Internet Explorer viser ikke vores hjemmeside optimalt. Vi anbefaler, at du i stedet bruger en anden browser, f.eks.

Chrome

.

GDPR på hjemmearbejdspladsen

Blog

GDPR på hjemmearbejdspladsen

Af: Marcus A. Jensen

Grundet coronavirussen (COVID-19) arbejder rigtigt mange hjemmefra, men man må huske på, at de persondataretlige regler også gælder andre steder end på arbejdspladsen. I dette oplæg vil vi komme med nogle tips til at beskytte personoplysninger fra hjemmearbejdspladsen. 

Konkrete tiltag

For arbejdsgivernes vedkommende er det en rigtig god ide at sikre sig, at virksomheden har indført retningslinjer for hjemmearbejde. Herved kan virksomheden sikre, at der også på medarbejdernes hjemmearbejdsplads træffes de fornødne sikkerhedsforanstaltninger, som krævet af databeskyttelsesforordningen. Det vil være en rigtig god ide, at genfremsende de relevante retningslinjer til de hjemmearbejdende medarbejdere, hvis man allerede har udarbejdet nogen. Ellers bør virksomheden snarest få udarbejdet retningslinjer for hjemmearbejde og orientere medarbejderne.

Det er op til den enkelte virksomhed at vurdere hvilke sikkerhedsforanstaltninger, der er behov for. Vi vil imidlertid give nogle eksempler her, målrettet den enkelte medarbejder: 

Cloud og netværksadgang

  • Sørg for, at du som medarbejder kender processerne for fjernadgang og tester, at de virker (f.eks. VPN, fler-faktor autentifikation osv.)
  • Hvor det er muligt, skal du kun bruge den anviste sikre adgang til fagsystemer (VPN, direkte opkobling eller andre sikre services) og overhold organisatoriske regler og procedurer for sky- eller netværksadgang, log-in og datadeling.
  • Hvis du arbejder uden cloud- eller netværksadgang, skal du sikre dig, at alle lokalt lag-rede data sikkerhedskopieres tilstrækkeligt på en sikker måde.

 

Enheder

  • Vær ekstra omhyggelig med, at enheder, f.eks. USB’er, telefoner, bærbare computere eller tablets, ikke går tabt eller placeres forkert.
  • Sørg for, at enhver enhed har de nødvendige opdateringer, f.eks. operativsystemopdateringer (som iOS eller Android) og software-/antivirusopdateringer.
  • Sørg for, at din computer, bærbar computer eller anden enhed bruges på et sikkert sted, f.eks. hvor du kan holde øje med den og minimer, hvem der ellers kan se skærmen, især hvis du arbejder med følsomme personoplysninger.
  • Lås din enhed, når du forlader den.
  • Sørg for, at dine enheder er slukket, låst eller opbevares omhyggeligt, når de ikke er i brug.
  • Sørg for at du bruger effektive adgangskontroller (f.eks. Multifaktor-godkendelse og stærke adgangskoder), og hvor det er muligt, kryptering for at begrænse adgangen til enheden og for at reducere risikoen, hvis en enhed bliver stjålet eller forkert placeret.
  • Hvis en enhed mistes eller bliver stjålet, skal du straks tage skridt for at blokere eller slette enhedens indhold, såfremt det er muligt.

 

E-mails

  • Følg alle relevante politikker i din organisation omkring brugen af e-mail, mens du arbejder hjemme.
  • Brug din arbejdsmailadresse frem for en evt. personlig mailadresse til arbejdsrelaterede formål, der involverer personoplysninger. Hvis du skal bruge personlig mailadresse, skal du sørge for, at indhold og vedhæftede filer er krypteret, og undgå at bruge personoplysninger eller fortrolige data på emnelinjer.
  • Inden du sender en e-mail, skal du sikre dig, at du sender den til den rigtige modtager, især for e-mails, der involverer store mængder af personoplysninger eller følsomme personlige data.

 

Opmærksomhed på de øgede trusler

Center for Cybersikkerhed har også bemærket, at man bør være opmærksom på det øgede trusselsbillede, hvor kriminelle prøver at udnytte situationen. De vil f.eks. forsøge at udbrede ransomware og sende phishinglinks og -sms’er, under dække af corona.

