Databeskyttelsesforordningen

HVAD ER GDPR-FORORDNINGEN?

databeskyttelsesforordningen

Alle virk­som­he­der og myn­dig­he­der har haft — og har sta­dig — et mas­sivt fokus på GDPR-compliance efter data­be­skyt­tel­ses­for­ord­nin­gen, som fik fuld virk­ning pr. 25. maj 2018.

Måske mest fordi den inde­bæ­rer et hidtil uset bøde­ni­veau på områ­det, og fordi Data­til­sy­net alle­rede har indstil­let to virk­som­he­der til bøder på henholds­vis 1.2 og 1.5 mio. kr. for navn­lig mang­lende slet­ning af oplys­nin­ger.

Data­til­sy­net har da heller ikke været tilba­ge­hol­dende med at kriti­sere data­ansvar­lige, hvis ikke virk­som­he­der­nes interne proce­du­rer og tekni­ske sikker­hed har levet op til kravene.

Har du spørgs­mål eller brug for hjælp til at sikre fuldt over­blik over de forplig­tel­ser, der følger med arbej­det med person­data, er du meget velkom­men til at kontakte os.

 

Sanktioner og bøder for manglende overholdelse af databeskyttelsesforordningen

Et advo­kat­firma, et inkas­so­firma og en fagfor­e­ning er blevet kriti­se­ret for ikke at have sørget for sikker mail­kom­mu­ni­ka­tion, jf. Data­til­sy­nets afgø­rel­ser af henholds­vis 14. okto­ber og 14. novem­ber 2019, lige­som et pensions­sel­skab er blevet kriti­se­ret for ikke at sikre mod fejl­for­sen­del­ser ved eksem­pel­vis at lave pop-up meddel­el­ser, der minder afsen­der om at tjekke, om adres­sen nu også er korrekt, inden der tryk­kes ”send”, jf. Data­til­sy­nets afgø­relse af 29. maj 2019.

Også rundt om i EU afsi­ges der mange afgø­rel­ser, som også udmun­der i bøder til data­ansvar­lige for mang­lende efter­le­velse af reglerne.

Du kan følge udvik­lin­gen her.

 

Indholdet af Databeskyttelsesforordningen

Data­be­skyt­tel­ses­for­ord­nin­gen og den supple­rende data­be­skyt­tel­ses­lov (også kaldet GDPR-reglerne) fast­læg­ger i det store hele de samme betin­gel­ser for adgan­gen til at behandle personoplysninger, som gjaldt efter den tidli­gere lov om behand­ling af per­so­nop­lys­nin­ger.

Den væsent­lig­ste forskel ligger i bøde­stør­rel­sen og i kravene til den data­ansvar­li­ges doku­men­ta­tion for sin imple­men­te­ring af reglerne samt (og navn­lig) de bagved­lig­gende over­vej­el­ser (risi­ko­vur­de­rin­ger), som har ligget til grund for den data­ansvar­li­ges valg af sikker­heds­til­tag (sikker­heds­ni­veau).

 

Databeskyttelsesforordningen indebærer således:

 

  • Øgede krav til doku­men­ta­tion for data­be­skyt­tel­se og opfølg­ning – blandt andet skal den data­ansvar­li­ge udar­bej­de en for­teg­nel­se med hen­blik på at kunne doku­men­te­re en efter­le­vel­se af data­be­skyt­tel­ses­for­ord­nin­gen, lige­som der skal udar­bej­des en risi­ko­vur­de­ring, som den data­ansvar­lige skal tage udgangs­punkt i, når man desig­ner syste­mer­ne og fast­læg­ger de orga­ni­sa­to­ri­ske proce­du­rer, sådan at der så vidt muligt sikres over­hol­del­se af data­be­skyt­tel­ses­reg­ler­ne.
  • Øgede krav til den data­ansvar­li­ges oplys­ning til den regi­stre­re­de i for­bin­del­se med ind­sam­ling af oplys­nin­ger og ind­hen­tel­se af samtyk­ke.
  • Gene­relt styr­ke­de ret­tig­he­der til den regi­stre­re­de – her­un­der ”ret­ten til at blive glemt” og retten til at kunne gøre indsi­gelse mod behand­ling af ikke-følsomme oplys­nin­ger, selvom den data­ansvar­lige måtte have hjem­mel til at behandle følsomme oplys­nin­ger – og der­med skær­pe­de krav til den data­ansvar­li­ge i den for­bin­del­se.
  • Anmeldelses- og oplys­nings­pligt ved brud på data­sik­ker­hed – her­un­der kort frist på 72 timer til at anmel­de et brud på data­sik­ker­he­den til til­syns­myn­dig­he­den.
  • At der skal udar­bej­des en kon­se­kvens­a­na­ly­se i sær­li­ge til­fæl­de – eksem­pel­vis hvis der behand­les føl­som­me oplys­nin­ger i stort omfang.
  • At der i sær­li­ge til­fæl­de skal udpe­ges en DPO (Data Pro­tection Offi­cer), som skal være uaf­hæn­gig af ledel­sen i orga­ni­sa­tio­nen, og som via råd­giv­ning og over­våg­ning skal sikre, at orga­ni­sa­tio­nen over­hol­der per­son­da­ta­for­ord­nin­gen.

