Internet Explorer viser ikke vores hjemmeside optimalt. Vi anbefaler, at du i stedet bruger en anden browser, f.eks.

Chrome

.

Bøde på 2,4 mio. for manglende sikkerhedsforanstaltninger

Blog

Bøde på 2,4 mio. for manglende sikkerhedsforanstaltninger

 

Af: Marcus A. Jensen

Det engelske datatilsyn ICO har nu udstedt deres første bøde efter Databeskyttelsesforordningens regler. Bøden blev udstedt til apotekskæden Doorstep Dispensaree Ltd og lød på 275.000 britiske pund, svarende til 2,4 millioner danske kroner.

Ifølge ICO blev ca. 500.000 dokumenter, som bl.a. indeholdt helbredsoplysninger om kunder, opbevaret i en baggård i ulåste containere, plastikposer mv.

Databeskyttelsesforordningen bygger på et grundlæggende princip om, at den, der behandler personoplysninger, skal beskytte dem. Beskyttelsen sikres, ved at man indfører passende tekniske og organisatoriske foranstaltninger. Mange står herefter med spørgsmålet om hvad ”passende” foranstaltninger er. Svaret er, at man foretager en risikovurdering.

Denne vurdering gennemføres ved, at man først finder frem til, hvilke risici der er for fysiske personers rettigheder og frihedsrettigheder. Overordnet kan det bl.a. være risikoen for uautoriseret adgang til eller hændelig undergang af personoplysninger. Mere konkret kan det være risikoen for f.eks. phishing-forsøg, at man bliver angre-bet af malware eller at ens arkivfiler bliver ødelagt pga. af et sprunget vandrør. Når man har fundet en risiko, vurderer man sandsynligheden for, at risikohændelsen indtræffer. Man vurderer også konsekvenserne for de registrerede, hvis det skulle gå galt. Sammenholder man sandsynligheden med den mulige konsekvens, får man risikoen for fysiske personers rettigheder og frihedsrettigheder.

Doorstep Dispensaree Ltd havde opbevaret de ca. 500.000 dokumenter i en baggård i uaflåste containere og poser. Doorstep Dispensaree Ltd oplyste dog, at gården var aflåst. Flere af dokumenterne var imidlertid blevet gennemblødt af regn og således beskadiget. Meget tyder altså på, at der ikke var givet meget eftertanke til databeskyttelsesforordningens krav om beskyttelse. Efterforskningschef hos ICO, Steve Eckersley, udtalte også, at “The careless way Doorstep Dispensaree stored special category data failed to protect it from accidental damage or loss. This falls short of what the law expects and it falls short of what people expect”.

På linje med andre afgørelser kan vi se, at de forskellige landes tilsynsmyndigheder slår hårdt ned over for brud på de grundlæggende principper. I denne sag med en bøde svarende til 2,4 millioner danske kroner.

Det er vigtigt, at virksomheder overvejer mere end bare risikoen for IT-angreb, når de skal finde frem til, hvad passende sikkerhedsforanstaltninger er. Det er ikke unormalt, at virksomheder anvender loftrum, kældre og lignende rum til opbevaring af arkiverede dokumenter. Men også her skal personoplysninger beskyttes mod hændelig undergang.

Hvis du vil vide mere om persondata, er du velkommen til at kontakte Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk.

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: +45 38 40 42 40
Mobil: +45 42 13 42 40
kmm@hulgaardadvokater.dk

Marcus Gangdal

Advokat
Tel.dir. +45 38 40 42 47
Mobil +45 42 13 42 47
maj@hulgaardadvokater.dk

Hvor gælder GDPR?

Blog

Hvor gælder GDPR?

 

Af: Marie Martens Lawsen & Kristine Mølgaard Mogensen

Hvordan skal man forholde sig, hvis ens virksomhed alene behandler oplysninger vedrørende ikke EU-borgere? Og er virksomheder uden for EU omfattet af GDPR?

Databeskyttelsesforordningens artikel 3 udstikker det territoriale anvendelsesområde for forordningen. Det territoriale anvendelsesområde henviser til, hvor reglerne finder anvendelse.

Virksomheder i EU, der behandler personoplysninger om ikke EU-borgere

Af artikel 3 fremgår, at databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, der foretages som led i aktiviteter, der udføres for en dataansvarlig eller databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen.

Med andre ord, vil en virksomhed, der er etableret i Danmark eller EU, være omfattet af databeskyttelsesforordningen, også selv om virksomheden alene behandler personoplysninger for eksempelvis amerikanske borgere.

Virksomhedens retlige form er ikke afgørende, og der kan derfor være tale om en filial, et datterselskab eller noget helt tredje. Det følger af retspraksis, at begrebet ”etableret” omfatter selv en minimal, reel og faktisk aktivitet, der udøves via en permanent struktur.