Hvis du vil vide mere, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: +45 38 40 42 40
Mobil: +45 42 13 42 40
kmm@hulgaardadvokater.dk

Marcus A. Jensen

Advokatfuldmægtig
Tel.dir. +45 38 40 42 47
Mobil +45 42 13 42 47
maj@hulgaardadvokater.dk

10 aktuelle spørgsmål om ansættelsesret og GDPR i forhold til COVID-19

Blog

10 aktuelle spørgsmål om ansættelsesret og GDPR i forhold til COVID-19

Af: Kristine Mølgaard Mogensen

Senest opdateret den 17. marts 2020 kl. 10.00.

COVID-19 har bragt os alle i en ekstraordinær situation, hvor der hele tiden opstår nye spørgsmål i takt med nye udfordringer. Det gælder også i forhold til ansættelsesret og GDPR. Nedenfor giver advokat Kristine Mølgaard Mogensen, som er specialiseret i ansættelsesret og persondataret, svar på 10 aktuelle spørgsmål.

 

Har en arbejdsgiver pligt til at lade privatansatte medarbejdere arbejde hjemmefra?

Nej. Der er alene tale om en opfordring til de private virksomheder. Det skal derfor aftales mellem arbejdsgiveren og medarbejderne.

Det er arbejdsgiveren, som skal vurdere om, og i givet fald, hvem der kan arbejde hjemmefra og hvem, der skal møde på arbejde.

Hvis ikke alle kan arbejde hjemmefra, anbefaler vi, at arbejdsgivere tænker i alternative løsninger. Det kan være en mulighed at lave skiftevis hjemmearbejdsdage, mens andre bliver på arbejde. På den måde minimerer man antallet af medarbejdere på arbejdspladsen og dermed smitterisikoen. Der kan også laves aftaler om afvikling af ferie, afspadseringstimer eller i en afgrænset periode gå ned i tid.

 

Hvad skal man som arbejdsgiver være opmærksom på, hvis medarbejdere skal møde ind?

Virksomheden er forpligtet til at sikre et sundt og sikkert arbejdsmiljø. Derfor bør virksomheden sørge for, at risikoen for smittespredning i videst mulig omfang minimeres ved fx at følge de nationale anbefalinger om god hygiejne og om at holde afstand.

 

Kan en privatansat medarbejder, som er bekymret for at blive smittet, lade være med at møde op på arbejdspladsen?

Nej. Hvis en virksomhed har brug for, at der skal udføres opgaver på arbejdspladsen, ligger det inden for ledelsesretten at kræve, at medarbejderen skal møde ind.

 

Kan en arbejdsgiver sende medarbejderne på ferie med øjeblikkelig virkning?

Nej eller måske. Som udgangspunkt skal ferie varsles med de almindelige varsler, som er 1 måned for restferie og 3 måneder for hovedferie. Dog er det muligt at fravige varslerne ved særlige omstændigheder. Det vil afhænge af en konkret vurdering af forholdene i den enkelte virksomhed, om der er tale om særlige omstændigheder.

Vær opmærksom på, at der kan være mulighed for at afholde feriefridage, afhængig af den individuelle aftale.

 

Kan en arbejdsgiver pålægge medarbejderne at afspadsere?

Ja. Hvis en medarbejder har optjent afspadsering, og der ikke er særlige interne regler eller aftalt andet i ansættelseskontrakten, der forhindrer at arbejdsgiveren bestemmer, at der skal ske afspadsering, kan medarbejderen pålægges at afspadsere.

 

Må man som arbejdsgiver registrere og fortælle de andre medarbejdere, at en medarbejder er i karantæne?

Ja, hvis det er sagligt og nødvendigt. Man må dog ikke angive årsagen dertil som fx at et familiemedlem er smittet. Det er nemlig Datatilsynets vurdering, at der kan registreres og videregives oplysninger, der ikke er så konkrete og specifikke, at de anses for helbredsoplysninger, når situationen nødvendiggør det.

 

Må man som arbejdsgiver registrere og fortælle de andre medarbejdere, at en medarbejder er smittet med COVID-19?

Ja, hvis det er sagligt og nødvendigt. Det kan ifølge Datatilsynet fx være hensynet til, at ledelsen og kollegaer kan træffe de nødvendige forholdsregler.

 

Skal en arbejdsgiver betale løn til en medarbejder, som er kommet i karantæne?

