Et år med GDPR

Det er nu ét år siden, databeskyttelsesforordningen – også kendt som GDPR – trådte i kraft. Hortens eksperter i persondata giver her et overblik over de vigtigste compliance-indsatser for organisationer, de væsentligste afgørelser efter de nye regler, bødeniveauer og nye tiltag fra Datatilsynet og Det Europæiske Databeskyttelsesråd.


Fokusområder til løbende compliance

Mange havde gjort en stor indsats for at blive klar til den 25. maj 2018. For at sikre løbende compliance med GDPR-reglerne efter 25. maj 2018 bør følgende områder have fokus:

  • Løbende opdatering af GDPR-dokumentationen: Kontroller løbende, om der sker ændringer i din organisation, som nødvendiggør opdatering af GDPR-dokumentation, for at den er dækkende og fyldestgørende.
  • Passende sikkerhedsniveau – fokus på risikoanalyser, konsekvensanalyser, privacy by design og sikkerhedsforanstaltninger: Udarbejd og opdater risikoanalyser, som danner grundlag for jeres fastsættelse af passende tekniske og organisatoriske sikkerhedsforanstaltninger. Husk også at vurdere, om I er underlagt de nye krav om konsekvensanalyse, og udarbejd i givet fald en sådan/sådanne, ligesom kravet til privacy by design skal følges ved behandling af personoplysninger.
  • Awareness og egen kontrol: Skab awareness hos alle i jeres organisation om GDPR-reglerne og interne retningslinjer herom, og sørg for at have et årshjul, der sikrer, at I får udført egen kontrol af overholdelse af reglerne – og dokumentér dette.
  • Kontrol af databehandleraftaler: Hvis I anvender databehandlere – hvilket stort set alle organisationer gør – skal I sørge for at kontrollere, at databehandlerne overholder de indgåede databehandleraftaler. Hvis I ikke allerede har fastlagt og aftalt, hvordan denne kontrol skal ske, så beslut på hvilken måde I vil udføre kontrollen.
  • Hold dig opdateret om ny praksis og vejledninger: Da retstilstanden fortsat mangler at blive fastlagt på visse områder, bør I følge med i udviklingen af praksis fra Datatilsynet og europæiske databeskyttelsesmyndigheder. Se også de typesituationer, hvor der sker sikkerhedsbrud, og vurdér hvordan I forebygger sådanne i jeres organisation.


Praksis fra Datatilsynet


Taxaselskab indstillet til GDPR-bøde på 1,2 mio. kr.

Datatilsynet har politianmeldt Taxa 4×35 for manglende overholdelse af reglerne i databeskyttelsesforordningen og har samtidig indstillet selskabet til en bøde på 1,2 mio. kr.

Taxa 4×35 er det første selskab, som Datatilsynet har politianmeldt for brud på forordningen. Datatilsynet var i oktober 2018 på tilsynsbesøg hos virksomheden og kunne i den forbindelse konstatere, at Taxa 4×35 på flere punkter ikke overholdt reglerne i forordningen. Læs mere her.


Datatilsynet meddeler forbud til TDC

Datatilsynet har meddelt TDC et midlertidigt forbud. En person havde til Datatilsynet klaget over YouSee/TDC’s optagelse af en telefonsamtale, som klageren havde med en af TDC’s kundekonsulenter, uden at klager havde givet samtykke til optagelsen.

TDC optog samtalerne med henblik på uddannelse, men Datatilsynet understregede, at der ikke fandtes nogen konkrete omstændigheder, som kunne begrunde en fravigelse af tilsynets praksis om, at optagelse og lagring af telefonsamtaler til uddannelsesmæssige formål som udgangspunkt kræver samtykke fra dem, der bliver registret oplysninger om, hvorfor TDC fandtes at have behandlet personoplysninger i strid med artikel 6, stk. 1. Læs afgørelsen fra Datatilsynet her.


Datatilsynet uddeler alvorlig kritik og påbud til Rejsekort A/S

Datatilsynet har udtalt alvorlig kritik af, at Rejsekort A/S ikke har foretaget berigtigelse af oplysninger om en klagers rejselokationer, og alvorlig kritik af, at rejsekortsystemet ikke kan foretage berigtigelse af urigtige lokalitetsoplysninger i overensstemmelse med artikel 16.

