Et år med GDPR og bødestørrelser

Den 25. maj 2019 markerede 1 års fødselsdagen for databeskyttelsesforordningen og den danske databeskyttelseslov.

Danske og europæiske virksomheder arbejdede op til ikrafttrædelsen for de nye regler hårdt på at indrette sig til de nye krav, bl.a. ved at indgå databehandleraftaler, få opdateret eksisterende persondatapolitikker og indføre retningslinjer internt i virksomheden med beskrivelse af, hvordan forordningens regler efterleves.

Efter ikrafttrædelsen har virksomhederne arbejdet med at efterleve politikkerne og retningslinjer i det daglige arbejde. Det er i den proces gået op for mange virksomheder, at én ting er at have nedskrevet sine procedurer, men at det største arbejde ligger i at sikre, at procedurerne efterleves i praksis af medarbejderne og at sikre, at virksomhedens IT-systemer understøtter efterlevelsen af de nye regler.

Alt dette compliance-arbejde er i det forgangne år blevet testet af Datatilsynet, som indtil videre har haft 1.376 tilsynssager og sager på Datatilsynets eget initiativ. Dertil kommer, at Datatilsynet til og med 31. marts 2019 har modtaget 4.301 anmeldelser om brud på datasikkerheden.

Det er dermed åbenlyst, at der er massiv opmærksomhed på efterlevelse af de nye regler, og at ikke alle virksomheder er kommet helt i mål med compliance-arbejdet.

Bødeniveau og -grundlag

Et interessant spørgsmål har været, hvor store bøderne for manglende eller mangelfuld efterlevelse af reglerne ville blive. Datatilsynet har med to bøde-indstillinger givet en indikator på, hvor bødeniveauet vil ligge.

Begge sager omhandler forpligtelsen til at slette personoplysninger, som der ikke er en lovlig grund til at opbevare eller anvende – en forpligtelse som giver anledning til en række problemer for mange virksomheder, særligt for virksomheder som opererer med enten ældre eller flere IT-systemer.

Det følger af reglerne i databeskyttelsesforordningen, at en virksomhed som udgangspunkt skal slette eller anonymisere personoplysninger, når det ikke længere er nødvendigt at behandle disse. Alle virksomheder skal derfor opsætte slettefrister for hvert af de systemer, der anvendes til at opbevare persondata, og sikre sig at disse frister efterleves.

Det er vigtigt at have for øje, at slettefristerne kan variere vidt og kan være afhængig af anden lovgivning. Dette betyder også, at man som virksomhed også er nødt til at foretage en vurdering af fristen for sletning af hver personoplysning eller kategori af personoplysning, som findes i virksomhedens systemer.

Sagen om IDdesign

I den seneste sag har Datatilsynet på baggrund af et tilsynsbesøg vurderet, at IDdesign ikke har efterlevet databeskyttelsesforordningens regler om sletning af personoplysninger, idet IDdesign opbevarede personoplysninger om ca. 385.000 kunder i en længere periode end nødvendigt. Derfor har Datatilsynet indstillet IDdesign til en bøde på 1,5 mio. kr.

Datatilsynet fremhæver i konklusionerne til tilsynsafgørelserne, at Datatilsynets finder grund til at udtale alvorlig kritik i relation IDdesigns manglende dokumentation for sletningsprocedurer, hvilket anses for at være en skærpende omstændighed i relation til bødestørrelsen.

Det følger af sagen om IDdesign, at alle virksomheder, som behandler personoplysninger om fx kunder og medarbejdere, som minimum skal stille sig selv følgende spørgsmål:

  • Hvilke IT-systemer anvendes til behandling af personoplysninger?
  • Hvilken behandling af personoplysninger finder sted, og hvilken kategori af oplysninger behandles i hvert system?
  • Hvilke slettefrister er der opsat for personoplysningerne i hvert system, og hvordan kan systemerne teknisk understøtte muligheden for sletningen, enten manuelt eller automatisk?
  • Hvordan kan det beskrives og dokumenteres, at en personoplysning er slettet indenfor de fastlagte frister i alle de relevante systemer?

 

Datatilsynet har meldt ud, at tilsynsbesøgene i første halvår af 2019 for private virksomheders vedkommende vil fokusere på brud på persondatasikkerheden, kryptering af e-mails, indsigtsretten for den registrerede samt aggregering og sammenstilling af data til brug for videresalg. Der er endnu ikke meldt fokusområder ud for andet halvår af 2019.

Såfremt man som virksomhed har brug for et compliance-tjek for at være klar til et tilsynsbesøg kan man kontakte persondataspecialist advokat Mikkel Kleismkl@patrade-legal.dk eller 60 24 90 53.