Det første år med GDPR

Hvad har vi lært, og hvad mangler vi stadig svar på?

Lørdag den 25. maj 2019 var det præcis et år siden, at databeskyttelsesforordningen (GDPR) trådte i kraft i hele EU. I Danmark har vi suppleret EU-reglerne med databeskyttelsesloven, som derfor afløser persondataloven fra år 2000.

Med databeskyttelsesreglerne indtraf et øget fokus på beskyttelsen af danskernes personoplysninger og en øget opmærksomhed fra tilsynsmyndigheden – Datatilsynet.

I denne artikel giver vi et overblik over det første år med databeskyttelsesreglerne, og vi vil efterfølgende følge op med artikler om de enkelte fokusområder.

Vejledninger

Som tilsynsmyndighed er det Datatilsynets opgave at vejlede om databeskyttelsesreglerne. Det danske datatilsyn har efterkommet den pligt ved at udarbejde en række vejledninger på området til brug for de erhvervsdrivende. Af vigtige vejledninger kan bl.a. nævnes:

  • Vejledning om de registreredes rettigheder
  • Håndtering af brud på persondatasikkerheden
  • Databeskyttelse i forbindelse med ansættelsesforhold

Du kan se det samlede overblik over vejledninger på Datatilsynets hjemmeside

Datatilsynet på besøg

Datatilsynet har det første år været på en række tilsynsbesøg, og vi begynder nu at få et overblik over, hvad Datatilsynet er interesseret i, når de kommer på besøg.

Udgangspunktet for tilsyn er, at virksomheden bliver varslet ca. fire uger i forvejen og ofte med fremsendelse af spørgeskemaer til den erhvervsdrivendes
besvarelse forud for tilsynsbesøget.

Du kan se eksempler på Datatilsynets spørgeskemaer her

Brud på persondatasikkerheden

I det første år efter at databeskyttelsesreglerne er trådt i kraft, er der pr. 1. april i år registret 4.301 brud på persondatasikkerheden fordelt med 2780 anmeldelser i perioden 25. maj til 31. december 2018 og 1521 anmeldelser i 1. kvartal af 2019.

Anmeldelserne kommer både fra private og offentlige dataansvarlige og tallene viser, at de grupper af dataansvarlige, der har meget udadvendt kontakt med de registrerede (kunder/borgere), også er de dataansvarlige, som har fået flest anmeldelser.

Langt størstedelen af anmeldelserne vedrører forhold, hvor personoplysninger er sendt på en sikker måde f.eks. via e-Boks, krypteret eller på en lukket kundeportal men til en forkert modtager.

Det er den type brud på persondatasikkerheden mange virksomheder kender til, og hos mange erhvervsdrivende er det en almindelig forekommende hændelse, der sker på daglig basis.

Det er ikke alle typer af brud på persondatasikkerheden, der skal anmeldes til Datatilsynet eller de registrerede. Vurderer den dataansvarlige, at bruddet på persondatasikkerheden ikke skal anmeldes til Datatilsynet, er det dog stadig vigtigt at sikre, at bruddet bliver registreret i den dataansvarliges lovpligtige interne log/opgørelse over brud på persondatasikkerheden.

Brud på persondatasikkerheden kan anmeldes til Datatilsynet her

Behandlingssikkerhed

Med databeskyttelsesreglerne er der også kommet skærpede krav til behandlingssikkerheden – altså hvordan vi ”passer på” de personoplysninger, vi behandler, og vi skal med de nye regler implementere passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Derfor er også dokumentationskravet til behandlingssikkerheden skærpet, og dataansvarlige er således forpligtede til at foretage en risikovurdering, som skal danne grundlag for de valgte tekniske og organisatoriske sikkerhedsforanstaltninger.

Et af kravene til behandlingssikkerheden er kravet om kryptering af emails, der indeholder følsomme eller fortrolige personoplysninger. Alle dataansvarlige, som sender følsomme eller fortrolige personoplysninger på e-mail, skal således implementere en e-mailløsning, der kan kryptere e-mails.

Med skærpelsen af kravet om e-mailkryptering, der tidligere blot var en anbefaling, er det heller ikke længere muligt at give sit samtykke til, at man kan korrespondere om følsomme eller fortrolige personoplysninger på en ikke-krypteret e-mail.

