GDPR NYT FRA FOCUS ADVOKATER, JAN. 2021

GDPR NYT

Velkommen til GDPR NYT – Focus Advokaters nyhedsbrev, der sørger for, at du får de væsentligste nyheder på databeskyttelsesområdet direkte i din indbakke. Vi starter i denne udgave med en kort status på Brexit og på Datatilsynets fokusområder for 2021. Derefter dykker vi i to artikler ned i sikkerhed – ikke kun når det gælder behandling af personoplysninger, men også generel IT-sikkerhed i organisationen. Og i tredje artikel ser vi på, hvad der kræves, når man behandler personoplysninger om hjemmesidebesøgende.

Vi starter som nævnt med en status på Brexit. Den tidligere overgangsperiode, som betød at Storbritannien skulle anses for et EU-land, udløb den 31. december 2020. Storbritannien og EU blev den 24. december enige om en udtrædelsesaftale, hvilket bl.a. betyder, at Storbritannien per definition er et tredjeland pr. 1. januar 2021 for så vidt angår overførsel af personoplysninger hertil. Man har dog i aftalen valg at forlænge overgangsperioden, hvilket betyder at Storbritannien fortsat kan betragtes som et EU-land frem til den 30. juni 2021 for så vidt angår overførsel af personoplysninger fra EU til Storbritannien. Hvis ikke Storbritannien inden da bliver godkendt som et sikkert tredjeland, skal du som dataansvarlig eller databehandler have etableret et alternativt overførselsgrundlag (GDPR kap. V). Vi holder dig selvfølgelig løbende underrettet her i GDPR NYT om, hvordan du skal forholde dig, så du kan være sikker på, at dine overførsler er lovlige.

En anden nyhed, der er værd at bemærke her i starten af 2021 – og som vi savnede lidt i 2020 – er offentliggørelsen af Datatilsynets særlige fokusområder det næste års tid. Den giver os nemlig lidt inspiration til, hvor vi som dataansvarlige selv kan sætte ind, når vi planlægger de lovpligtige interne kontroller for året som led i den løbende compliance. På listen over tilsynets fokusområder står bl.a.
  • TV-overvågning
  • Myndighedernes videregivelse af personnumre til borgere
  • Behandling af personoplysninger om hjemmesidebesøgende (cookies)
  • Persondatasikkerhed, inkl. brud på persondatasikkerheden
  • Kontrol med databehandlere
  • Overførsel af personoplysninger til tredjelande
Nedenfor finder du artikler om hhv. behandling af personoplysninger om hjemmesidebesøgende og persondatasikkerhed. Læs også vores tidligere artikler om tredjelandsoverførsler, kontrol med databehandlere og brud på persondatasikkerheden.
 

Tak for sidst!
Endelig vil vi gerne benytte lejligheden til at sige tak for sidst til alle jer, der deltog i Focus Advokaters webinar Ansvarlighedsprincippet: GDPR i den daglige drift den 15. december. Over 100 personer så med, og tilbagemeldingerne har været meget positive, så det er bestemt ikke sidste gang, at vores TechTeam laver et virtuelt deep dive.

Mange af jer så med og har efterfølgende modtaget vores GDPR-vejledninger. Havde du ikke mulighed for at deltage på webinaret, eller fik du ikke lige bedt om at få vejledningerne tilsendt, er du stadig meget velkommen til at skrive til hm@focus-advokater.dk. Vi stiller gratis følgende vejledninger til rådighed:
  • GDPR - Kort & Godt; en kort guide til kolleger, der har brug for en letlæselig introduktion til GDPR
     
  • Vejledning til den GDPR-ansvarlige; den dybdegående til når I har de grundlæggende krav på plads
     
  • Vejledning til HR-afdelingen; GDPR-compliance ift. rekruttering og personaleadministration
     
  • Vejledning til IT-afdelingen; IT-sikkerhed, databrud, databehandlere, sletning mv.
     
  • To siders overblik til ledelsen; Derfor skal GDPR prioriteres, også fra et kommercielt perspektiv!

