Datatilsynet indstiller til endnu en bøde for manglende sletning

Blog

 

Af: Marie Martens Lawsen

Datatilsynet har den 11. juni 2019 offentliggjort, at tilsynet har politianmeldt møbelkæden IDdesign A/S og indstillet til en bøde på 1,5 mio. kr. for manglende sletning af oplysninger for ca. 385.000 kunder.

Også i denne afgørelse lægger Datatilsynet vægt på, at virksomheden ikke overholder egne fastsatte slettefrister og for nogle oplysninger helt mangler af fastsætte slettefrister.

Datatilsynet skriver bl.a.
”At tage stilling til hvornår de indsamlede og registrerede personoplysninger ikke længere er nødvendige til de formål, hvortil de behandles, og dermed hvornår oplysningerne skal slettes fra systemerne, er det første og mest basale skridt mod at etablere korrekte og velfungerende procedurer for sletning af personoplysninger.”

Desuden understreger Datatilsynet i sin afgørelse, at den dataansvarlige for at leve op til sine forpligtelser efter databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, skal fastlægge og dokumentere procedurer for opfølgning på, at sletning af personoplysninger foretages korrekt og som forventet.

Hvis man foretager manuel sletning skal man derfor være særlig opmærksom på, hvordan dokumentationskravet kan opfyldes.

Læs mere om den konkrete sag på Datatilsynets hjemmeside her.

Persondatateamet hos Hulgaard Advokater kan hjælpe din virksomhed med at fastsætte korrekte slettefrister og procedurer for sletning.

Kontakt gerne juridisk rådgiver Marie Martens Lawsen på tlf. 38 40 42 42 eller advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 for en uforpligtende snak om, hvordan I bedst kan efterleve kravene.

 

Databeskyttelsesforordningen fylder 1 år

Blog

Af Marie Martens Lawsen:

Den 25. maj 2019 er det et år siden, at databeskyttelsesforordningen trådte i kraft.

Til trods for, at virksomheder og offentlige myndigheder havde travlt med at blive ”compliant” i perioden op til den 25. maj 2018 – man kan vist roligt tale om panik før lukketid – oplever vi stadig, at mange virksomheder ikke er kommet i gang – eller måske i mål – med arbejdet vedrørende persondatabeskyttelse.

Kravene i databeskyttelsesforordningen er relevante for alle virksomheder, der har medarbejdere og/eller behandler personoplysninger som led i deres virke.

Hvis din virksomhed har brug for en uforpligtende vurdering af, hvad der skal til for at leve op til reglerne, er du velkommen til at kontakte Hulgaard Advokaters persondatateam.

Vi har en praksisorienteret tilgang og skræddersyer vores rådgivning, så den tager udgangspunkt i din virksomhed og de aktuelle risici, som I har i forbindelse med behandling af persondata.

Hvis du vil vide mere, er du velkommen til at kontakte Marie Martens Lawsen på tlf. 38 40 42 42 eller mml@hulgaardadvokater.dk eller Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Første bøde for overtrædelse af reglerne i persondataforordningen

Blog

Datatilsynet har politianmeldt og indstillet et selskab til en bøde på 1,2 mio. kr. for manglende sletning af personoplysninger.

Sagen drejer sig om, at taxaselskabet Taxa 4x35 ifølge eget udsagn anonymiserer kundernes data vedrørende bestilling og afvikling af taxature efter 2 år.

Ved et tilsynsbesøg i efteråret 2018 kunne Datatilsynet dog konstatere, at Taxa4x35 kun anonymiserede oplysninger om navn. Kunderne kunne stadig identificeres via deres telefonnumre, og dermed kunne alle data om deres taxature, herunder opsamlings- og afsætningssted føres tilbage til konkrete personer. Selskabet oplyste, at telefonnummeret først slettes efter 5 år, fordi det er nøglen til virksomhedens database, hvorfra man benytter statistiske data til produkt- og forretningsudvikling.

På tidspunktet for tilsynet var der registreret oplysninger om ca. 8,9 mio. taxature, som kunne henføres til konkrete personer.

Efter Datatilsynets opfattelse kan man ikke fastsætte en slettefrist, som er 3 år længere end nødvendigt, bare fordi anonymisering er besværliggjort af virksomhedens system, og fordi man ønsker fortsat at kunne benytte oplysningerne.

Som led i tilsynet kunne Datatilsynet også konstatere, at der hos Taxa 4x35 var uklarhed om behandlingshjemlen for de omtalte oplysninger samt manglende dokumentation af procedurer for sletning.

Som udgangspunkt skal alle personoplysninger slettes eller opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede personer i et længere tidsrum end nødvendigt for at udføre den behandling, oplysningerne er indsamlet til. En evt. længere opbevaring af oplysningerne, skal være begrundet i lovgivning og retslige principper, såsom dokumentationskravet i henhold til bogføringsloven.

Hvis man fortsat ønsker at benytte kundedata til statistiske formål eller lignende skal de opbevares på en sådan måde, at de ikke længere er personhenførbare. Dette kan fx gøres ved at anonymisere oplysningerne.

En anonymisering af personoplysninger indebærer, at ingen fysiske personer efterfølgende ud fra oplysningerne, eller i kombination med andre oplysninger, kan identificeres. Det er en betingelse for anonymisering, at den er uigenkaldelig, dvs. at den eller de pågældende fysiske personer ikke med nogen midler kan knyttes tilbage til de pågældende oplysninger.

Læs mere om den konkrete sag på Datatilsynets hjemmeside her.

Har din virksomhed brug for en gennemgang af jeres håndtering af persondata? Kontakt gerne juridisk rådgiver Marie Martens Lawsen på tlf. 38 40 42 42 eller advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 for en uforpligtende snak om, hvordan reglerne gælder for netop jer.

 

Er din virksomhed forberedt på at håndtere databrud?

Blog

 

Hvad er et databrud?

Databeskyttelsesforordningen trådte i kraft den 25. maj 2018, og har som noget nyt introduceret en generel forpligtelse for alle dataansvarlige til at anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer efter, at man er blevet bekendt med bruddet.

Af Databeskyttelsesforordningens artikel 4, stk. 12 fremgår, at et ”brud på persondatasikkerheden er et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Dette omfatter bl.a. hændelser, hvor der er en risiko for diskrimination, identitetstyveri eller –svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.

I praksis kan databrud inddeles i to overordnede kategorier:

  • Tekniske databrud, hvor virksomhedens systemer ikke er tilstrækkeligt sikrede, hvilket eksempelvis kan give anledning til, at udefrakommende får adgang til personoplysninger via hacking.
  • Menneskelige databrud, der forårsages af virksomhedens egen håndtering af persondata, eksempelvis ved utilsigtet eller uberettiget videregivelse af personoplysninger til en tredje part eller ved utilstrækkelig sikring af data i forbindelse med uheld, eksempelvis brand og oversvømmelse.

Vær opmærksom på, at selv det, at en taske med tavshedsbelagte oplysninger bortkommer, at der er fejl i rettighedsstyringen i virksomhedens systemer, eller at man ved en fejl sender et brev eller en mail til en forkert modtager kan udgøre er databrud. Desuden kan det forekomme, at der via virksomhedens servere gives utilsigtet adgang til personoplysninger, enten på grund af manglende sikkerhedsforanstaltninger (hvor oplysninger ved en simpel søgning kan findes via internettet) eller ved hacking.

Hvornår skal et databrud anmeldes?

Hvis man som dataansvarlig vurderer, at bruddet ikke indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder – med andre ord ikke påvirker de berørte – kan man undlade at anmelde bruddet til Datatilsynet. Dette kræver dog en

konkret vurdering af hændelsen, herunder en efterfølgende risikovurdering. Det anbefales at lave denne risikovurdering skriftligt, herunder elektronisk, da der er krav om, at den skal kunne dokumenteres. Den kan derudover også udleveres til Datatilsynet ved en eventuel kontrol.

I risikovurderingen indgår som minimum: En vurdering af hvilken type af sikkerhedsbrud, der er tale om (videregivelse, tab, brud på fortrolighed mv.), oplysningernes omfang og art, risikoen for, at den registrerede kan identificeres, konsekvenser for den/de berørte, hvorvidt bruddet omfatter særlige registrerede (børn og andre særligt udsatte) og antallet af berørte.

Hvis et databrud indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ske anmeldelse til Datatilsynet.

Hvis et databrud indebærer en høj risiko for de registrerede, skal disse endvidere underrettes. Hvad der kan betegnes som en høj risiko beror på en individuel konkret vurdering ved hvert databrud. Sandsynligheden for, at bruddet får konsekvenser, samt alvoren af konsekvenserne, kan indgå som parametre i denne vurdering.

Hvordan håndteres databrud i virksomheden?

Det er en god idé, at man som virksomhed processuelt forbereder sig på, hvordan brud på persondatasikkerheden håndteres. Dels fordi der er en tidsfrist for anmeldelse af databrud, dels fordi Datatilsynet kan vælge at kontrollere virksomhedens håndtering af databrud.

Virksomheden kan forberede sig ved at udarbejde en procesbeskrivelse for håndtering af databrud. Det vil bl.a. være relevant at udarbejde et skema til indsamling af relevante oplysninger om bruddet og få beskrevet, hvem der er ansvarlig for at anmelde databruddet til Datatilsynet og underrette de registrerede. Man kan med fordel udarbejde et standardbrev, som kan benyttes til underretning af de registrerede.

Af forordningen fremgår, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet, dets virkninger og de trufne afhjælpende foranstaltninger. Dette kan gøres ved, at der føres en logbog over databrud. Logbogen skal både indeholde de databrud, som anmeldes og de databrud, som ikke vurderes at udgøre en risiko for de registrerede og dermed ikke anmeldes. Logbogen fungerer som dokumentation for, at virksomheden håndterer databrud i henhold til reglerne.

Som databehandler har man en absolut forpligtelse til at underrette den dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse. Det er den dataansvarlige, som er ansvarlig for at vurdere bruddet.

Læs mere om databrud i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden her.

Kontakt gerne juridisk rådgiver Marie Martens Lawsen på tlf. 38 40 42 42 eller advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40.

Må en forening behandle CPR-nr., når den modtager gaver og bidrag?

Blog

Af Kristine Mølgaard Mogensen:

En forening henvendte sig for at høre, om den måtte behandle CPR-nummer, når den modtog bidrag. Som følge af Persondataforordningens ikrafttræden den 25. maj 2018 er flere og flere blevet opmærksomme på persondatareglerne. Således også den pågældende forening, som var i tvivl om, hvorvidt de måtte behandle bidragsyderes CPR-nummer.

CPR-nummer er en almindelig personoplysning i Persondataforordningens forstand. Der er i Danmark vedtaget særregler om behandling af CPR-nummer i Databeskyttelsesloven, som trådte i kraft samtidig med Persondataforordningen.

I Databeskyttelsesloven skelnes mellem offentlige myndigheders og privates behandling af personnummer. Privates behandling omfatter i den forbindelse fysiske og juridiske personers behandling, med undtagelse af behandling, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Foreninger er som en juridisk person omfattet af reglerne om privates behandling af CPR-nummer.

Af Databeskyttelseslovens § 11, stk. 2 fremgår det om privates behandling af CPR-nummer:

”Stk. 2. Private må behandle oplysninger om personnummer, når
1)  det følger af lovgivningen,
2)  den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,
3)  behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om  personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller
4)  betingelserne i § 7 er opfyldt.”

Hvis det er muligt, er det mest hensigtsmæssigt at anvende mulighederne i nr. 1 og 3, da mulighed 2 om samtykke dels skal indhentes, og dels kan trækkes tilbage.

Såfremt foreningen i medfør af f.eks. skattelovgivning må behandle CPR-nummer om medlemmer eller andre, der giver gaver eller bidrag, er det retlige grundlag for behandlingen af CPR-nummer, at det følger af lovgivningen, jf. Databeskyttelseslovens § 11, stk. 2, nr. 1.

Forudsat at foreningen er en godkendt, velgørende forening, hvor en indbetaler kan opnå fradrag for gaver eller bidrag, er den relevante lovgivning Ligningslovens § 12, stk. 2 om fradrag for gaver og bidrag til velgørende foreninger, der hænger sammen med Skattekontrollovens § 8 Æ om indberetning. Af Skattekontrollovens § 8 Æ fremgår det, at indberetningen skal indeholde oplysninger til identifikation af indbetaler. Da CPR-nummer anvendes til identifikation af indbetaler over for SKAT, er det retlige grundlag for behandling af CPR-nummer, at det følger af lovgivningen, som her er Skattekontrollovens § 8 Æ.

Den pågældende forening var godkendt som velgørende forening og kunne dermed behandle CPR-nummer til brug for indberetningen. Foreningen kunne derfor modtage gaver og bidrag samtidig med, at bidragsydere automatisk kunne opnå fradrag som følge af foreningens indberetning.

Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk for nærmere information.