Afgørelser fra Datatilsynet

Efter databeskyttelsesreglerne er trådt i kraft, er Datatilsynet nu begyndt at komme med kritik, påbud, forbud og indstilling til bøder (politianmeldelser). Vi har her valgt at fremhæve følgende afgørelser fra Datatilsynet:

  • TDC A/S (Yousee A/S): Datatilsynet har meddelt et midlertidigt forbud imod at optage telefonsamtaler til brug for intern medarbejdertræning, indtil der foreligger en teknisk løsning, som gør det muligt at indhente et samtykke i overensstemmelse med databeskyttelsesreglerne.
  • Rejsekort A/S: Datatilsynet har udtalt alvorlig kritik og meddelt påbud om, at Rejsekort A/S skal indrette deres systemer, så de efterlever kravene i databeskyttelsesforordningen og databeskyttelsesloven. Påbuddet kom efter, at en registreret havde rettet henvendelse til Rejsekort A/S med henblik på at få berigtiget sine personoplysninger, hvilket ikke var muligt i de nuværende systemer. Kritikken skyldes endvidere, at Rejsekort A/S ikke af egen drift berigtiger personoplysninger, som de ved er forkerte, hvilket er i uoverensstemmelse med de grundlæggende databeskyttelsesprincipper, herunder princippet om ajourførte og rigtige data.
  • Fredericia Gymnasium: Datatilsynet har udtalt alvorlig kritik omkring gymnasiets anvendelse af programmet Examcookie, idet anvendelsen efter Datatilsynets opfattelse er i strid med de grundlæggende databehandlingsprincipper, herunder særligt princippet om dataminimering. Det er Datatilsynets opfattelse, at programmet Examcookie indsamler og behandler flere oplysninger end nødvendigt.
  • PFA Pension: Datatilsynet har udtalt kritik om, at PFA Pensions behandling af personoplysninger ikke sker i overensstemmelse med reglerne om behandlingssikkerhed, idet PFA Pension for ofte sender personoplysninger til forkerte modtagere.
  • Taxa 4 x 35 er blevet politianmeldt og indstillet til en bøde på 1,2 mio. kr. for manglende overholdelse af slettefrister og tilpasning af systemer, som muliggør sletning af data.
  • IDdesign A/S er blevet politianmeldt og indstillet til en bøde på 1,5 mio. kr. for manglende iagttagelse af procedurer for sletning af personoplysninger på 385.000 kundeforhold.

Vi afventer fortsat, at den første reelle bøde bliver vedtaget, og udtalelser fra Datatilsynet tyder på, at der er flere politianmeldelser på vej på baggrund af de gennemførte tilsyn.

Dataansvarlige og databehandlere

Hvis man som dataansvarlig benytter sig af databehandlere, er der krav om, at man skal indgå en databehandleraftale. Databehandleraftalen kan dog ikke stå alene, idet der med databeskyttelsesreglerne ligeledes er et krav om, at man også efterfølgende skal kontrollere behandlingen af personoplysninger hos sin databehandler.

En af måderne, hvor man kan kontrollere eller føre tilsyn med sine databehandlere, er f.eks. ved at bruge en revisorerklæring. FSR – danske revisorer har i samarbejde med Datatilsynet udarbejdet en erklæring, som man med fordel kan lade sig inspirere af.

Revisionserklæringer er dog ikke et krav i databeskyttelsesforordningen, men udgør blot en af de foranstaltninger, som kan anvendes til at føre kontrol med databehandleren.

Reglerne gælder også for fonde og foreninger

Når frivillige foreninger og organisationer med almennyttige eller andre ideelle formål behandler personoplysninger, er de også omfattet af reglerne i databeskyttelsesforordningen og databeskyttelsesloven. Det er derfor vigtigt at være opmærksom på, om man har forholdt sig til, hvordan man efterlever de grundlæggende databeskyttelsesprincipper, når man behandler medlemmers eller ansøgeres personoplysninger.

Det fortsatte arbejde med databeskyttelsesreglerne

Selvom databeskyttelsesreglerne kunne fejre 1-års jubilæum i maj, er de erhvervsdrivendes arbejde med databeskyttelsesreglerne langt fra slut.

Efterlevelse af reglerne er ikke kun et engangsprojekt, men en løbende proces, og de krav, som den erhvervsdrivende har beskrevet i sine databeskyttelsespolitikker og procedurer, skaltil hver en tid efterleves i praksis. Som en del af selvkontrollen er det et krav, at man som dataansvarlig har ajourført dokumentation og løbende forholder sig til sin risikovurdering og dokumenterer at man overholder de procedurer, som er vedtaget og særligt blandt medarbejderne.

Hos Kielberg Advokater er vi specialister i GDPR og behandling af personoplysninger. Vi kan bl.a. hjælpe med at få overblik over behandlingssikkerhed og dokumentationskrav i jeres virksomhed. Kontakt os for en uforpligtende dialog om jeres behov.

Om Forfatteren

Nis Stemann Knudsen
Marie-Louise Uglebjerg Hansen