Artikler

 

Sikkerhed er (meget) mere end GDPR

Det er ikke kun GDPR, der stiller krav til sikkerheden; beskyttelse af kritisk infrastruktur og cybersikkerhed har længe været påkrævet for visse sektorer og vil i fremtiden komme til at fylde mere pga. den teknologiske udvikling og det øgede trusselsbillede. Der kan derfor være flere gode grunde til at have styr på sikkerheden. Hvordan du sikrer din virksomhed et tilstrækkeligt niveau af sikkerhed, kommer vi nærmere her.

Behandling af personoplysninger via hjemmesiden

Har din virksomhed en hjemmeside, så behandler I højst sandsynligt også oplysninger om de personer, som besøger den. Det kan være via cookies, kontaktformularer, en webshop eller jobsøgningsmodul mv. Vi gennemgår her de krav, der stilles til behandling af personoplysninger fra hjemmesiden.

Data Protection by Design - bliver det et af de hotteste emner i 2021?

Hos Focus Advokater tror vi, Data Protection by Design for alvor slår igennem i 2021. Læs her hvorfor, og hvordan du sikrer din virksomhed i praksis.

Kort nyt

Nationalt
 

  • Virksomheder mangler basale kontroller i forbindelse med behandling af personoplysninger
    Datatilsynet har udtalt enten kritik eller alvorlig kritik i tre sager om brud på persondatasikkerheden, hvor der, grundet manglende basale kontroller, enten var blevet videregivet oplysninger eller givet adgang til oplysninger. Det generelle problem var, at der i forbindelse med opdatering af IT-systemer ikke blev foretaget helt basale og simple kontroller, hvilket resulterede i at en række forskellige fejl ikke blev opdaget. Hertil havde man heller ikke kørt nødvendige test af IT-systemer, som også ville have opfanget generelle fejl. Derudover blev der udtalt kritik af, at der til trods for udførte tests ikke var anvendt et testmiljø, hvor disse blev gemt, hvilket gjorde, at virksomheden ikke kunne dokumentere, at der var udført kontroller og test.
     
  • Behandling af testdata manglede tilstrækkelig risikovurdering
    Datatilsynet har udtalt kritik af SDC A/S efter et skriftligt tilsyn, hvor Datatilsynet bl.a. så på, om selskabet havde foretaget den fornødne vurdering af risikoen for de registreredes rettigheder i forbindelse med brugen af personoplysninger som testdata. En risikovurdering skal som minimum omfatte en stillingtagen til, hvilke relevante trusler der er, samt for hver trussel en vurdering af sandsynligheden for, at den enkelte trussel er reel og de mulige konsekvenser for de involverede personer.
     
  • Klar opfordring fra Datatilsynet: Undgå ukrypteret forbindelse
    Datatilsynet skriver i en pressemeddelelse, at dataansvarlige ikke bør opfordre borgere til at sende fortrolige eller følsomme oplysninger ukrypteret, hvilket indebærer at den dataansvarlige om nødvendigt skal stille sikre kommunikationsløsninger til rådighed. Det er således vigtigt for både virksomheder og offentlige myndigheder, at de har løsninger, der muliggør kryptering, når der er behov for at udveksle følsomme eller fortrolige personoplysninger elektronisk.
     
  • For let at opnå uautoriseret adgang til personoplysninger hos ZOO
    Datatilsynet udtaler alvorlig kritik af behandlingssikkerheden i Københavns ZOO’s IT-løsning, der håndterer medlemslogin. Sagen startede som en anmeldelse af et sikkerhedsbrud, idet en softwareingeniør havde opdaget, at det var alt for nemt at få uautoriseret adgang til personoplysninger i systemet. Login krævede alene angivelse af to numeriske værdier uden begrænsning i antal loginforsøg, hvilket ifølge tilsynet ikke udgjorde passende sikkerhed. Der burde som minimum have været en begrænsning på loginforsøg med samme brugernavn eller fra samme IP-adresse. Datatilsynet bemærker desuden, at der burde have været en procedure for regelmæssig vurdering af effektiviteten af de iværksatte sikkerhedsforanstaltninger. Kritikken går også på ZOO’s håndtering af sikkerhedsbrudsbruddet, herunder håndtering af underretning af de registrerede.
     
