Nyheder

Persondataforordningen (GDPR) fejrer 1-års fødselsdag – hvad er status?

Databeskyttelsesforordningen, bedre kendt som GDPR, trådte i kraft den 25. maj 2018. Længe inden da hæftede de fleste sig ved det markant højere bødeniveau. Nu – et år senere – er spørgsmålet så, hvor mange og hvor store bøder den manglende efterlevelse af GDPR indtil videre har budt på i Danmark. Få indblik heri samt vores bud på, hvor fokus fremadrettet skal være i forhold til kompetent databeskyttelse.

Med GDPR’s indtog og ikrafttræden den 25. maj 2018 har europæiske virksomheder for alvor skullet forholde sig aktivt til deres respektive behandling af persondata. Ét er, hvilke data og hvordan disse data behandles, noget andet er sikkerhedsniveauet og virksomhederne forpligtelse til at etablere et passende sikkerhedsniveau – både teknisk og organisatorisk. Det seneste år har vist, at ikke alle danske virksomheder har haft helt styr på, om behandlingen af personoplysninger fulgte de nye regler – sanktionerne har dog været forskellige.

Politianmeldelse for overtrædelse af GDPR

I det forgangne år har Datatilsynet i ét enkelt tilfælde indgivet politianmeldelse for overtrædelse af GDPR og indstillet til en bøde. Sagen vedrører behandling af personoplysninger i forbindelse med et taxiselskabs registrering af omkring 9 mio. taxiture. Oplysninger, der efter Datatilsynets vurdering, var blevet gemt i strid med reglerne. Datatilsynets indstilling til bødens størrelse lyder på 1,2 millioner kr.  Det er nu op til anklagemyndigheden at vurdere, om Datatilsynets politianmeldelse skal føre til en straffesag mod taxiselskabet. Det sidste punktum er derfor ikke sat i denne sag, og det bliver interessant at se, hvor domstolene mener, at bødeniveauet for en overtrædelse som denne skal ligge. Læs mere om sagen her.

Når Datatilsynet udtaler alvorlig kritik eller giver påbud og forbud

Det er dog ikke kun muligheden for at udstede bøder, som Datatilsynet har til sin rådighed, når de skal sikre efterlevelse af GDPR. Tilsynet kan også vælge at udtale kritik eller give et påbud efter reglerne i artikel 58, stk. 2. Disse korrigerende beføjelser har Datatilsynet anvendt i en række tilfælde det seneste år.

Datatilsynet har bl.a. udtalt alvorlig kritik af Rejsekort A/S som følge af, at det ikke er muligt at korrigere fejlbehæftede lokationsdata på rejsende i selskabets IT-system. Selskabet har endvidere fået et påbud om at komme med en plan for at få IT-systemet bragt i overensstemmelse med reglerne. Læs her med om sagen om Rejsekort A/S her.

I en anden sag har Datatilsynet givet TDC A/S et midlertidigt forbud mod at optage telefonsamtaler til træningsbrug, da firmaet anvendte en teknisk løsning, hvor det ikke var muligt at indhente samtykke fra de registrerede forud for optagelsen af samtalen. Bliv klogere på sagen om samtykke her.

Bøder for GDPR-overtrædelser er ikke først for

Det seneste års praksis viser, at Datatilsynet ikke nødvendigvis griber direkte til bødeudstedelse, hvis de konstaterer, at reglerne er overtrådt – tilsynet bruger også flittigt de andre værktøjer, de har til deres rådighed.

Praksis viser dog også, at der tilstræbes et væsentligt højere bødeniveau end tidligere i de sager, hvor der gribes til politianmeldelse. Bøder i størrelsesordenen 1,2 millioner DKK har aldrig tidligere været på tale for en overtrædelse af persondatalovens regler. De kommende år vil vise, hvor bødeniveauet reelt kommer til at ligge, når domstolene har haft mulighed for at træffe afgørelse i de første sager. Indtil dette er endeligt afklaret, vil vi fortsat frygte det værste, men håbe på det bedste.

Passende sikkerhed – hvad er det?

Siden 25. maj 2018 har et andet fokusområde været informationssikkerhed. Mange virksomheder har måtte forholde sig til, at de er forpligtet til at have et passende sikkerhedsniveau – både teknisk og organisatorisk.

”Men hvad er passende sikkerhed?”

