Siscons jurist, Lotte Mailand, har deltaget på 2 databeskyttelsesdage i 2019. Her har hun hørt oplæg med Datatilsynet og Compliance fra større danske virksomheder, og har i et følgende samlet de vigtigste pointer. Har du brug for juridisk rådgivning? Kontakt os på info@siscon.dk

    BREXIT

    Virksomheder kommer ikke udenom at tage stilling til det forestående Brexit. Det vides ikke, om der er tale om en “Deal”-Brexit (exit med en EU-aftale) eller en “no deal”-Brexit (exit uden aftale med EU). Af den grund bør virksomheder være forberedt på, hvilke konsekvenser begge scenarier kan have i relation til udveksling af data:

    • ”Deal”: Hvis der foreligger en aftale med EU, så er der formentlig tale om en overgangsperiode indtil 31. december 2020. I denne periode vil der være uændret adgang til overførsler. Der vil være tid til at UK kan blive godkendt som et sikkert 3. land eller godkendt med en aftale lignende US Privacy Shield ordningen.
    • ”No Deal”: UK bliver et usikkert 3. land fra 29. marts 2019 ved midnat. Spørgsmålet er så, om UK kan blive et godkendt 3. land, men under alle omstændigheder kan der ikke opnås 3. lands godkendelse inden 29. marts 2019. Der er desuden usikkerhed om UK kan opnå en 3. lands godkendelse grundet UK Investigatory Powers Act 2016. Investigatory Powers Act 2016 er en lov om myndighedernes adgang til overvågning og dataindsamling til beskyttelse af national sikkerhed og retshåndhævelse. Der kan derfor være usikkerhed om hvorvidt UK kan overholde de Europæiske Essentielle Garantier. Opnås der ikke en 3. lands godkendelse, vil der være behov for, at virksomheder udveksler data på baggrund af et særligt juridisk grundlag. Det kan være Bindende Virksomhedsregler eller EU’s standardkontrakter.

    DATATILSYNETS TILSYN

    Datatilsynet kan foretage forskellige tilsyn. Det kan være skriftlige tilsyn (oplysningsindsamling), fysiske tilsyn (tilsynsbesøg) eller disse i kombination.

    Ved skriftlige tilsyn kan Datatilsynet kræve enhver oplysning, der er nødvendig for deres oplysningsindsamling.

    Ved fysiske tilsyn har Datatilsynet ret til at kræve adgang til alle lokaliteter, hvor der foretages persondatabehandling. Såfremt dette nægtes, kan Datatilsynet få adgang ved politiets hjælp.

    Datatilsynet har i 2018 ført planlagte tilsyn, som er en del af den årlige tilsynsplanlægning samt Ad Hoc tilsyn, som er baseret på konkrete hændelser, som er indrapporteret af f.eks. borgere eller virksomheder.

    Tilsynets fokus var i 2018 på behandlingssikkerhed, sletning, de registreredes rettigheder, art. 30 fortegnelsen, anvendelse af databehandlere og behandlingshjemmel samt sikkerhed.

    Datatilsynet har meldt ud på deres hjemmeside, hvilke planlagte tilsyn de vil fokusere på i det første halvår af 2019. Fokus i det kommende halve år er; brud på persondatasikkerheden, DPO-funktionen, kryptering af e-mails, autorisation af medarbejdere, den registreredes indsigtsret, aggregering og sammenstilling af data til brug for videre salg samt brug og genbrug af data.

    Da Datatilsynet nu er kommet godt i gang med deres tilsyns- og kontrolopgaver, må det forventes, at der i løbet af 2019 vil forekomme flere tilsyns- og kontrolbesøg i både private virksomheder og offentlige myndigheder – både planlagte tilsyn og ad hoc tilsyn.

    Det er derfor vigtigt, at der er styr på håndteringen af sikkerhedsbrud og anmeldelsespligt, de registreredes rettigheder (herunder håndteringen af disse), DPO-funktionen, autorisation og brugerrettighederne.

    Compliance/efterlevelse

    En af de ting som Datatilsynet selv har nævnt, at virksomheder skal være opmærksomme på er, at der skal foreligge dokumentation for efterlevelse af GDPR. Det vil sige, at efterlevelse af f.eks. persondatapolitikken, håndtering af de registreredes rettigheder osv. skal dateres og dokumenteres.

     

    PS. Har du hørt om vores ‘DPO as a service‘ koncept? Mange virksomheder er forpligtet til at have en DPO, men har svært ved at rekruttere en profil med de rette kompetencer. Hvis det også er tilfældet for jer så skriv til os på info@siscon.dk, så du kan få assistance fra vores juridiske GDPR rådgiver Lotte Mailand.

    HÅNDTERING AF DATABRUD I PRAKSIS

    Siden den 25. maj har Datatilsynet i 2018 modtaget 2.780 anmeldelser om persondatabrud. Når man kigger på antallet af anmeldelser, er det vigtigt at notere sig, at der kun skal anmeldes, når det vurderes sandsynligt, at det indebærer en risiko for de registrerede.

    Ud af de 2.780 anmeldelser, behandles der fortsat 700 sager. Desuden genvurderes 600 sager med henblik på sanktioner, herunder f.eks. politianmeldelse.

    Langt de fleste anmeldelser går på oplysninger sendt til den forkerte modtager, altså menneskelige fejl.

    Datatilsynets umiddelbare vurdering er, at funktionalitetsunderstøttelse f.eks. autoudførelse af e-mailadresser, standardbreve der flettes til mange modtagere, og udsendelse af grafer, hvor de underliggende data ikke er fjernet, bør revurderes hos de respektive dataansvarlige. Dette for at minimere risikoen for de registrerede f.eks. ved at benytte bcc og ikke cc ved afsendelse af mail til flere modtagere.

    Når Datatilsynet modtager en anmeldelse af et brud, foretages der en vurdering af omfanget af bruddet og de berørte, risikoen for de registrerede, risikoen omkring selve hændelsen, om der skal ske underretning af de registrerede og er om dette foretaget.

    Vurderer Datatilsynet, at der ved et brud er risiko for de registrerede, kan dette føre til kritik og i værste tilfælde sanktioner fra Datatilsynet.

    Derfor er det vigtigt at huske følgende, når man laver anmeldelsen:

    • At anmeldelsen er foretaget senest 72 timer efter bruddet er konstateret
    • At lave en grundig beskrivelse af hændelsesforløbet herunder typen af bruddet, arten, omfanget og antallet af berørte
    • Om bruddet omfatter særlige registrerede herunder børn eller andre særligt udsatte grupper
    • At foretage en vurdering af risikoen for de registrerede
    • At beskrive de sikringsforanstaltninger, der er foretaget på baggrund af bruddet
    • Vurdere om de registrerede skal underrettes og i givet fald, hvordan underretning er sket

    TILSYN MED DATABEHANDLER/UNDERDATABEHANDLER

    Persondataforordningen foreskriver, at man fører tilsyn med sine databehandlere og underdatabehandlere. Datatilsynet udsendte i maj 2018 en vejledning til tilsyn med databehandlere og underdatabehandlere. Tilsynet kan føres af virksomheden selv eller af en uafhængig tredjepart.

    Indtil nu har mange virksomheder efterspurgt en ISAE 3000 erklæring fra deres databehandlere. For at gøre denne erklæring mere målrettet GDPR, har FSR i februar 2019, i samarbejde med Datatilsynet, udarbejdet en ny ISAE 3000 erklæring, som har et målrettet fokus på håndhævelse af forordningen. Datatilsynet har dog angivet, at denne erklæring ikke altid kan sidestilles med et egentligt tilsyn. Det er derfor vigtigt, at man tager stilling til indholdet i erklæringen og efterspørger flere oplysninger, hvis der er tvivl om de rette sikringstiltag.

    Fører man selv tilsyn er det vigtigt at sikre sig følgende ved tilsynet med databehandleren/underdatabehandleren:

    • At der spørges ind til relevante processer og procedurer
    • At der er dokumentation for samme
    • At der tages stilling til om indholdet og sikringen er tilstrækkelig
    • Hvis ikke, at der bliver foretaget de nødvendige sikringstiltag
    • At selve tilsynet dokumenteres
    X