Den 25. maj i år kan være startskuddet på en ny type hackerangreb i virksomheder. Ifølge advokat Jon Lauritzen, DELACOUR, er hackere klar til at bryde ind i virksomheder for at se, om de lever op til den ny forordning. Hvis de ikke gør det, vil de afpresse virksomhederne for et beløb, der er lidt mindre end de kæmpebøder, der er udsigt til, hvis de sladrer til myndighederne (op til 4 pct. af globalomsætningen).

Men ikke kun kriminelle kan tænkes at bryde ind i virksomheder. Det gælder også aktivister, som er klar til at afsløre, om virksomhederne har orden i sagerne. Herefter overlades det til forbrugere og myndighed at straffe virksomheder på omdømme og pengepung. Jon Lauritzen opfordrer virksomhederne til at have orden i tingene. Den gode nyhed er, at langt de fleste af reglerne om behandling af personoplysninger har været kendt i 17 år. Den dårlige nyhed er, at de fleste danske virksomheder ikke overholder dem.

Nye regler
Det nye i regelsættet er, at virksomhederne skal kunne dokumentere, hvordan de opbevarer og behandler personoplysninger. Og slette de oplysninger som der ikke mere er behov for. Dertil kommer en række mere formelle krav til politikker, oplysningspligter, krav om databehandleraftaler mv.

Kilde:

Indholdet ovenfor er uddrag af artikel i Børsen den 17. maj 2018.

Relevante kurser og netværk:

• Persondataforordningen – implementering af persondatasikkerhed
• Persondataforordningen – dokumentationskrav og regler
• Relateret netværk: Persondata – implementering af persondataforordningen

Økonomi & Personale Academy har haft mere end 1.000 deltagere på kursus i GDPR (persondataforordningen). Vi har spurgt et bredt udsnit af deltagerne, hvor de ser de største udfordringer i forhold til den ny forordning.

Der er tre udfordringer, som går igen:

• At få klarhed over hvilke opgaver virksomheden bør prioritere frem til den 25. maj 2018, hvor reglerne træder ikraft
• At få klarhed over de organisatoriske udfordringer, der ligger i at få ændret virksomhedens kultur omkring behandlingen af persondata
• Generelt at få nedbragt risikoen for fejlhåndtering af persondata

Vi har talt med vores persondataspecialist advokat Jon Lauritzen, DELACOUR, omkring ovenstående, som giver følgende svar.

Prioritering af opgaver frem til den 25. maj 2018:

Ingen virksomheder er ens. Det betyder, at virksomhederne, i forhold til persondata, først og fremmest bør afklare deres ”risiko”. Behandler virksomheden f.eks. følsomme persondata, er det vigtigt, at man er opmærksom på de skærpede behandlingsregler, der her gælder. Jeg vil dog driste mig til at fremhæve følgende liste over opgaver, som bør indgå i en ”prioriteret 25. maj 2018 liste” og som bl.a. baseres på datatilsynets forventede kontroller i virksomheder:

1. Få udpeget en ansvarlig for implementering af persondataforordningen
2. Få styr på virksomhedens databehandlere og få behandleraftalerne på plads. Der er foretaget store ændringer af reglerne og det er nødvendigt at opdatere alle databehandleraftaler inden 25. maj.
3. Få styr på hvor i organisationen/virksomheden, der behandles personoplysninger, således at de skærpede regler om oplysningspligt kan overholdes.
4. Få styr på den fysiske, organisatoriske og IT–mæssige sikkerhed og beskriv den
5. Få styr på det lovlige grundlag for at behandle personoplysninger. Virksomheden skal kunne redegøre for lovhjemlem for enhver behandling af personoplysninger
6. Få styr på behandlingsaktiviteterne af HR-oplysninger/personaleoplysninger og beskriv dem (og husk oplysningspligten også gælder for medarbejdere)
7. Få tilrettelagt en uddannelsesplan for efteruddannelse af virksomhedens medarbejdere, som er i berøring med persondata – fra receptionist til topledelsen

De organisatoriske udfordringer og kulturen omkring behandlingen af persondata:

I 50´erne og 60´erne, var det normal praksis, at giftstoffer blev hældt direkte i åer og vandløb. Vi kan i dag se, at det nok ikke var nogen god idé. På samme måde, tror jeg, den opvoksende generation, om få år, vil tænke omkring den måde om den måde, som vi i dag omgås persondata. Også med tanke på de skader, der allerede kan konstateres i forhold til brugen og misbrugen af persondata i ”facebook-gate”. Jeg har en tro på, at virksomhederne – store som små, private og offentlige – vil ændre adfærd i forhold til håndtering af persondata. Man skal tænke på, at personoplysninger, er noget som virksomheden har fået stillet til rådighed, og derfor også har en pligt til at værne om. Når der ikke længere, er et sagligt grundlag for at behandle disse data, skal de slettes eller leveres tilbage til den registrede. Det kan synes enkelt, men i praksis en opgave, som er svær at løfte. Enhver virksomhed kunne starte med at lære de ansatte de 6 grundprincipper, som forordningen bygger på (jf. artikel 5 om gennemsigtighed, dataminimering, lovgrundlag for behandling mv.). Der er tale om grundprincipper – som selvfølgelig ikke kan stå alene – men som giver en god fornemmelse af hvordan ansatte bør tænke i forhold til behandlingen af persondata.

Om at få nedbragt risikoen for fejlhåndtering af persondata:      

Uddannelse, uddannelse, uddannelse. Det handler om at forankre viden om behandling af persondata i virksomheden og ikke forledes til at tro, at opgaven alene kan klares af eksterne konsulenter. Konsulenter kan komme på banen i den proces, der skal igangsættes i arbejdet med at blive ”compliante”, men overholdelse af persondatareglerne skal indarbejdes i måden af drive virksomhed på.

Relaterede kurser:

• Persondataforordningen – dokumentationskrav og regler
• Persondataforordningen – implementering af persondatasikkerhed
• Persondata – i ansættelsesretten

Datatilsynet har udsendt ny vejledning om de registreredes rettigheder. Der er tale om et meget centralt emne i forhold til databeskyttelsesreglerne, som alle dataansvarlige bør sætte sig grundigt ind i.

Vejledningen er på ca. 60 sider og indeholder følgende punkter:

1. Processuelle krav mv. ved iagttagelse af de registreredes rettigheder
2. Den dataansvarliges oplysningspligter
3. Ret til indsigt, berigtigelse og sletning af egne oplysninger
4. Ret til begrænsning af behandling
5. Ret til dataportabilitet
6. Ret til indsigelse
7. Ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling

Processuelle krav

Det er vigtigt, at den dataansvarlige tilrettelægger sådanne procedurer, så virksomheden og de ansatte kan efterleve den registreredes rettigheder, herunder opfylde sine oplysningspligter om den registrerede, give indsigt i egne oplysninger mv.

For den dataansvarlige – organisationen – gælder det derfor om:

1. at uddanne en række nøglemedarbejdere i reglerne og sikre at kendskabet til reglerne bliver vedligeholdt løbende
2. at få udpeget de personer/afdelinger i virksomheden, som skal sikre at de registreredes rettigheder bliver efterlevet
3. at man får udarbejdet skabeloner eller lignende, som kan bruges, når man f.eks. skal efterleve den registreredes krav om indsigt i egne oplysninger

Oplysningspligter

For dataansvarlige gælder der en oplysningspligt, når man indsamler eller modtager personoplysninger. Oplysningspligten er en aktiv pligt, dvs. at den dataansvarlige på eget initiativ skal give den registrerede en række oplysninger. Oplysningspligten bør være skriftlig (herunder elektronisk), så man som dataansvarlig er sikret dokumentation for de afgivne oplysninger. Det er ikke tilstrækkeligt at have oplysningerne om, hvordan personoplysninger bliver behandlet liggende ”passivt” på hjemmesiden. Modtager man som dataansvarlig f.eks. personoplysninger elektronisk via tilmeldingsformularer til nyhedsmail, arrangementer, køb af varer mv., vil det være i overensstemmelse med oplysningskravet, at den registrerede modtager de nødvendige behandlingsoplysninger ved hjælp af standardtekst i pop-up meddelelser, som f.eks. aktiveres når tilmeldingsformularen er udfyldt.

De nødvendige behandlingsoplysninger

Den dataansvarlige har pligt til, inden for et tidsrum på 10 dage, at have afgivet de ”nødvendige behandlingsoplysninger”.

Er personoplysningerne indsamlet fra den registrerede selv, har den dataansvarlige pligt til at afgive følgende oplysninger til den registrerede:

• Din virksomheds identitet og kontaktoplysninger, f.eks. hvem virksomheden har udpeget som databeskyttelsesrådgiver (DBO´er)
• Formålet med behandling af personoplysninger – f.eks. at modtagne personoplysninger i forbindelse med et ”gå-hjem-møde” skal bruges til at udstede et kursusbevis og deltagerlister
• Kategorien af personoplysninger – dvs. om der er tale om almindelige oplysninger, følsomme personoplysninger eller oplysninger om strafbare forhold
• Retsgrundlaget for behandlingen – f.eks. ved brug af ”interesseafvejningsreglen”, et samtykke eller anden lovgivning, herunder databeskyttelsesforordningens behandlingsbestemmelser
• Tidsrummet for opbevaring af oplysninger – hvis tidsrummet er afhængig af en begivenhed, anføres dette
• Hvor personoplysningerne stammer fra, hvis disse ikke er indsamlet hos den registrerede
• Om den registreredes ret til at blive slettet, begrænset eller berigtiget
• Klagemuligheden – om retten til at kunne klage til datatilsynet

Du kan læse mere om vejledningen på Datatilsynets hjemmeside.

Relaterede kurser og netværk:

• Persondata – kend reglerne
• Persondata – dokumentation, aftaler mv.
• Relateret netværk: Persondata