fbpx

Databeskyttelsesforordningen

HVAD ER GDPR-FORORDNINGEN?

databeskyttelsesforordningen

Alle virk­som­he­der og myn­dig­he­der har haft — og har sta­dig — et mas­sivt fokus på GDPR-compliance efter databeskyttelsesforordningen, som fik fuld virk­ning pr. 25. maj 2018.

Måske mest fordi den indebærer et hidtil uset bøde­ni­veau på områ­det, og fordi Datatilsynet allerede har indstillet to virksomheder til bøder på henholdsvis 1.2 og 1.5 mio. kr. for navnlig manglende sletning af oplysninger.

Datatilsynet har da heller ikke været tilbageholdende med at kritisere dataansvarlige, hvis ikke virksomhedernes interne procedurer og tekniske sikkerhed har levet op til kravene.

Har du spørgsmål eller brug for hjælp til at sikre fuldt overblik over de forpligtelser, der følger med arbejdet med persondata, er du meget velkommen til at kontakte os.

 

Sanktioner og bøder for manglende overholdelse af databeskyttelsesforordningen

Et advokatfirma, et inkassofirma og en fagforening er blevet kritiseret for ikke at have sørget for sikker mailkommunikation, jf. Datatilsynets afgørelser af henholdsvis 14. oktober og 14. november 2019, ligesom et pensionsselskab er blevet kritiseret for ikke at sikre mod fejlforsendelser ved eksempelvis at lave pop-up meddelelser, der minder afsender om at tjekke, om adressen nu også er korrekt, inden der trykkes ”send”, jf. Datatilsynets afgørelse af 29. maj 2019.

Også rundt om i EU afsiges der mange afgørelser, som også udmunder i bøder til dataansvarlige for manglende efterlevelse af reglerne.

Du kan følge udviklingen her.

 

Indholdet af Databeskyttelsesforordningen

Databeskyttelsesforordningen og den supplerende databeskyttelseslov (også kaldet GDPR-reglerne) fast­læg­ger i det store hele de samme betin­gel­ser for adgangen til at behandle personoplysninger, som gjaldt efter den tidligere lov om behand­ling af per­so­nop­lys­nin­ger.

Den væsentligste forskel ligger i bødestørrelsen og i kravene til den dataansvarliges dokumentation for sin implementering af reglerne samt (og navnlig) de bagvedliggende overvejelser (risikovurderinger), som har ligget til grund for den dataansvarliges valg af sikkerhedstiltag (sikkerhedsniveau).

 

Databeskyttelsesforordningen indebærer således:

 

  • Øgede krav til doku­men­ta­tion for data­be­skyt­tel­se og opfølg­ning – blandt andet skal den data­ansvar­li­ge udar­bej­de en for­teg­nel­se med hen­blik på at kunne doku­men­te­re en efter­le­vel­se af databeskyttelsesforordningen, lige­som der skal udarbejdes en risikovurdering, som den dataansvarlige skal tage udgangspunkt i, når man designer syste­mer­ne og fastlægger de organisatoriske procedurer, sådan at der så vidt muligt sikres over­hol­del­se af data­be­skyt­tel­ses­reg­ler­ne.
  • Øgede krav til den data­ansvar­li­ges oplys­ning til den regi­stre­re­de i for­bin­del­se med ind­sam­ling af oplys­nin­ger og ind­hen­tel­se af samtyk­ke.
  • Gene­relt styr­ke­de ret­tig­he­der til den regi­stre­re­de – her­un­der ”ret­ten til at blive glemt” og retten til at kunne gøre indsigelse mod behandling af ikke-følsomme oplysninger, selvom den dataansvarlige måtte have hjemmel til at behandle følsomme oplysninger – og der­med skær­pe­de krav til den data­ansvar­li­ge i den for­bin­del­se.
  • Anmeldelses- og oplys­nings­pligt ved brud på data­sik­ker­hed – her­un­der kort frist på 72 timer til at anmel­de et brud på data­sik­ker­he­den til til­syns­myn­dig­he­den.
  • At der skal udar­bej­des en kon­se­kvens­a­na­ly­se i sær­li­ge til­fæl­de – eksem­pel­vis hvis der behand­les føl­som­me oplys­nin­ger i stort omfang.
  • At der i sær­li­ge til­fæl­de skal udpe­ges en DPO (Data Pro­tection Offi­cer), som skal være uaf­hæn­gig af ledel­sen i orga­ni­sa­tio­nen, og som via råd­giv­ning og over­våg­ning skal sikre, at orga­ni­sa­tio­nen over­hol­der per­son­da­ta­for­ord­nin­gen.