Dét spørgsmål er vi ofte blevet mødt med. Desværre er det bedste svar ofte: ”Hvad synes du selv? Vi har værktøjerne til at fastlægge dit sikkerhedsniveau, men du har svaret”. Det er nemlig den dataansvarlige selv, som skal fastsætte niveauet for sin informationssikkerhed. 

Informationssikkerhedsniveauet skal fastlægges på baggrund af målbare objektive kriterier, som gør det muligt at identificere mulige risici og implementere tiltag, som medvirker til at nedsætte risikoen. I bund og grund ud fra samme metode, som anvendes indenfor almindeligt arbejde med informationssikkerhed, hvor man på baggrund af risikovurderinger opnår et kendskab til de største risici, som skal imødegås og overvåges.

I den sammenhæng må vi konstatere, at ISO 27001 er blevet den mest anvendte standard, enten i sin ”rene” form eller i forskellige afarter, hvor man anvender udvalgte dele. Særligt ser vi, at metoden, som fremgår af ISO 27005, hyppigt er anvendt til kortlægning af et passende sikkerhedsniveau.    

Få styr på informationssikkerhed og risikostyring

Datatilsynet har lagt flere af de spørgeskemaer, som de anvender ved tilsyn, ud på deres hjemmeside. Det fremgår her, at Datatilsynet undersøger, om der er lavet risikovurderinger for de enkelte behandlinger. Tilsvarende kan vi se, at Datatilsynet også  undersøger, om databehandlere  kan påvise, at de har foretaget risikovurderinger til brug for deres IT-sikkerhedspolitik, når de bliver kontrolleret af den dataansvarlige.

Der således ingen tvivl om, at Datatilsynet forventer, at den enkelte virksomhed har styr sit sikkerhedsniveau og har foretaget de fornødne risikovurderinger.

Hvis du ønsker at høre mere om, hvordan du får sikret et passende sikkerhedsniveau eller får gennemført risikovurderinger, er du meget velkommen til at kontakt vores afdeling for persondata for en uforpligtende drøftelse.

Tilmeld dig nyhedsbrevet DAHL Nyt

Modtag vores nyhedsbrev pr. e-mail og bliv opdateret på juridiske emner og nye kurser.

Læs betingelser

Betingelse for modtagelse af nyhedsbrevet DAHL Nyt

Hvem udsender nyhedsbrevet?

Nyhedsbrevet er en service, der udbydes af DAHL Advokatpartnerselskab. Vores fulde kontaktoplysninger er:

DAHL Advokatpartnerselskab
Lundborgvej 18
8800 Viborg
CVR. nr.: 37 31 00 85

Du vil kun modtage markedsføringsmateriale fra DAHL Advokatpartnerselskab.

Hvilke oplysninger indsamles om mig?

DAHL Advokatpartnerselskab behandler din oplyste e-mailadresse og dit navn – dette er alt, vi behøver for at kunne sende dig nyhedsbreve. Når du via nyhedsbrevet tilmelder dig et af vores arrangementer, vil vi i nogle tilfælde ligeledes behandle oplysninger om firmanavn og telefonnummer.

Vi indsamler desuden oplysninger om din adfærd i forbindelse med din brug af nyhedsbrevet – herunder oplysninger om om vores nyhedsbrev bliver åbnet, hvor lang tid e-mailen er åben, og om der klikkes på links i nyhedsbrevet. Du skal herudover være opmærksom på, at hvis du klikker på links i nyhedsbrevet til vores hjemmeside, kan vi indsamle yderligere oplysninger om dig, hvis du accepterer, at vores hjemmeside bruger cookies. Du kan finde yderligere information om vores brug af cookies i vores cookiepolitik.

Hvad bruger vi dine oplysninger til?

Når du tilmelder dig vores nyhedsbrev, bruger vi dine oplysninger til at udsende faglige nyheder, kursus- og øvrige arrangementstilbud samt andet markedsføringsmateriale til dig. Vi kan endvidere bruge dine oplysninger til at udsende orienterende e-mails om DAHL Advokatpartnerselskab eller om vores nyhedsbrev. Vores udsendelse af nyhedsbrevet sker på grundlag af dit samtykke.

De oplysninger, vi indsamler om dig og din adfærd i forbindelse med din brug af nyhedsbrevet, anvender vi til at forbedre vores service og indhold, så vi i fremtiden kan blive endnu bedre til at målrette og tilpasse indholdet i vores nyhedsbreve efter dine interesser. Vi behandler dine personoplysninger til disse formål efter reglen i databeskyttelsesforordningens artikel 6, stk. 1, litra f. Hvis du ikke ønsker, at vi behandler dine oplysninger til disse formål, har du til enhver tid ret til at gøre indsigelse mod behandlingen.