Man bør som virksomhed hermed være opmærksom på, at der skal meget lidt til, for at man betragtes som etableret i EU, og at man dermed forpligtes til at give ikke EU- borgere den samme beskyttelse som EU-borgere inden for rammerne af GDPR – uanset hvor i verden borgerne befinder sig.

Virksomheder uden for EU

Databeskyttelsesforordningens indfører en ændring i forhold til de tidligere regler ved, at forordningen finder anvendelse på behandlinger, der har virkning for fysiske per-soner, som befinder sig inden for EU’s grænser. Det er dermed ikke længere en be-tingelse, at behandlingen af personoplysninger sker med hjælpemidler inden for EU.

Anvendelsesområdet for virksomheder, der ikke er etableret i EU er dog afgrænset til at omfatte behandlingsaktiviteter:

  • der vedrører udbud af varer eller tjenester til registrerede i EU, uanset om varen eller tjenesten kræver betaling, og
  • overvågning af registreredes adfærd, for så vidt deres adfærd finder sted i EU.

Idet borgere via internettet i høj grad kan tilgå varer og tjenester fra mange forskel-lige lande, er det centralt at undersøge, om det er åbenbart, at den dataansvarlige eller databehandleren påtænker at udbyde sine varer eller tjenesteydelser til registre-rede i EU.

I denne vurdering kan bl.a. lægges vægt på, om udbyderen henvender sig konkret til EU-borgere, fx ved at tilbyde information på sprog, der overvejende benyttes i EU eller med EU-valuta. Desuden kan omtale af kunder og brugere, der befinder sig i EU tydeliggøre, at den dataansvarlige eller databehandleren henvender sig til denne målgruppe.

Det forhold, at EU-borgere har adgang til udbyderens websted, mailadresse eller andre kontaktoplysninger, eller at der anvendes et sprog, der også almindeligvis anvendes i det tredjeland, hvor udbyderen er etableret, er i sig selv utilstrækkeligt til at fastslå, at den dataansvarlige eller databehandleren henvender sig til EU-kunder.

Behandling af personoplysninger vedrørende registreredes adfærd i EU er også omfattet af forordningen. Det afgørende for, hvorvidt der er tale om en overvågning er, om fysiske personer spores på internettet, fx via indsamling af IP-adresser, herunder at der benyttes teknikker til profilering, navnlig med det formål at træffe beslutning om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd eller holdninger. Dette forekommer eksempelvis ved online markedsføring.

Virksomheder uden for EU er dermed omfattet af GDPR i det omfang, de konkret udbyder varer eller tjenesteydelser til EU-borgere eller foretager overvågning af EU-borgere, fx med henblik på online markedsføring.

Kontakt

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus A. Jensen på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk.
hvis I ønsker at drøfte, hvordan I lever op til reglerne i persondataforordningen.

 

Kristine Mølgaard Mogensen

Advokat
Tel.dir.: +45 38 40 42 40
Mobil: +45 42 13 42 40
kmm@hulgaardadvokater.dk

Marcus Gangdal

Advokat
Tel.dir. +45 38 40 42 47
Mobil +45 42 13 42 47
maj@hulgaardadvokater.dk

Tilsyn med databehandlere og underdatabehandlere

Blog

Tilsyn med databehandlere og underdatabehandlere

 

Af: Marie Martens Lawsen & Kristine Mølgaard Mogensen 

Selvom det ikke udtrykkeligt fremgår af databeskyttelsesforordningen (GDPR), skal du som dataansvarlig føre kontrol med dine databehandlere.

Hvorvidt et tilsyn skal gennemføres af dig selv eller en uafhængig tredjepart, samt hvor ofte og hvordan tilsynet skal gennemføres, afhænger af en konkret risikovurdering.

Tilsyn med eventuelle underdatabehandlere føres i udgangspunktet af den oprindelige databehandler. Den dataansvarlige har dog en forpligtelse til at sikre sig, at tilsynet løbende føres.

 

Baggrund

Hvis man benytter databehandlere, skal man som dataansvarlig indgå en databehandleraftale. Af databehandleraftalen skal det fremgå, at databehandleren sikrer sig, at der implementeres et passende niveau af teknisk og organisatorisk sikkerhed i forhold til de data og risici, som behandlingen indebærer. De konkrete sikkerhedsforanstaltninger bør fremgå af databehandleraftalen.

Kravet om at føre kontrol med databehandlere og underdatabehandlere fremgår ikke af en konkret bestemmelse i databeskyttelsesforordningen, men det er Datatilsynets opfattelse, at man for at kunne leve op til ansvarlighedsprincippet skal kunne påvise, at en behandling af personoplysninger er i overensstemmelse med databeskyttelsesforordningen, og at den dataansvarlige ikke vil kunne leve op til dette krav ved blot at indgå en databehandleraftale og herefter ikke føre kontrol.