Ja, hvis medarbejderen er pålagt at gå i karantæne af sundhedsmyndighederne, og medarbejderen har ret til løn under sygdom. Pålæg af karantæne er nemlig at sidestille med sygdom.

 

Skal en arbejdsgiver betale løn til en medarbejder, som er smittet med CO-VID-19?

Ja, hvis medarbejderen har ret til løn under sygdom. Hvis en medarbejder er smittet med COVID-19, er medarbejderen syg og de almindelige regler om løn under sygdom skal følges.

 

Kan man få lønkompensation til hjemsendte medarbejdere?

Måske, hvis du er en privat virksomhed. Efter den indgåede trepartsaftale kan det være en mulighed at søge om lønkompensation, hvis det forventes, at der skal afskediges minimum 30 % af den samlede medarbejderstab eller mere end 50 medarbejdere grundet økonomiske årsager som følge af COVID-19.

Virksomheden må i den periode, hvor der modtages kompensation ikke afskedige medarbejderne pga. økonomiske årsager. Ordningen forventes at kunne søges fra midt i uge 13. Læs mere om ordningen på Beskæftigelsesministeriets hjemmeside www.bm.dk og hold dig opdateret på www.virksomhedsguiden.dk.

Hvis du vil vide mere, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: +45 38 40 42 40
Mobil: +45 42 13 42 40
kmm@hulgaardadvokater.dk

Marcus A. Jensen

Advokatfuldmægtig
Tel.dir. +45 38 40 42 47
Mobil +45 42 13 42 47
maj@hulgaardadvokater.dk

Bøde på 2,4 mio. for manglende sikkerhedsforanstaltninger

Blog

Bøde på 2,4 mio. for manglende sikkerhedsforanstaltninger

 

Af: Marcus A. Jensen

Det engelske datatilsyn ICO har nu udstedt deres første bøde efter Databeskyttelsesforordningens regler. Bøden blev udstedt til apotekskæden Doorstep Dispensaree Ltd og lød på 275.000 britiske pund, svarende til 2,4 millioner danske kroner.

Ifølge ICO blev ca. 500.000 dokumenter, som bl.a. indeholdt helbredsoplysninger om kunder, opbevaret i en baggård i ulåste containere, plastikposer mv.

Databeskyttelsesforordningen bygger på et grundlæggende princip om, at den, der behandler personoplysninger, skal beskytte dem. Beskyttelsen sikres, ved at man indfører passende tekniske og organisatoriske foranstaltninger. Mange står herefter med spørgsmålet om hvad ”passende” foranstaltninger er. Svaret er, at man foretager en risikovurdering.

Denne vurdering gennemføres ved, at man først finder frem til, hvilke risici der er for fysiske personers rettigheder og frihedsrettigheder. Overordnet kan det bl.a. være risikoen for uautoriseret adgang til eller hændelig undergang af personoplysninger. Mere konkret kan det være risikoen for f.eks. phishing-forsøg, at man bliver angre-bet af malware eller at ens arkivfiler bliver ødelagt pga. af et sprunget vandrør. Når man har fundet en risiko, vurderer man sandsynligheden for, at risikohændelsen indtræffer. Man vurderer også konsekvenserne for de registrerede, hvis det skulle gå galt. Sammenholder man sandsynligheden med den mulige konsekvens, får man risikoen for fysiske personers rettigheder og frihedsrettigheder.

Doorstep Dispensaree Ltd havde opbevaret de ca. 500.000 dokumenter i en baggård i uaflåste containere og poser. Doorstep Dispensaree Ltd oplyste dog, at gården var aflåst. Flere af dokumenterne var imidlertid blevet gennemblødt af regn og således beskadiget. Meget tyder altså på, at der ikke var givet meget eftertanke til databeskyttelsesforordningens krav om beskyttelse. Efterforskningschef hos ICO, Steve Eckersley, udtalte også, at “The careless way Doorstep Dispensaree stored special category data failed to protect it from accidental damage or loss. This falls short of what the law expects and it falls short of what people expect”.

På linje med andre afgørelser kan vi se, at de forskellige landes tilsynsmyndigheder slår hårdt ned over for brud på de grundlæggende principper. I denne sag med en bøde svarende til 2,4 millioner danske kroner.