 

Overholdelse af Databeskyttelsesforordningen

Hvis man skal sikre sig over­hol­del­se af databeskyttelsesfor­ord­nin­gen – herunder foretage den korrekte vurdering af hvilke sikkerhedstiltag som er nødvendige og passende i forretningen – bør man først og fremmest få kort­lagt sine behandlinger per­so­nop­lys­nin­ger i orga­ni­sa­tio­nen.

Her­un­der få kort­lagt, hvil­ke oplys­nin­ger der behand­les i hvil­ke dele af orga­ni­sa­tion, og hvem de even­tu­elt er udveks­let med.

I den for­bin­del­se skal man også sikre sig at få ansva­ret for­delt samt at få pro­ce­du­rer­ne og syste­mer­ne på plads. Du kan her se en liste over de opgaver du skal være særligt opmærksom på i arbejdet med GDPR-compliance:

 

Hvordan sikrer man overholdelse af persondatareglerne?

Kortlæg kategorierne af oplysninger, der behandles, typen af behandlinger, der foretages i organisationen samt hjemmelsbestemmelserne, man anvender som grundlag for behandlingerne.


Læs om typer af personoplysninger


Gennemgå de tekniske systemer og tilpas dem om nødvendigt, hvis ikke de lever op til det niveau af sikkerhed, som risikovurderingen forudsætter er nødvendig (eksempelvis få implementeret et sikkermail-system, i fald man jævnligt sender fortrolige og følsomme oplysninger over nettet og sørg for kryptering af alle bærbare medier).


Læs om dataansvarliges forpligtelser

Fordel ansvaret for overholdelsen af reglerne i organisationens lokale enheder (sørg for at uddanne personalet).


Læs om ‘Fire domme fra Højesteret om behandling af personoplysninger’

Udarbejd et årshjul for overholdelse af persondatareglerne, hvorved man jævnligt får opdateret sin interne dokumentation samt tilpasset de tekniske/organisatoriske sikkerhedsforanstaltninger til den evigt foranderlige virkelighed.


Læs om rådgivning om GDPR

Udarbejd en risikovurdering- altså en vurdering af risikoen for at den registreredes oplysninger/rettigheder bliver krænket sammenholdt med konsekvenserne heraf. Konsekvenserne kan være vidtrækkende. Ex kan tab af dokumenter (utilsigtet sletning/hacking) indebære, at vigtige beviser går tabt, og den registrerede dermed taber et rejst krav.


Læs om GDPR-risikovurdering

Udarbejd fortegnelser efter forordningens artikel 30, som tager udgangspunkt i virksomhedens overordnede behandlingsopgaver (ex. en fortegnelse for ”Markedsføring og kundepleje” en fortegnelse for ”HR” og en fortegnelse for ”Finansielle- og regnskabsmæssige forhold”).


Læs om dokumentation til compliance

Fastlæg og informer internt om de procedurer, der skal følges for overholdelse af behandlingsreglerne samt også sikkerheds- og rettighedsreglerne, navnlig skal medarbejderne instrueres om at tage positivt stilling til, om en oplysning er nødvendig, hvis den ”falder uden for normalen”, og at slette oplysningen, hvis ikke den er nødvendig, ligesom medarbejderen skal instrueres om proceduren, hvis man modtager en rettighedsanmodninger, eller hvis der sker et databrud.


Medarbejders ret til indsigt

Dette alt med hen­blik på at sikre en efter­le­vel­se af databeskyttelsesforordningen og den supplerende databeskyttelseslov.

 

Kontakt os

Det er også en god idé at søge juri­disk bistand til de GDPR-relaterede spørgs­mål, som med sik­ker­hed vil opstå ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af reg­ler­ne i orga­ni­sa­tio­nen.

Har du derfor spørgsmål eller brug for hjælp, er du velkommen til at kontakte os for en uforpligtende drøftelse af dine muligheder.

 

Kira Kolby Christensen

Partner

Læs også om

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev