11. januar 2023
Ernst Poulsen
0

SÅDAN FÅR DU STYR PÅ GDPR-REGLER

Din virksomhed skal ikke bare have styr på, hvilke data I opbevarer, men også hvem I deler dem med – og hvornår I sletter dem igen. Vi gennemgår de vigtigste pointer i Datatilsynsforordningen.

Hver eneste uge er der 100 borgere, der klager til Datatilsynet, fordi de mener, at deres GDPR-regler er blevet overtrådt.

”Danske virksomheder er generelt meget seriøse og har stor forståelse for vigtigheden af GDPR-reglerne,” vurderer Allan Frank, der er IT-sikkerhedsspecialist hos Datatilsynet.

”Der hvor de nogle gange kommer til at gå for langt er, når de er ved at udvikle nye forretningsområder, hvor de kombinerer data på nye og spændende måder og f.eks. kombinerer med oplysninger om brugernes adfærd. Så kan det nogle gange være svært for dem at afveje mulighederne med rimeligheden.”

Han understreger, at Datatilsynet gør en hel del ud af at vejlede virksomheder og ikke kaster om sig med bøder ved enhver overtrædelse af reglerne.

”Bøder bliver typisk først udstedt, hvis der er tale om virksomheder, hvor den dataansvarlige burde vide bedre, og hvis der er simple ting, de har overset – og som de burde have gjort noget ved,” forklarer Allan Frank.

I løbet af de sidste par år har Datatilsynet indstillet en stribe virksomheder, organisationer og myndigheder til bøder – rækkende lige fra 50.000 kr. op til 10. mio. kr. Og selv om bøderne til myndigheder generelt ligger på et lavere niveau, så kan det godt blive alvorligt nok endda, fordi myndigheder ofte ligger inde med meget følsomme data. Og bødeniveauet er netop lagt, så der er en klar motivation til at få styr på reglerne.

Datatilsynsområdet kan synes meget omfattende, men der er seks grundlæggende principper i loven, som Allan Frank råder til, at alle organisationer sætter sig ind i.

  1. Gennemsigtigt og lovligt:

    ”Det mest grundlæggende er, at man skal overholde databeskyttelsesreglerne, og at man skal behandle og opbevare data på en ordentlig og gennemsigtig måde,” siger Allan Frank.
  2. Formålsbegrænsning: Til konkrete formål:

    ”Man kan ikke bare indhente data helt bredt. De data man opbevarer, skal have et specifikt formål. Hvis en bank skal oprette en bankkonto, har de naturligt et formål med at have en stribe oplysninger på dig, og på den måde skal man altid kunne begrunde, hvad man skal med de data, man opbevarer,” forklarer Allan Frank.
  3. Kun de relevante data:

    ”Grundlæggende må man ikke indsamle data, hvis man kan klare sig uden. Hvis man kan klare sig med fem datapunkter, så må man ikke indsamle ti. Det gennemsyrer hele lovgivningen, og mange af de andre regler er også koblet op på, om man har et formål.”
  4. Slet, slet, slet:

    ”Det gælder f.eks. også, hvis man ikke længere har et formål med de data, man har indsamlet, så skal de slettes,” understreger Allan Frank.

    Der findes ikke præcise regler for, hvor længe man må opbevare data, og der kan nemt være modstridende krav, som man skal afveje. Bogføringsloven kan godt kræve, at man opbevarer oplysningerne om et salg i fem år, men de oplysninger man indsamlede under markedsføringen, skal man måske slette efter et enkelt år.”Mit vigtigste råd er helt klart, at man tager en beslutning om, hvornår man vil slette oplysningerne – og så får det skrevet ned.”

  5. Kun korrekte data:

    Alle ønsker som udgangspunkt, at data skal være så rigtige som muligt, så det er ikke det, der er udfordringen i sig selv. Der hvor det kan blive svært er, at man også har pligt til at opdatere og korrigere data.

    Allan Frank nævner Danske Bank som eksempel: Bankens system til gældsinddrivelse har i et par årtier indeholdt adskillige fejl, som gør, at 100.000 kunder blev opkrævet for store beløb. Banken regner med at skulle bruge 75.000 arbejdstimer på at rette fejlene, som den først regner med at være færdig med i 2024.

  6. Sikkert – eller rigtigt sikkert:
    Alle ved, at man skal passe på sine data, men hvornår er det nok at beskytte løsningerne med alm. passwords, og hvornår bør man øge sikkerheden ved f.eks. at kryptere data?

    ”Følsomme data ligger ofte på server-løsninger, hvor de er beskyttet. Men hvis en organisation har valgt en IT-løsning, hvor data bliver hentet ned på en laptop, så øger det risikoen betydeligt. Det sker relativt ofte, at computere bliver stjålet, og så bør sikkerheden øges,” siger Allan Frank.

    Datatilsynet har i flere tilfælde indstillet kommuner til bøder, når kommunerne har indberettet, at ansattes computere var blevet stjålet, og at indholdet på de pågældende computere ikke var krypteret. \

FEM FIRMAER DER BLEV INDSTILLET TIL BØDE

Da GDPR-reglerne blev indført, var en af de mere markante regler, at bødestørrelserne kunne var ret betydelige – helt op til 75 mio. kr. – eller 150 mio. kr. for alvorlige overtrædelser.

Bøderne bliver justeret både efter virksomhedens størrelse, grovheden og omfanget af overtrædelsen og kan derfor variere betydeligt, men der er i alle tilfælde tale om bøder, som er ret markante.

Datatilsynet udsteder ikke bøderne selv, men anmelder firmaerne til politiet og sammen med den anmeldelse indstiller de også til en bødestørrelse, som indtil videre har varieret lige fra 50.000 kr. op til 10 mio. kr. Det er herefter op til politiet at vurdere, om der er grundlag for sigtelse og endelig vil en evt. bødestraf blive afgjort ved en domstol.

Denne liste viser ikke de største bøder, men forskellige typer af overtrædelser og de tilhørende bøder.

/ Taxa 4×35: Taxa-ture var personhenførbare uden navn

Taxa-selskabet havde opbevaret oplysninger om ca. ni mio. ture i mere end to år. Selv om firmaet havde slettet navne på kunderne var det stadig muligt at henføre oplysningerne til fysiske personer. Datatilsynet indstillede til en bøde på 1,2 mio. kr.

/ IDdesign: Ingen sletningsfrist i ældre IT-system

Firmaet oplyste, at enkelte af kædens butikker benyttede et ældre system, hvor der blev opbevaret købsoplysninger og adresser på 385.000 kunder. Der var ikke fastsat en frist for, hvornår oplysningerne skulle slettes. Datatilsynet indstillede til en bøde på 1,5 mio. kr.

/ Gladsaxe / Hørsholm Kommuner: Manglende kryptering

Begge kommuner anmeldte selv brud på persondatasikkerheden, da computere tilhørende ansatte blev stjålet. Computerne var ikke krypterede og indeholdt personfølsomme oplysninger om hhv. 20.620 og 1.600 borgere. Datatilsynet indstillede til bøde på hhv. 100.000 kr. og 50.000 kr.

/ Vejle Kommune: Udlevering af adresser

Vejle Kommunes tandpleje havde en fast praksis med, at velkomstbreve indeholdt begge forældres adresser. I flere tilfælde have forældre modtaget oplysninger om den anden forældres (og barnets) adresse, uanset at denne havde navne- og adressebeskyttelse. Datatilsynet indstillede til en bøde på 200.000 kr.

/ Danske Bank: Ingen fastsatte regler for sletning

Danske Bank har af egen drift henvendt sig, da en intern undersøgelse viste, at banken i mere end 400 systemer ikke har kunnet dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger. Systemerne behandlede personoplysninger om flere millioner personer. Datatilsynet har anmeldt banken til politiet og indstillet banken til en bøde på 10 mio. kr.

DE GRUNDLÆGGENDE PRINCIPPER

Databeskyttelsesreglerne indeholder en række grundlæggende principper:

  1. Lovlighed, rimelighed og gennemsigtighed:
    Behandlingen skal overholde databeskyttelsesreglerne og være gennemsigtig
  2. Formålsbegrænsning:
    Ved indsamling skal det være klart, hvilke saglige formål oplysningerne skal anvendes til. Senere behandling må ikke være uforenelig med disse formål
  3. Dataminimering:
    Behandling, herunder opbevaring af oplysninger, skal begrænses til det, der er nødvendigt for at opfylde formålet
  4. Rigtighed:
    Oplysninger skal ajourføres, og urigtige oplysninger skal slettes eller berigtiges
  5. Opbevaringsbegrænsning:
    Når det ikke længere er nødvendigt at behandle oplysningerne, skal de anonymiseres eller slettes
  6. Integritet og fortrolighed:
    Oplysninger må ikke komme til uvedkommendes kendskab, gå tabt eller blive beskadiget.
    Kilde: (Kilde: Datatilsynet.dk)

HER FÅR DU GODE RÅD OM GDPR

Gratis telefonrådgivning
Datatilsynets telefonrådgivning har åbent hver dag kl. 10-12 og 13-15 (fredag dog kun kl. 10-13) på telefon 33 19 32 00

Podcast om GDPR
Datatilsynet har lavet 22 korte podcast-afsnit om GDPR-reglerne. Her kan du starte med de basale oplysninger og så håndplukke viden du har særlig brug for – f.eks. omkring cloud, TV-overvågning eller børn- og unge. https://www.datatilsynet.dk/hvad-siger-reglerne/podcast

 

Topillustration i denne artikel er skabt med AI-værktøjet Midjourney af Ernst Poulsen. Midjourney har arbejdet ud fra pressefotoet (tv) og prompt-teksten: ”Both governments and companies are tempted to use surveillance data and cameras. Legal expert Allan Frank fights a heroic battle every single day – trying to get business owners and managers to delete the data they don’t need. Background: Grand Cityscape of Copenhagen. Painting in the style of Monet”.

Avatar photo
Forfatteren Ernst Poulsen

Freelance-journalist. Skriver og fotograferer om IT / teknologi samt journalistik og digitale medier. Har en fortid som nyhedsredaktør i DR.dk chefredaktionen, webredaktør i Københavns Amt, jourhavende på jp.dk og IT-journalist på Politiken. Stikker gerne til skovs for at løbe orienteringsløb.
Mail: ernst@ernstpoulsen.com - Twitter: @ernstpoulsen

Flere artikler

Skriv en kommentar

This site uses Akismet to reduce spam. Learn how your comment data is processed.