Fremdrift

Indtast dit søgeord

Tre år med persondatabeskyttelse (GDPR): Det har vi lært

2. juni, 2021

    Sociale medier

Den 25. maj 2021 var det tre år siden, at EU med databeskyttelsesforordningen (GDPR) skærpede kravene til offentlige myndigheders og virksomheders håndtering af persondata.

Der gik dengang chokbølger igennem dansk erhvervsliv, da EU bebudede millionbøder udmålt på op til 4% af koncernens samlede omsætning. GDPR kom på alles læber, og der blev – og bliver stadig – brugt mange timer og penge på compliance.

Vi sætter i denne artikel fokus på, hvad vi har lært om databeskyttelse i de forgangne tre år.

GDPR og compliance er stadig det nye sort

Tre år efter den 25. maj 2018 bliver der i langt de fleste organisationer fortsat brugt rigtig mange timer og penge på compliance. Og her udgør GDPR compliance stadig en stor del af budgettet. Kort fortalt betyder GDPR compliance, at man efterlever reglerne om håndtering af persondata, og at man som organisation kan dokumentere, at håndteringen af persondata sker både IT-sikkerhedsmæssigt samt juridisk forsvarligt.

Det var meget forskelligt, hvor hurtigt og hvor grundigt de enkelte organisationer igangsatte deres GDPR implementering. Det er dog vores oplevelse, at selv de organisationer, der syntes at have ”lurepasset” og ventet med at tage fat i det store GDPR-dyr, nu også har indset vigtigheden af at sikre de databeskyttelsesretlige krav.

Langt de fleste organisationer – store som små – er kommet godt i gang med GDPR implementeringen. Dog må vi samtidig konstatere, at der fortsat ofte er ganske mange huller og mangler i organisationernes samlede GDPR dokumentation (defence file).

Fortsat usikkerhed om GDPR bøderne i Danmark

På europæisk plan er der af de respektive europæiske databeskyttelsesmyndigheder givet flercifrede millionbøder til virksomheder, som har overtrådt GDPR. Men hvordan ser det ud i Danmark?

Det danske Datatilsyn har udstedt en vejledning til, hvordan de danske bøder skal fastsættes, herunder grundsatser afhængig af hvilken bestemmelse, som er overtrådt, virksomhedens størrelse og omsætning samt kriterier, som kan tale bøden op eller ned. I skrivende stund har Datatilsynet indstillet flere offentlige myndigheder og private virksomheder til bøder, der spænder fra alt mellem 50.000 og 1,5 mio. kr.

Men i Danmark venter vi dog fortsat på afgørelser fra de danske domstole, som endeligt skal fastslå niveauet for de danske bøder. Vi venter eksempelvis på Landsrettens afgørelse i ID-design sagen (Ilva), hvor Datatilsynet i juni 2019 politianmeldte virksomheden ID-design med en bødeindstiling på 1,5 mio. kr. for manglende sletning af oplysninger om ca. 385.000 kunder. Det er således i dag meget vanskeligt at fastslå, om vi i Danmark også kan forvente de samme millionbøder, som vi har set i udlandet de seneste år.

Hav styr på GDPR hjertet

Her tre år efter har vi fået bekræftet det helt afgørende i, at virksomhederne har styr på den såkaldte artikel 30 fortegnelse – hjertet og grundstenen i GDPR reglerne. Efter GDPR art. 30 skal organisationer føre en udførlig fortegnelse over samtlige behandlingsaktiviteter, hvori der behandles persondata.

Det er vores oplevelse, at organisationerne i vid udstrækning ikke har styr på deres artikel 30 fortegnelser – enten fordi de ikke opfylder forordningens og Datatilsynets krav hertil eller fordi, de ikke fyldestgørende beskriver organisations behandlingsaktiviteter.

En mangelfuld artikel 30 fortegnelse har – foruden en manglende efterlevelse af GDPR artikel 30 – den konsekvens, at organisationen har meget vanskeligt ved at komme i mål med at kunne dokumentere de øvrige GDPR-forpligtelser, herunder særligt:

  • Gennemførelse af de nødvendige risikovurderinger
  • Fastsættelse af de lovlige grundlag for behandlingen af de enkelte personoplysninger
  • Identifikation og udarbejdelse af de lovpligtige oplysningstekster
  • Sikring af virksomhedens databehandlerrelationer
  • Lovpligtige opbevarings- og sletterutiner m.v.

 

Gennemfør risikovurderinger

Selvom GDPR helt grundlæggende hviler på en risikobaseret tilgang, hvorefter risikovurderingen blandt andet er helt afgørende for at vurdere og fastsætte passende sikkerhedsforanstaltninger – internt såvel som hos organisationens enkelte databehandlere – så har mange fortsat ikke gennemført deres fornødne risikovurderinger.

Det betyder også, at organisationerne mangler et væsentligt element i deres GDPR dokumentation (defence file), for når først uheldet er ude, og der sker et sikkerhedsbrud, er det svært at redegøre for og dokumentere, at man med respekt for den aktuelle risiko har gjort, hvad man kunne for at minimere sandsynligheden og konsekvenserne ved det pågældende brud.

Få styr på de enkelte lovgrundlag og oplys herom

Alle organisationer skal kunne redegøre for, hvilke personoplysninger de behandler, til hvilke formål de enkelte personoplysninger behandles og på hvilket lovgrundlag.

Langt de fleste behandler udover de almindelige personoplysninger – som fx navn, adresse, økonomiske oplysninger m.v. – også personnumre og i visse tilfælde følsomme personoplysninger som fx helbredsoplysninger. Men de fleste organisationer er ikke opmærksomme på, at lovgrundlaget for at behandle disse oplysninger er forskelligt.

Det betyder også, at organisationerne ikke nødvendigvis får indhentet de ofte få men meget vigtige samtykker, ligesom de lovpligtige oplysningstekster typisk i kraft heraf ligeledes vil være mangelfulde.

Skab overblik over databehandlerne og få styr på aftalegrundlaget

I dag bliver der fra mange organisationers side brugt meget tid på først at identificere databehandlerne for herefter at indgå de enkelte databehandleraftaler. På trods af, at Datatilsynet har udarbejdet en standard databehandleraftale, der tilmed er godkendt af det Europæiske Databeskyttelsesråd, anvender mange organisationer fortsat deres ”egen” aftaletemplate. Dette medfører i sig selv, at der vil skulle foretages review og tilpasninger af ordlyden af de enkelte aftaleudkast, hvilket øger risikoen for, at aftalerne ikke overholder minimumskravene i GDPR.

Hertil kommer, at mange organisationer først nu så småt er gået i gang med at gennemføre kontrol med deres databehandlere, og særligt denne del volder besvær, da mange ikke rettidigt har vurderet, hvilken form for kontrol, der er den rette, ligesom mange har måttet sande, at de ikke besidder de fornødne kompetencer til selv at gennemføre passende kontrol.

Organisationerne oplever især, at det også kommercielt er forbundet med udfordringer, hvis beslutning om kontrolfor først træffes på bagkant – efter at hovedaftalen er indgået.

Tag hul på udfordringerne ved tredjelandsoverførsler

Særligt sikring af lovlige tredjelandsoverførsler, hvor der sker overførsel af persondata til de såkaldte usikre tredjelande udenfor EU, volder problemer i praksis. Det kan fx være i situationer, hvor personoplysninger overføres til en leverandør i Asien eller USA.

I kølvandet på EU-Domstolens afgørelser i Schrems sagerne er det i dag fortsat uafklaret og en udfordring, hvordan den dataansvarlige reelt skal vurdere, om der i modtagerlandet stilles de fornødne retlige garantier, som EU kræver. Vi venter alle i spænding på mere konkret rådgivning fra Datatilsynet såvel som fra EU.

Udarbejd den samlede GDPR dokumentation (defence file)

Som nævnt er det langt fra alle, som kan fremlægge den nødvendige dokumentation for de GDPR-relaterede indsatser. Populært sagt så skal alle organisationer kunne fremlægge en GDPR defence file og således dokumentation på deres GDPR compliance .

En organisation skal fx kunne dokumentere, at de har kortlagt deres behandlingsaktiviteter, har udarbejdet de enkelte generelle og konkrete implementeringstiltag (den skriftlige dokumentpakke), har fortaget en risikovurdering og på dette grundlag har fastsat og reelt implementeret passende sikkerhedsforanstaltninger.

Det er samtidig ikke nok, at dokumenterne er udarbejdet, hvis ikke organisationen efterlever dem i praksis. Organisationerne har derfor pligt til at sikre, at de enkelte medarbejdere på behørig vis er instrueret og vejledt i, hvordan de skal behandle de personoplysninger, som flyder i organisationen.

Andre relevante artikler

    Kontakt

    Er du interesseret i vores ydelser? Vil du lave en forespørgsel? Kontakt os via nedenstående formular og vi vender tilbage så snart vi kan. Du kan også kontakte et lokalt kontor.

    html_class="cf7-form"]

    Vil du have hjælp?

    Hvordan kan du udvikle din virksomhed?

    Vi har lang erfaring med de udfordringer, som du og din virksomhed står overfor - uanset om der er tale om revision, regnskab, skat eller anden rådgivning.