 

Hvad er ansvarlighedsprincippet?

Ansvarlighedsprincippet henviser til databeskyttelsesforordningens artikel 5, stk. 2, hvoraf det fremgår, at den dataansvarlige er ansvarlig for at kunne påvise, at
de grundlæggende principper for behandling af personoplysninger overholdes.

 

Hvem skal føre tilsyn?

Som dataansvarlig kan man vælge selv at påse behandlingssikkerheden hos underleverandører, eller man kan vælge at få en ekstern uafhængig tredjepart til at påse behandlingssikkerheden og overholdelse af databehandleraftalen.

Ved kontrollen tages udgangspunkt i de sikkerhedsforanstaltninger, der er aftalt i den indgåede databehandleraftale.

 

Hvordan skal der føres tilsyn?

Tilsynet med en databehandler kan gennemføres som et fysisk besøg eller som et skriftlig tilsyn baseret på et tilsynsskema.

Ved valget af tilsynsform, vil man skulle tage udgangspunkt i den risikovurdering, der ligger til grund for de implementerede sikkerhedsforanstaltninger. Tilsynsformen af-hænger således af den identificerede risiko for de registrerede.

 

Hvor ofte skal man føre tilsyn med sine databehandlere?

Hyppigheden af tilsyn afhænger ligeledes af den risikovurdering, som den dataansvarlige ved indgåelse af databehandleraftalen har foretaget.

Hvis risikoen for de registrerede er høj, kan det være nødvendigt at påse behandlingssikkerheden hos databehandlere årligt eller halvårligt. Hvis risikoen er lav, kan tilsynet føres med en lavere frekvens.

 

Skal man også føre tilsyn med underdatabehandlere?

Den oprindelige databehandler skal sørge for at pålægge underdatabehandlere de samme databeskyttelseskrav, som dem der gør sig gældende for databehandleren selv. På denne baggrund er Datatilsynets udgangspunkt, at det overlades til den op-rindelige databehandler at føre kontrol med egne underdatabehandlere. Den dataansvarlige er dog forpligtet til at sikre sig, at databehandleren fører kontrol med underdatabehandlere.

Hos Hulgaard Advokater har vi erfaring med at føre både fysiske og skriftlige tilsyn med databehandlere og underdatabehandlere, herunder vurdere formen og frekvensen af tilsyn.

Book et gratis møde med Kristine Mølgaard Mogensen på tlf. 38 40 42 40 eller kmm@hulgaardadvokater.dk eller Marcus A. Jensen på tlf. 38 40 42 47 eller maj@hulgaardadvokater.dk for en vurdering af dit behov for at føre tilsyn med eventuelle databehandlere eller underdatabehandlere.

 

Samtykke til behandling af personoplysninger

Blog

Samtykke til behandling af personoplysninger

Af: Marie Martens Lawsen & Kristine Mølgaard Mogensen 

Samtykke benyttes i vidt omfang til behandling af personoplysninger.

I september 2019 opdaterede Datatilsynet sin vejledning om samtykke. Denne opdatering sker op baggrund af, at Det Europæiske Databeskyttelsesråd i 2018 har offentliggjort en revideret vejledning om samtykke.

Samtykke er et af flere ligestillede retlige grundlag, som en dataansvarlig kan bruge til at behandle personoplysninger. Andre retlige grundlag omfatter:

  • at behandlingen af personoplysninger er nødvendig for opfyldelse af en kontrakt eller foranstaltninger der træffes forud for indgåelsen af en kontrakt
  • at behandlingen er nødvendig for, at den dataansvarlige kan overholde en retlig forpligtelse
  • at behandlingen er nødvendig for at beskytte den registreredes eller andre fysiske personers vitale interesser
  • at behandlingen er nødvendig for at udføre en opgave i samfundet interesser, herunder myndighedsudøvelse
  • at behandlingen er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse.

Samtykke bør alene benyttes, når den dataansvarlige ikke har et andet retlig grundlag. Årsagen hertil er, at den dataansvarlige ikke vil kunne støtte sin behandling på et andet retlig grundlag ved tilbagetrækning af et samtykke fra den registrerede.

Der er forskellige krav til et samtykke.

Tidspunkt for indhentelse af et samtykke

Et samtykke skal indhentes, inden den dataansvarlige påbegynder sin behandling af de personoplysninger, som samtykket angår.

Mundtligt eller skriftligt?

Et samtykke kan både afgives mundtligt, skriftligt eller digitalt. Det afgørende er, at den registreredes handling tydeligt tilkendegiver den registreredes hensigt, og samtykket kan derfor ikke gives stiltiende eller ved passivitet.

Det er desuden den dataansvarliges ansvar at bevise, at der er givet et gyldigt samtykke. Af denne årsag er det tilrådeligt så vidt muligt at benytte skriftlige eller digitale samtykker.

Et samtykke skal være f