Rejsekort A/S fandtes desuden ikke at lette udøvelse af de registreredes rettigheder, jf. artikel 12, og i tilstrækkelig grad at opfylde de grundlæggende principper om gennemsigtighed, dataminimering og rigtighed i artikel 5.

Datatilsynet har udstedt et påbud til Rejsekort A/S om, at Rejsekort A/S inden 15. juli 2019 skal komme med en beskrivelse af, hvordan de vil bringe behandlingen af lokalitetsoplysninger i overensstemmelse med forordningen. Læs afgørelsen fra Datatilsynet her.


Datatilsynet har meddelt alvorlig kritik

Herudover har Datatilsynet meddelt alvorlig kritik i en række sager. Bl.a. har Datatilsynet udtalt alvorlig kritik af, at Wash World ikke har behandlet en registrerets anmodning om indsigt i tv-overvågningsoptagelser i overensstemmelse med forordningen, idet anmodningen blev afvist med den begrundelse, at der var andre personer med i optagelserne. Det er Datatilsynets opfattelse, at dataansvarlige ikke kan afvise en anmodning om indsigt i tv-overvågning pga. optagelse af andre personer, men den dataansvarlige skal sløre eller beskære optagelsen. Læs afgørelsen fra Datatilsynet her.

Fredericia Gymnasium har også fået alvorlig kritik, efter gymnasiet brugte programmet Examcookie til at overvåge elevernes computeraktivitet under eksamen for at sikre, at der ikke blev snydt. Datatilsynet fandt, at gymnasiet ikke i tilstrækkelig grad havde redegjort for, at behandlingen var tilstrækkelig, relevant og indsamlingen begrænset til det nødvendige. Desuden havde gymnasiet ikke iagttaget oplysningspligten, og tilsynet fandt herefter, at Fredericia Gymnasium ikke havde overholdt forordningens artikel 5, stk. 1, litra c om dataminimering og artikel 13. Læs afgørelsen fra Datatilsynet her.


Bødepraksis fra øvrige tilsynsmyndigheder

CNIL giver GDPR-bøde til Google på EUR 50 mio.

Det franske datatilsyn har i januar 2019 givet den hidtil største bøde efter forordningen til Google, for ikke at opfylde forordningens krav om gyldigt samtykke (samtykket var hverken informeret, utvetydigt eller tilstrækkelig specifikt), gennemsigtighed og information i forbindelse med målrettet markedsføring over for brugere, som oprettede en Google-konto. Google har klaget over afgørelsen, som nu skal behandles ved de franske domstole. Læs afgørelsen fra CNIL her.


Det norske datatilsyn varsler en bøde på NOK 2 mio. til Oslo Kommune

Det norske datatilsyn har varslet en bøde på 2 millioner norske kroner til Oslo Kommune vedrørende en app, Skolemelding, som er udviklet til brug i Osloskolen. Det har været muligt for uvedkommende at logge sig ind på systemet som autoriserede brugere og dermed få adgang til personoplysninger om elever (cirka 63.000), ansatte og andre personer tilknyttet Osloskolen. Det var desuden muligt for forældre og andre, der skulle kommunikere gennem appen, at formidle følsomme oplysninger via et fritekstfelt. Tilsynet udtalte, at afkrydsningsfelter eller drop down-menuer ville være bedre til at tage hensyn til kravet om privacy by design. Tilsynet lagde også vægt på, at der ikke inden app’ens lancering blev foretaget tilstrækkelige tests.


Polens tilsynsmyndighed: GDPR-bøde på EUR 220.000

Den polske tilsynsmyndighed har givet en bøde på ca. 220.000 euro til virksomheden Bisnode. Virksomheden indhentede oplysninger gennem offentlige registre og behandlede oplysningerne med et kommercielt sigte og informerede kun de personer, som de havde e-mailadresserne på, og forklarede den manglende information til de resterende ca. 6 millioner registrerede personer med de store omkostninger, som det ville kræve. Tilsynsmyndigheden fandt, at GDPR artikel 14 var overtrådt.


Litauens tilsynsmyndighed: Virksomhed får GDPR-bøde på EUR 61.500

Den litauiske tilsynsmyndighed har givet virksomheden MisterTango UAB en bøde på 61.500 euro for et GDPR-brud, som indebar overtrædelse af reglerne i artikel 5, 32 og 33. Tilsynet fandt, at virksomheden indsamlede flere oplysninger end nødvendigt, idet der blev indsamlet mere detaljerede bankoplysninger end nødvendigt, og bl.a. mere end 9.000 skærmbilleder af kunders bankoplysninger blev uberettiget offentliggjort i flere dage, ligesom virksomheden ikke overholdt 72-timers reglen om anmeldelse af sikkerhedsbrud. Det blev også fundet, at virksomheden ikke havde tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger, herunder kryptering.


Maltas tilsynsmyndighed: Bøde på EUR 5.000 til Lands Authority

Maltas datatilsyn blev informeret om et sikkerhedsbrud 13. november 2018 og indledte herefter en undersøgelse af Lands Authoritys sikkerhedsforanstaltninger. Myndigheden gav 18. februar 2019 Lands Authority en bøde på 5.000 euro for overtrædelse af forordningens artikel 32, da Lands Authoritys online platform ikke havde tilstrækkelige tekniske og organisatoriske foranstaltninger. Bøden blev fastlagt under hensyntagen til Lands Authoritys samarbejde i forbindelse med sagen.


Den hollandske tilsynsmyndighed: Retningslinjer for bødeniveauet

Tilsynsmyndigheden i Holland har udgivet sine retningslinjer for bødeniveau efter forordningen. Retningslinjerne indeholder flere forskellige systemer med mellem tre og fire kategorier samt bilag med forordningens artikler og dertil hørende “bødekategori”.

Retningslinjerne indeholder ikke svar på, præcis hvordan man kategoriserer et brud, men retningslinjerne indeholder en liste med faktorer, som er relevante, når alvoren af et brud skal vurderes.


Andre nyheder fra Datatilsynet og det Europæiske Databeskyttelsesråd

Vejledende principper om dataansvar for konsulenter og vikarer

Datatilsynet har udarbejdet en vejledning, hvoraf fremgår, at vikarer (når de agerer på linje med andre medarbejdere) ofte ikke vil blive anset som selvstændige dataansvarlige eller databehandlere, men som en del af den dataansvarliges juridiske enhed, hvorimod eksterne konsulenter omvendt ofte vil blive anset som selvstændige dataansvarlige eller databehandlere. Læs de vejledende principper her.


Ny tekst fra Datatilsynet ser nærmere på kravene til sletning

Datatilsynet har opdateret sin tekst vedrørende sletning, hvor der blandt andet er tilføjet en række konkrete råd om sletning. Datatilsynet anbefaler navnlig disse seks tiltag:

  • Tag stilling til slettefrister for de forskellige personoplysninger, der behandles med baggrund i behandlingens formål.
  • Dokumentér de fastsatte slettefrister.
  • Vær opmærksom på lovmæssige krav, som kan påvirke slettefristerne.
  • Fastlæg og dokumentér en procedure for sletning.
  • Fastlæg og dokumentér en procedure for opfølgning på, at sletning forløber som forventet.
  • Tænk sletning ind i behandlingen, så behandlingen indrettes således, at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde i forhold til systemet, der anvendes. Læs Datatilsynets tekst om sletning her.

 

Datatilsynets endelige liste over situationer, hvor der altid skal udarbejdes en konsekvensanalyse

Datatilsynet har udgivet sin endelige liste over de typer af behandlingsaktiviteter, der er underlagt kravet om konsekvensanalyse. Listen skal læses i sammenhæng med Artikel 29-gruppens retningslinjer WP248. Se den endelige liste fra Datatilsynet her.


Samspillet mellem databeskyttelsesforordningen og ePrivacy-direktivet

Datatilsynet har i en nyhed orienteret om, at tilsynet sammen med de øvrige europæiske tilsynsmyndigheder er i gang med at afklare samspillet mellem databeskyttelsesforordningen og ePrivacy-direktivet og forventer, at der vil komme nærmere afklaring på området i første halvdel af 2019.

I den sammenhæng offentliggjorde Det Europæiske Databeskyttelses Råd efter det ottende plenarmøde en udtalelse om samspillet mellem forordningen og direktivet. Udtalelsen har til formål at skabe klarhed over de situationer, hvor forordningen og direktivet overlapper. EDPB gør det klart, at i tilfælde hvor ePrivacy-direktivet har en særlig regel, da er det direktivet, der gælder, idet direktivet har karakter af “lex specialis”. Læs Databeskyttelsesrådets udtalelse her.