Det er vigtigt, at virksomheder overvejer mere end bare risikoen for IT-angreb, når de skal finde frem til, hvad passende sikkerhedsforanstaltninger er. Det er ikke unormalt, at virksomheder anvender loftrum, kældre og lignende rum til opbevaring af arkiverede dokumenter. Men også her skal personoplysninger beskyttes mod hændelig undergang.

Hvis du vil vide mere om persondata, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: +45 38 40 42 40
Mobil: +45 42 13 42 40
kmm@hulgaardadvokater.dk

Marcus A. Jensen

Advokatfuldmægtig
Tel.dir. +45 38 40 42 47
Mobil +45 42 13 42 47
maj@hulgaardadvokater.dk

Hvor gælder GDPR?

Blog

Hvor gælder GDPR?

 

Af: Marie Martens Lawsen

Hvordan skal man forholde sig, hvis ens virksomhed alene behandler oplysninger vedrørende ikke EU-borgere? Og er virksomheder uden for EU omfattet af GDPR?

Databeskyttelsesforordningens artikel 3 udstikker det territoriale anvendelsesområde for forordningen. Det territoriale anvendelsesområde henviser til, hvor reglerne finder anvendelse. 

Virksomheder i EU, der behandler personoplysninger om ikke EU-borgere

Af artikel 3 fremgår, at databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, der foretages som led i aktiviteter, der udføres for en dataansvarlig eller databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen.

Med andre ord, vil en virksomhed, der er etableret i Danmark eller EU, være omfattet af databeskyttelsesforordningen, også selv om virksomheden alene behandler personoplysninger for eksempelvis amerikanske borgere.

Virksomhedens retlige form er ikke afgørende, og der kan derfor være tale om en filial, et datterselskab eller noget helt tredje. Det følger af retspraksis, at begrebet ”etableret” omfatter selv en minimal, reel og faktisk aktivitet, der udøves via en permanent struktur.

Man bør som virksomhed hermed være opmærksom på, at der skal meget lidt til, for at man betragtes som etableret i EU, og at man dermed forpligtes til at give ikke EU- borgere den samme beskyttelse som EU-borgere inden for rammerne af GDPR – uanset hvor i verden borgerne befinder sig. 

Virksomheder uden for EU

Databeskyttelsesforordningens indfører en ændring i forhold til de tidligere regler ved, at forordningen finder anvendelse på behandlinger, der har virkning for fysiske per-soner, som befinder sig inden for EU’s grænser. Det er dermed ikke længere en be-tingelse, at behandlingen af personoplysninger sker med hjælpemidler inden for EU.

Anvendelsesområdet for virksomheder, der ikke er etableret i EU er dog afgrænset til at omfatte behandlingsaktiviteter:

  • der vedrører udbud af varer eller tjenester til registrerede i EU, uanset om varen eller tjenesten kræver betaling, og
  • overvågning af registreredes adfærd, for så vidt deres adfærd finder sted i EU.

Idet borgere via internettet i høj grad kan tilgå varer og tjenester fra mange forskel-lige lande, er det centralt at undersøge, om det er åbenbart, at den dataansvarlige eller databehandleren påtænker at udbyde sine varer eller tjenesteydelser til registre-rede i EU.

I denne vurdering kan bl.a. lægges vægt på, om udbyderen henvender sig konkret til EU-borgere, fx ved at tilbyde information på sprog, der overvejende benyttes i EU eller med EU-valuta. Desuden kan omtale af kunder og brugere, der befinder sig i EU tydeliggøre, at den dataansvarlige eller databehandleren henvender sig til denne målgruppe.

Det forhold, at EU-borgere har adgang til udbyderens websted, mailadresse eller andre kontaktoplysninger, eller at der anvendes et sprog, der også almindeligvis anvendes i det tredjeland, hvor udbyderen er etableret, er i sig selv utilstrækkeligt til at fastslå, at den dataansvarlige eller databehandleren henvender sig til EU-kunder.

Behandling af personoplysninger vedrørende registreredes adfærd i EU er også omfattet af forordningen. Det afgørende for, hvorvidt der er tale om en overvågning er, om fysiske personer spores på internettet, fx via indsamling af IP-adresser, herunder at der benyttes teknikker til profilering, navnlig med det formål at træffe beslutning om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd eller holdninger. Dette forekommer eksempelvis ved online markedsføring.

