvensanalyser (DPIA) for behandling med høj risiko, og en holdbar position på internationale overførsler. Undtagelsen i Artikel 30 for små organisationer er smallere end den fremstår og gælder næsten aldrig i praksis.

Definitioner

Praktiske guides

guide8 min. læsning
GDPR international transfers: adequacy, SCCs, and Schrems II
Chapter V of the GDPR (Articles 44 to 49) governs transfers of personal data out of the EEA. The two main lawful bases are an adequacy decision and the Standard Contractual Clauses. Schrems II (2020) added a requirement to assess and supplement the law of the destination country.

Sammenligninger

sammenligning5 min. læsning
DPIA vs DPA: the GDPR documents that are not the same thing
A DPA is a contract between a controller and a processor (Article 28). A DPIA is an internal assessment of a high-risk processing activity (Article 35). Different artefacts, different obligations, frequently confused in procurement.