 

Overholdelse af Databeskyttelsesforordningen

Hvis man skal sikre sig over­hol­del­se af databeskyttelsesfor­ord­nin­gen – herun­der fore­tage den korrekte vurde­ring af hvilke sikker­heds­til­tag som er nødven­dige og passende i forret­nin­gen – bør man først og frem­mest få kort­lagt sine behand­lin­ger per­so­nop­lys­nin­ger i orga­ni­sa­tio­nen.

Her­un­der få kort­lagt, hvil­ke oplys­nin­ger der behand­les i hvil­ke dele af orga­ni­sa­tion, og hvem de even­tu­elt er udveks­let med.

I den for­bin­del­se skal man også sikre sig at få ansva­ret for­delt samt at få pro­ce­du­rer­ne og syste­mer­ne på plads. Du kan her se en liste over de opga­ver du skal være særligt opmærk­som på i arbej­det med GDPR-compliance:

 

Hvordan sikrer man overholdelse af persondatareglerne?

Kort­læg kate­go­ri­erne af oplys­nin­ger, der behand­les, typen af behand­lin­ger, der fore­ta­ges i orga­ni­sa­tio­nen samt hjem­mels­be­stem­mel­serne, man anven­der som grund­lag for behand­lin­gerne.


Læs om typer af personoplysninger


Gennemgå de tekni­ske syste­mer og tilpas dem om nødven­digt, hvis ikke de lever op til det niveau af sikker­hed, som risi­ko­vur­de­rin­gen forud­sæt­ter er nødven­dig (eksem­pel­vis få imple­men­te­ret et sikkermail-system, i fald man jævn­ligt sender fortro­lige og følsomme oplys­nin­ger over nettet og sørg for kryp­te­ring af alle bærbare medier).


Læs om data­ansvar­li­ges forplig­tel­ser

Fordel ansva­ret for over­hol­del­sen af reglerne i orga­ni­sa­tio­nens lokale enhe­der (sørg for at uddanne perso­na­let).


Læs om ‘Fire domme fra Højeste­ret om behand­ling af personoplysninger’

Udar­bejd et årshjul for over­hol­delse af person­da­ta­reg­lerne, hvor­ved man jævn­ligt får opda­te­ret sin interne doku­men­ta­tion samt tilpas­set de tekniske/organisatoriske sikker­heds­for­an­stalt­nin­ger til den evigt foran­der­lige virke­lig­hed.


Læs om rådgiv­ning om GDPR

Udar­bejd en risikovurdering- altså en vurde­ring af risi­koen for at den regi­stre­re­des oplysninger/rettigheder bliver kræn­ket sammen­holdt med konse­kven­serne heraf. Konse­kven­serne kan være vidtræk­kende. Ex kan tab af doku­men­ter (util­sig­tet sletning/hacking) inde­bære, at vigtige bevi­ser går tabt, og den regi­stre­rede dermed taber et rejst krav.

Udar­bejd forteg­nel­ser efter forord­nin­gens arti­kel 30, som tager udgangs­punkt i virk­som­he­dens over­ord­nede behand­lings­op­ga­ver (ex. en forteg­nelse for ”Markeds­fø­ring og kundepleje” en forteg­nelse for ”HR” og en forteg­nelse for ”Finansielle- og regn­skabs­mæs­sige forhold”).


Læs om doku­men­ta­tion til compli­ance

Fast­læg og infor­mer internt om de proce­du­rer, der skal følges for over­hol­delse af behand­lings­reg­lerne samt også sikkerheds- og rettig­heds­reg­lerne, navn­lig skal medar­bej­derne instru­e­res om at tage posi­tivt stil­ling til, om en oplys­ning er nødven­dig, hvis den ”falder uden for norma­len”, og at slette oplys­nin­gen, hvis ikke den er nødven­dig, lige­som medar­bej­de­ren skal instru­e­res om proce­du­ren, hvis man modta­ger en rettig­heds­an­mod­nin­ger, eller hvis der sker et data­brud.


Medar­bej­ders ret til indsigt

Dette alt med hen­blik på at sikre en efter­le­vel­se af data­be­skyt­tel­ses­for­ord­nin­gen og den supple­rende data­be­skyt­tel­ses­lov.

 

Kontakt os

Det er også en god idé at søge juri­disk bistand til de GDPR-relaterede spørgs­mål, som med sik­ker­hed vil opstå ikke bare i den for­be­re­den­de pro­ces, men også efter­føl­gen­de i for­bin­del­se med admi­ni­stra­tio­nen af reg­ler­ne i orga­ni­sa­tio­nen.

Har du derfor spørgs­mål eller brug for hjælp, er du velkom­men til at kontakte os for en ufor­plig­tende drøf­telse af dine mulig­he­der.

 

Advokat Kira Kolby Christensen

Kira Kolby Christensen

Partner

Direkte: +45 3367 6793

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev