Er din virksomhed forberedt på at håndtere databrud?

Blog

 

Hvad er et databrud?

Databeskyttelsesforordningen trådte i kraft den 25. maj 2018, og har som noget nyt introduceret en generel forpligtelse for alle dataansvarlige til at anmelde brud på persondatasikkerheden til Datatilsynet inden for 72 timer efter, at man er blevet bekendt med bruddet.

Af Databeskyttelsesforordningens artikel 4, stk. 12 fremgår, at et ”brud på persondatasikkerheden er et brud, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Dette omfatter bl.a. hændelser, hvor der er en risiko for diskrimination, identitetstyveri eller –svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den registrerede.

I praksis kan databrud inddeles i to overordnede kategorier:

  • Tekniske databrud, hvor virksomhedens systemer ikke er tilstrækkeligt sikrede, hvilket eksempelvis kan give anledning til, at udefrakommende får adgang til personoplysninger via hacking.
  • Menneskelige databrud, der forårsages af virksomhedens egen håndtering af persondata, eksempelvis ved utilsigtet eller uberettiget videregivelse af personoplysninger til en tredje part eller ved utilstrækkelig sikring af data i forbindelse med uheld, eksempelvis brand og oversvømmelse.

Vær opmærksom på, at selv det, at en taske med tavshedsbelagte oplysninger bortkommer, at der er fejl i rettighedsstyringen i virksomhedens systemer, eller at man ved en fejl sender et brev eller en mail til en forkert modtager kan udgøre er databrud. Desuden kan det forekomme, at der via virksomhedens servere gives utilsigtet adgang til personoplysninger, enten på grund af manglende sikkerhedsforanstaltninger (hvor oplysninger ved en simpel søgning kan findes via internettet) eller ved hacking.

Hvornår skal et databrud anmeldes?

Hvis man som dataansvarlig vurderer, at bruddet ikke indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder – med andre ord ikke påvirker de berørte – kan man undlade at anmelde bruddet til Datatilsynet. Dette kræver dog en

konkret vurdering af hændelsen, herunder en efterfølgende risikovurdering. Det anbefales at lave denne risikovurdering skriftligt, herunder elektronisk, da der er krav om, at den skal kunne dokumenteres. Den kan derudover også udleveres til Datatilsynet ved en eventuel kontrol.

I risikovurderingen indgår som minimum: En vurdering af hvilken type af sikkerhedsbrud, der er tale om (videregivelse, tab, brud på fortrolighed mv.), oplysningernes omfang og art, risikoen for, at den registrerede kan identificeres, konsekvenser for den/de berørte, hvorvidt bruddet omfatter særlige registrerede (børn og andre særligt udsatte) og antallet af berørte.

Hvis et databrud indebærer en risiko for fysiske personers rettigheder eller frihedsrettigheder, skal der ske anmeldelse til Datatilsynet.

Hvis et databrud indebærer en høj risiko for de registrerede, skal disse endvidere underrettes. Hvad der kan betegnes som en høj risiko beror på en individuel konkret vurdering ved hvert databrud. Sandsynligheden for, at bruddet får konsekvenser, samt alvoren af konsekvenserne, kan indgå som parametre i denne vurdering.

Hvordan håndteres databrud i virksomheden?

Det er en god idé, at man som virksomhed processuelt forbereder sig på, hvordan brud på persondatasikkerheden håndteres. Dels fordi der er en tidsfrist for anmeldelse af databrud, dels fordi Datatilsynet kan vælge at kontrollere virksomhedens håndtering af databrud.

Virksomheden kan forberede sig ved at udarbejde en procesbeskrivelse for håndtering af databrud. Det vil bl.a. være relevant at udarbejde et skema til indsamling af relevante oplysninger om bruddet og få beskrevet, hvem der er ansvarlig for at anmelde databruddet til Datatilsynet og underrette de registrerede. Man kan med fordel udarbejde et standardbrev, som kan benyttes til underretning af de registrerede.

Af forordningen fremgår, at den dataansvarlige skal dokumentere alle brud på persondatasikkerheden, herunder de faktiske omstændigheder ved bruddet, dets virkninger og de trufne afhjælpende foranstaltninger. Dette kan gøres ved, at der føres en logbog over databrud. Logbogen skal både indeholde de databrud, som anmeldes og de databrud, som ikke vurderes at udgøre en risiko for de registrerede og dermed ikke anmeldes. Logbogen fungerer som dokumentation for, at virksomheden håndterer databrud i henhold til reglerne.

Som databehandler har man en absolut forpligtelse til at underrette den dataansvarlige om brud på persondatasikkerheden uden unødig forsinkelse. Det er den dataansvarlige, som er ansvarlig for at vurdere bruddet.

Læs mere om databrud i Datatilsynets vejledning om håndtering af brud på persondatasikkerheden her.

Kontakt gerne juridisk rådgiver Marie Martens Lawsen på tlf. 38 40 42 42 eller advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40.

Må en forening behandle CPR-nr., når den modtager gaver og bidrag?

Blog

Af Kristine Mølgaard Mogensen:

En forening henvendte sig for at høre, om den måtte behandle CPR-nummer, når den modtog bidrag. Som følge af Persondataforordningens ikrafttræden den 25. maj 2018 er flere og flere blevet opmærksomme på persondatareglerne. Således også den pågældende forening, som var i tvivl om, hvorvidt de måtte behandle bidragsyderes CPR-nummer.

CPR-nummer er en almindelig personoplysning i Persondataforordningens forstand. Der er i Danmark vedtaget særregler om behandling af CPR-nummer i Databeskyttelsesloven, som trådte i kraft samtidig med Persondataforordningen.

I Databeskyttelsesloven skelnes mellem offentlige myndigheders og privates behandling af personnummer. Privates behandling omfatter i den forbindelse fysiske og juridiske personers behandling, med undtagelse af behandling, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Foreninger er som en juridisk person omfattet af reglerne om privates behandling af CPR-nummer.

Af Databeskyttelseslovens § 11, stk. 2 fremgår det om privates behandling af CPR-nummer:

”Stk. 2. Private må behandle oplysninger om personnummer, når
1)  det følger af lovgivningen,
2)  den registrerede har givet samtykke hertil i overensstemmelse med databeskyttelsesforordningens artikel 7,
3)  behandlingen alene finder sted til videnskabelige eller statistiske formål, eller hvis der er tale om videregivelse af oplysninger om  personnummer, når videregivelsen er et naturligt led i den normale drift af virksomheder m.v. af den pågældende art, og når videregivelsen er af afgørende betydning for at sikre en entydig identifikation af den registrerede eller videregivelsen kræves af en offentlig myndighed eller
4)  betingelserne i § 7 er opfyldt.”

Hvis det er muligt, er det mest hensigtsmæssigt at anvende mulighederne i nr. 1 og 3, da mulighed 2 om samtykke dels skal indhentes, og dels kan trækkes tilbage.

Såfremt foreningen i medfør af f.eks. skattelovgivning må behandle CPR-nummer om medlemmer eller andre, der giver gaver eller bidrag, er det retlige grundlag for behandlingen af CPR-nummer, at det følger af lovgivningen, jf. Databeskyttelseslovens § 11, stk. 2, nr. 1.

Forudsat at foreningen er en godkendt, velgørende forening, hvor en indbetaler kan opnå fradrag for gaver eller bidrag, er den relevante lovgivning Ligningslovens § 12, stk. 2 om fradrag for gaver og bidrag til velgørende foreninger, der hænger sammen med Skattekontrollovens § 8 Æ om indberetning. Af Skattekontrollovens § 8 Æ fremgår det, at indberetningen skal indeholde oplysninger til identifikation af indbetaler. Da CPR-nummer anvendes til identifikation af indbetaler over for SKAT, er det retlige grundlag for behandling af CPR-nummer, at det følger af lovgivningen, som her er Skattekontrollovens § 8 Æ.

Den pågældende forening var godkendt som velgørende forening og kunne dermed behandle CPR-nummer til brug for indberetningen. Foreningen kunne derfor modtage gaver og bidrag samtidig med, at bidragsydere automatisk kunne opnå fradrag som følge af foreningens indberetning.

Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk for nærmere information.

Persondata – hvad vi kan hjælpe jer med

Blog

Af Kristine Mølgaard Mogensen:

I skal snart have styr på virksomhedens persondata.

Den nye persondataforordning træder i kraft d. 25. maj 2018. Inden da skal I have sikret, at I overholder reglerne om behandling af persondata.

Hos Hulgaard Advokater kan vi hjælpe jer med at blive klar til at opfylde kravene i den nye persondataforordning.

Vi tilbyder en praksisorienteret løsning, hvor vi i samarbejde med jer kommer i mål.

Læs mere om vores produktpakker og hvad vi kan hjælpe jer med her.

Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk for nærmere information, eller læs mere her.

Er din virksomhed klar til den nye persondataforordning?

Blog

Af Kristine Mølgaard Mogensen

Kort om persondataloven

Persondataloven tager stilling til hvornår og hvordan personoplysninger skal behandles, herunder hvordan de skal beskyttes.

Kravene til behandlingen gælder oplysninger om medarbejdere og kunder, kontaktperson(er) hos selskaber, uopfordrede ansøgninger m.v.

I praksis er stort set alle virksomheder omfattet af reglerne.

Den nye persondataforordning

Den nye EU persondataforordning træder i kraft i Danmark den 25. maj 2018 og afløser reglerne i persondataloven. Selvom der kan synes lang tid dertil, er det allerede nu vigtigt at forholde sig til den nye forordning, da der med forordningen sker væsentlige stramninger af reglerne for behandling og beskyttelse af personoplysninger.

