HVAD ER GDPR-FORORDNINGEN?
Alle virksomheder og myndigheder har haft — og har stadig — et massivt fokus på GDPR-compliance efter databeskyttelsesforordningen, som fik fuld virkning pr. 25. maj 2018.
Måske mest fordi den indebærer et hidtil uset bødeniveau på området, og fordi Datatilsynet allerede har indstillet to virksomheder til bøder på henholdsvis 1.2 og 1.5 mio. kr. for navnlig manglende sletning af oplysninger.
Datatilsynet har da heller ikke været tilbageholdende med at kritisere dataansvarlige, hvis ikke virksomhedernes interne procedurer og tekniske sikkerhed har levet op til kravene.
Har du spørgsmål eller brug for hjælp til at sikre fuldt overblik over de forpligtelser, der følger med arbejdet med persondata, er du meget velkommen til at kontakte os.
Sanktioner og bøder for manglende overholdelse af databeskyttelsesforordningen
Et advokatfirma, et inkassofirma og en fagforening er blevet kritiseret for ikke at have sørget for sikker mailkommunikation, jf. Datatilsynets afgørelser af henholdsvis 14. oktober og 14. november 2019, ligesom et pensionsselskab er blevet kritiseret for ikke at sikre mod fejlforsendelser ved eksempelvis at lave pop-up meddelelser, der minder afsender om at tjekke, om adressen nu også er korrekt, inden der trykkes ”send”, jf. Datatilsynets afgørelse af 29. maj 2019.
Også rundt om i EU afsiges der mange afgørelser, som også udmunder i bøder til dataansvarlige for manglende efterlevelse af reglerne.
Du kan følge udviklingen her.
Indholdet af Databeskyttelsesforordningen
Databeskyttelsesforordningen og den supplerende databeskyttelseslov (også kaldet GDPR-reglerne) fastlægger i det store hele de samme betingelser for adgangen til at behandle personoplysninger, som gjaldt efter den tidligere lov om behandling af personoplysninger.
Den væsentligste forskel ligger i bødestørrelsen og i kravene til den dataansvarliges dokumentation for sin implementering af reglerne samt (og navnlig) de bagvedliggende overvejelser (risikovurderinger), som har ligget til grund for den dataansvarliges valg af sikkerhedstiltag (sikkerhedsniveau).
Databeskyttelsesforordningen indebærer således:
- Øgede krav til dokumentation for databeskyttelse og opfølgning – blandt andet skal den dataansvarlige udarbejde en fortegnelse med henblik på at kunne dokumentere en efterlevelse af databeskyttelsesforordningen, ligesom der skal udarbejdes en risikovurdering, som den dataansvarlige skal tage udgangspunkt i, når man designer systemerne og fastlægger de organisatoriske procedurer, sådan at der så vidt muligt sikres overholdelse af databeskyttelsesreglerne.
- Øgede krav til den dataansvarliges oplysning til den registrerede i forbindelse med indsamling af oplysninger og indhentelse af samtykke.
- Generelt styrkede rettigheder til den registrerede – herunder ”retten til at blive glemt” og retten til at kunne gøre indsigelse mod behandling af ikke-følsomme oplysninger, selvom den dataansvarlige måtte have hjemmel til at behandle følsomme oplysninger – og dermed skærpede krav til den dataansvarlige i den forbindelse.
- Anmeldelses- og oplysningspligt ved brud på datasikkerhed – herunder kort frist på 72 timer til at anmelde et brud på datasikkerheden til tilsynsmyndigheden.
- At der skal udarbejdes en konsekvensanalyse i særlige tilfælde – eksempelvis hvis der behandles følsomme oplysninger i stort omfang.
- At der i særlige tilfælde skal udpeges en DPO (Data Protection Officer), som skal være uafhængig af ledelsen i organisationen, og som via rådgivning og overvågning skal sikre, at organisationen overholder persondataforordningen.
Overholdelse af Databeskyttelsesforordningen
Hvis man skal sikre sig overholdelse af databeskyttelsesforordningen – herunder foretage den korrekte vurdering af hvilke sikkerhedstiltag som er nødvendige og passende i forretningen – bør man først og fremmest få kortlagt sine behandlinger personoplysninger i organisationen.
Herunder få kortlagt, hvilke oplysninger der behandles i hvilke dele af organisation, og hvem de eventuelt er udvekslet med.
I den forbindelse skal man også sikre sig at få ansvaret fordelt samt at få procedurerne og systemerne på plads. Du kan her se en liste over de opgaver du skal være særligt opmærksom på i arbejdet med GDPR-compliance:
Hvordan sikrer man overholdelse af persondatareglerne?
Kortlæg kategorierne af oplysninger, der behandles, typen af behandlinger, der foretages i organisationen samt hjemmelsbestemmelserne, man anvender som grundlag for behandlingerne.
Gennemgå de tekniske systemer og tilpas dem om nødvendigt, hvis ikke de lever op til det niveau af sikkerhed, som risikovurderingen forudsætter er nødvendig (eksempelvis få implementeret et sikkermail-system, i fald man jævnligt sender fortrolige og følsomme oplysninger over nettet og sørg for kryptering af alle bærbare medier).
Fordel ansvaret for overholdelsen af reglerne i organisationens lokale enheder (sørg for at uddanne personalet).
Læs om ‘Fire domme fra Højesteret om behandling af personoplysninger’
Udarbejd et årshjul for overholdelse af persondatareglerne, hvorved man jævnligt får opdateret sin interne dokumentation samt tilpasset de tekniske/organisatoriske sikkerhedsforanstaltninger til den evigt foranderlige virkelighed.
Udarbejd en risikovurdering- altså en vurdering af risikoen for at den registreredes oplysninger/rettigheder bliver krænket sammenholdt med konsekvenserne heraf. Konsekvenserne kan være vidtrækkende. Ex kan tab af dokumenter (utilsigtet sletning/hacking) indebære, at vigtige beviser går tabt, og den registrerede dermed taber et rejst krav.
Udarbejd fortegnelser efter forordningens artikel 30, som tager udgangspunkt i virksomhedens overordnede behandlingsopgaver (ex. en fortegnelse for ”Markedsføring og kundepleje” en fortegnelse for ”HR” og en fortegnelse for ”Finansielle- og regnskabsmæssige forhold”).
Fastlæg og informer internt om de procedurer, der skal følges for overholdelse af behandlingsreglerne samt også sikkerheds- og rettighedsreglerne, navnlig skal medarbejderne instrueres om at tage positivt stilling til, om en oplysning er nødvendig, hvis den ”falder uden for normalen”, og at slette oplysningen, hvis ikke den er nødvendig, ligesom medarbejderen skal instrueres om proceduren, hvis man modtager en rettighedsanmodninger, eller hvis der sker et databrud.
Dette alt med henblik på at sikre en efterlevelse af databeskyttelsesforordningen og den supplerende databeskyttelseslov.
Kontakt os
Det er også en god idé at søge juridisk bistand til de GDPR-relaterede spørgsmål, som med sikkerhed vil opstå ikke bare i den forberedende proces, men også efterfølgende i forbindelse med administrationen af reglerne i organisationen.
Har du derfor spørgsmål eller brug for hjælp, er du velkommen til at kontakte os for en uforpligtende drøftelse af dine muligheder.