Oplysninger om din brug af nyhedsbrevet anvender vi herudover til statistiske formål i anonymiseret form.

Dine oplysninger behandles fortroligt og sikkert

Vi opbevarer dine oplysninger fortroligt og sikkert. Vi har implementeret de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger, der sikrer, at dine oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med persondatalovgivningen.

Vi bruger en underleverandør til vores drift af IT. Vi har sikret, at vores IT-udbyder er underlagt samme forpligtelse, og at de alene handler på vores instruks.

Hvor ofte udsendes nyhedsbreve?

Vi udsender vores nyhedsbrev, når vi mener, at vi har noget vigtigt eller nyt at fortælle dig. Nyhedsbrevet udkommer ikke med faste intervaller. Det er derfor forskelligt, hvor ofte du kan forvente at modtage nyhedsbreve fra os. Vi bestræber os dog på at begrænse antallet, så vores nyhedsbreve ikke fylder hele din indbakke.

Vi videregiver ikke dine oplysninger

Vi videregiver ikke dine oplysninger til andre i kommerciel henseende. Vi videregiver kun oplysninger, hvis vi er forpligtet til det efter loven, eller hvis vi forpligtet til det efter en retskendelse.

Du kan altid rette eller ændre dine kontaktoplysninger

Du kan til enhver tid ændre eller rette i dine kontaktoplysninger (din e-mailadresse og navn) ved at afmelde dig nyhedsbrevet, og derefter tilmelde dig igen eller ved at sende en e-mail til tvc@dahllaw.dk, hvori du angiver ændringsønsker.

Det er beskrevet nedenfor, hvordan du framelder dig vores nyhedsbrev.

Du kan altid afmelde dig yderligere henvendelser

Du kan til enhver tid trække dit samtykke tilbage og framelde dig nyhedsbrevet. Når du har frameldt dig nyhedsbrevet, modtager du ikke yderligere fra os, medmindre du har givet andet samtykke til, at vi må henvende os til dig. Vi sender dig dog en bekræftelse på, at vi sletter dig fra modtagerlisten for vores nyhedsbrev, og vi sletter derefter dine oplysninger på vores modtagerliste.

Nyhedsbrevet kan afmeldes ved at klikke på linket ”afmeld nyhedsbrev”, som er indeholdt i hvert nyhedsbrev, du modtager fra os. Du kan også afmelde nyhedsbrevet ved at sende en e-mail til tvc@dahllaw.dk, hvori du oplyser dit navn og din e-mailadresse.

Hvor længe opbevarer I oplysningerne om mig?

Vi opbevarer og behandler dine oplysninger lige så længe, som du er tilmeldt vores nyhedsbrev. Hvis du afmelder dig fra nyhedsbrevet, sletter vi dine oplysninger.

Hvis du framelder dig vores nyhedsbrev, anonymiseres alle statistiske data om din brug af nyhedsbrevet. Anonymiseringen sker på en sådan måde, at det ikke efterfølgende er muligt at deanonymisere oplysningerne igen.

Dine øvrige rettigheder efter persondatalovgivningen

Du har til enhver tid mulighed for at gøre brug dine rettigheder efter persondatalovgivningen.

Du kan bl.a. anmode om indsigt i de personoplysninger, som vi behandler, samt gøre indsigelse mod behandlingen af oplysningerne. Du kan desuden anmode om berigtigelse eller sletning af eventuelle ukorrekte oplysninger om dig selv, trække et samtykke til behandling af dine personoplysninger tilbage samt gøre din ret til dataportabilitet gældende. I visse tilfælde kan du endvidere have ret til at få behandlingen af dine personoplysninger begrænset.

Hvis du ønsker at gøre brug af én eller flere af dine rettigheder, kan du kontakte cbm@dahllaw.dk.

Hvis du er uenig, i den måde vi behandler oplysninger om dig på, kan du klage til Datatilsynet.

Du modtager nu DAHL Nyt

Forretningsområder du ønsker info om:

  • Intet valgt

Din information

Du kan altid trække dit samtykke tilbage og afmelde dig vores nyhedsbrev

Accepter betingelserne