Baggrunden for forordningen er især behovet for en ensartet lovgivning i alle EU-medlemslande, da medlemslandene har implementeret det gældende direktiv på forskellig vis. Da en EU-forordning gælder direkte i medlemslandene i modsætning til et direktiv, som skal implementeres, sikres der ensartet lovgivning i EU.

Derudover er der sket en stor teknologisk udvikling siden direktivets vedtagelse i 1995, som gør at direktivet ikke er tidssvarende.

Formålet med forordningen er at styrke borgernes rettigheder ved at give dem større kontrol over egne data. Dette vil ske ved hjælp af en række nye regler på området og ved skærpelse af allerede eksisterende principper og regler.

De gældende regler i persondataloven vil således blive væsentligt ændret, da dansk lovgivning skal indrettes i overensstemmelse med den nye forordning.

Den nye forordning retter sig mod både private og offentlige virksomheder. Forordningen handler om meget andet end registrering af virksomheders medarbejdere. Den handler også om krav til virksomhedens processer for håndtering af persondata, herunder dokumentation herfor.

For at kunne overholde reglerne, skal man have styr på sit dataflow, hvor der gemmer sig persondata. Den store udfordring vil blandt mange virksomheder være et manglende overblik over dataflowet, når det drejer sig om mails, breve, sms’er m.v. Man skal f.eks. være i stand til at identificere al data om navngivne personer, da man bl.a. skal kunne udlevere disse data, hvis den pågældende spørger, og man skal løbende slette de data, man ikke har brug for.

Af væsentlige ændringer i forordningen er bl.a.:

  • Bødeniveauet forhøjes markant, således at der kan udstedes administrative bøder på op til € 20 mio. eller 4 % af din virksomheds/koncerns globale omsætning
  • Samtykkekrav skærpes, således at det udover at være frivilligt, specifikt og informeret også skal være utvetydigt i forhold til behandling af personfølsomme oplysninger
  • Underretning om alvorlige brud på datasikkerheden skal ske inden 72 timer
  • One-stop-shop for virksomheder med aktiviteter i flere lande, hvorefter virksomheder alene skal have kontakt med én enkelt tilsynsmyndighed
  • Klarere regler om retten til at blive glemt og specifikke krav om sletning af persondata
  • En databeskyttelsesansvarlig skal udpeges i offentlige og visse private virksomheder. Såfremt der udpeges en medarbejder, vil vedkommende være omfattet af forordningens regler om afskedigelsesbeskyttelse

Datatilsynet, som er den danske tilsynsmyndighed på området, har lavet 12 spørgsmål, som din virksomhed med fordel allerede nu kan forholde sig til. Link til spørgsmålene finder du her.

Hulgaard Advokater rådgiver om den praktiske håndtering af den nye persondataforordning, herunder analyser af dataflow og optimering heraf. Læs mere her.

Kontakt gerne advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk for rådgivning.

Sælger din virksomhed varer på nettet

Blog

Af Kristine Wagner

Den 15. februar 2016 blev der lanceret et nyt fælles europæisk online klagesystem, Online Dispute Resolution (ODR), som forbrugere inden for nethandel kan klage direkte til.

Det nye klagesystem skal gøre det nemmere for både forbrugere og virksomheder henholdsvis at klage og tage sig af klager, særligt når der er tale om grænseoverskridende nethandel.

Det betyder, at alle erhvervsdrivende, der driver nethandel eller sender elektroniske tilbudsmails til forbrugere, hvor forbrugeren kan acceptere tilbuddet direkte fra tilbudsmailen, er forpligtet til udtrykkeligt at gøre forbrugerne opmærksomme på klagemuligheden til ODR.

Helt konkret skal der enten på virksomhedens hjemmeside eller i tilbudsmailen fortælles om klagemuligheden til ODR og linkes til hjemmesiden http://ec.europa.eu/odr. Beskrivelsen af klagemuligheden kan f.eks. angives i virksomhedens almindelige handelsbetingelser på hjemmesiden.

Ovenstående oplysningspligt trådte i kraft allerede den 15. februar 2015, og hvis ikke oplysningspligten overholdes, kan virksomheden pålægges bøder.

Du kan finde eksempler på formuleringer til at opfylde oplysningspligten på http://forbrugereuropa.dk.

Er du i tvivl om de nye regler, eller har du brug for hjælp til den rette formulering til din hjemmeside eller tilbudsmail, er du meget velkommen til at kontakte Kristine Wagner på kw@hulgaardadvokater.dk.

Øjvind Hulgaard

Advokat (L)
Tel.dir.: 38 40 42 44 / 38 40 42 45
Mobil: 28 19 39 93
hu@hulgaardadvokater.dk

Kristine Wagner

Advokat (L)
Tel.dir.: 38 40 42 20
Mobil: 40 80 64 20
kw@hulgaardadvokater.dk

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: 38 40 42 40
Mobil: 42 13 42 40
kmm@hulgaardadvokater.dk