Virksomheder uden for EU er dermed omfattet af GDPR i det omfang, de konkret udbyder varer eller tjenesteydelser til EU-borgere eller foretager overvågning af EU-borgere, fx med henblik på online markedsføring. 

Kontakt

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus A. Jensen på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk.
hvis I ønsker at drøfte, hvordan I lever op til reglerne i persondataforordningen.

 

Tilsyn med databehandlere og underdatabehandlere

Blog

Tilsyn med databehandlere og underdatabehandlere

 

Af: Marie Martens Lawsen

Selvom det ikke udtrykkeligt fremgår af databeskyttelsesforordningen (GDPR), skal du som dataansvarlig føre kontrol med dine databehandlere.

Hvorvidt et tilsyn skal gennemføres af dig selv eller en uafhængig tredjepart, samt hvor ofte og hvordan tilsynet skal gennemføres, afhænger af en konkret risikovurdering.

Tilsyn med eventuelle underdatabehandlere føres i udgangspunktet af den oprindelige databehandler. Den dataansvarlige har dog en forpligtelse til at sikre sig, at tilsynet løbende føres.

 

Baggrund

Hvis man benytter databehandlere, skal man som dataansvarlig indgå en databehandleraftale. Af databehandleraftalen skal det fremgå, at databehandleren sikrer sig, at der implementeres et passende niveau af teknisk og organisatorisk sikkerhed i forhold til de data og risici, som behandlingen indebærer. De konkrete sikkerhedsforanstaltninger bør fremgå af databehandleraftalen.

Kravet om at føre kontrol med databehandlere og underdatabehandlere fremgår ikke af en konkret bestemmelse i databeskyttelsesforordningen, men det er Datatilsynets opfattelse, at man for at kunne leve op til ansvarlighedsprincippet skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen, og at den dataansvarlige ikke vil kunne leve op til dette krav ved blot at indgå en databehandleraftale og herefter ikke føre kontrol.

 

Hvad er ansvarlighedsprincippet?

Ansvarlighedsprincippet henviser til databeskyttelsesforordningens artikel 5, stk. 2, hvoraf det fremgår, at den dataansvarlige er ansvarlig for at kunne påvise, at
de grundlæggende principper for behandling af personoplysninger overholdes.

 

Hvem skal føre tilsyn?

Som dataansvarlig kan man vælge selv at påse behandlingssikkerheden hos underleverandører, eller man kan vælge at få en ekstern uafhængig tredjepart til at påse behandlingssikkerheden og overholdelse af databehandleraftalen.

Ved kontrollen tages udgangspunkt i de sikkerhedsforanstaltninger, der er aftalt i den indgåede databehandleraftale.

 

Hvordan skal der føres tilsyn?

Tilsynet med en databehandler kan gennemføres som et fysisk besøg eller som et skriftlig tilsyn baseret på et tilsynsskema.

Ved valget af tilsynsform, vil man skulle tage udgangspunkt i den risikovurdering, der ligger til grund for de implementerede sikkerhedsforanstaltninger. Tilsynsformen af-hænger således af den identificerede risiko for de registrerede.

 

Hvor ofte skal man føre tilsyn med sine databehandlere?

Hyppigheden af tilsyn afhænger ligeledes af den risikovurdering, som den dataansvarlige ved indgåelse af databehandleraftalen har foretaget.

Hvis risikoen for de registrerede er høj, kan det være nødvendigt at påse behandlingssikkerheden hos databehandlere årligt eller halvårligt. Hvis risikoen er lav, kan tilsynet føres med en lavere frekvens.

 

Skal man også føre tilsyn med underdatabehandlere?

Den oprindelige databehandler skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som dem der gør sig gældende for databehandleren selv. På denne baggrund er Datatilsynets udgangspunkt, at det overlades til den op-rindelige databehandler at føre kontrol med egne underdatabehandlere. Den dataansvarlige er dog forpligtet til at sikre sig, at databehandleren fører kontrol med underdatabehandlere.

Hos Hulgaard Advokater har vi erfaring med at føre både fysiske og skriftlige tilsyn med databehandlere og underdatabehandlere, herunder vurdere formen og frekvensen af tilsyn.

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus A. Jensen på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk for en vurdering af dit behov for at føre tilsyn med eventuelle databehandlere eller underdatabehandlere.