  • Hvilke sikkerhedsbrud kræver anmeldelse til Datatilsynet?
    Datatilsynet har afsluttet 15 planlagte tilsyn hos både offentlige myndigheder og private virksomheder med særlig vægt på den dataansvarliges evne til gøre medarbejdere bekendte med, hvordan sikkerhedsbrud skal opfanges og indberettes internt, ligesom de dataansvarliges dokumentation blev gennemgået. Der er udtalt kritik i to tilfælde, hvor de dataansvarlige ikke havde formået at foretage en korrekt vurdering af, om der i forbindelse med bruddet indgik behandling af personoplysninger. Dette resulterede i, at bruddene alene blev klassificeret som sikkerhedshændelser og ikke anmeldelsespligtige brud på persondatasikkerheden.
     
  • Ny vejledning fra Datatilsynet om optagelse af telefonsamtaler
    Optagelse af samtaler med henblik på dokumentation kræver en vurdering af, om den dataansvarliges interesse i optagelsen overstiger den registreredes interesse i, at telefonsamtalen ikke optages, medmindre man indhenter den registreredes samtykke. I denne vurdering indgår bl.a., om der i samtalen forventes at indgå følsomme og/eller fortrolige oplysninger, da der i så fald kræves behandlingsgrundlag i art. 9 også. Det er fortsat Datatilsynets vurdering, at optagelse af telefonsamtaler i uddannelsesøjemed som udgangspunkt kræver samtykke fra den registrerede.
     
  • Mangler ved samtykkeløsning på hjemmeside
    Datatilsynet har udtalt alvorlig kritik af GDU Erhverv A/S for ikke at indhente et gyldigt samtykke i forbindelse med deres behandling af personoplysninger om de besøgende på hjemmeside. Det var ikke muligt at undlade at give samtykke. Samtykket var således ikke lovligt (dvs. frivilligt, specifikt, informeret og utvetydig), idet det ikke var muligt at undlade at give samtykke, ligesom der ikke var mulighed for til- eller fravalg af forskellige behandlingsformål. Tilsynet bemærkede desuden, at der ikke forelå en aktiv handling fra den registrerede, og at den besøgendes fortsatte anvendelse ikke udgør et samtykke.
     
  • Databeskyttelse vægtes højt
    Datatilsynet har afsluttet en række spørgeskemaundersøgelser med henblik på at belyse, hvor langt dataansvarlige var kommet ift. databeskyttelse på en række sikkerhedsområder. Undersøgelsen har fundet sted hos syv offentlige myndigheder og syv private virksomheder. På baggrund heraf vurderer Datatilsynet, at der generelt bliver lagt stor vægt på databeskyttelse og glæder sig samtidig over håndteringen af backup. Det konstateres dog samtidig, at der med fordel kunne gøres mere for at etablere beredskab samt planer herfor.

Internationalt
 

  • Bøde på 35,3 mio. EUR til H&M
    H&M’s servicecenter i Tyskland har fået en bøde på over EUR 35 mio. for at have overvåget flere hundrede af deres medarbejdere gennem omfattende registrering af detaljer om deres privatliv, herunder følsomme oplysninger om helbred og religion samt oplysninger om familieforhold. Registreringen resulterede i omkring 60 GB data om medarbejderne. Det blev desuden konstateret, at oplysningerne blev opbevaret for længe og tilgængelige for en række medarbejdere, som ikke havde brug for oplysninger. Bødeniveauet er blandt andet fastsat for at afskrække andre virksomheder fra på samme måde at krænke medarbejderes privatliv.
     
  • Bøde på EUR 12 mio. for aggressiv praksis inden for telemarketing
    Italienske Vodafone idømmes bøde på over EUR 12 mio. for ulovlig behandling af millioner af brugeres personoplysninger til telemarketingformål. Virksomhedens praksis stred imod helt grundlæggende principper om lovlighed og ansvarlighed i GDPR, bl.a. ved brug af falske/uregistrerede nummer til at foretage telemarketingsopkald. Der manglede ligeledes samtykke fra brugerne og sikkerhedsforanstaltninger fandtes utilstrækkelige.
     
  • Bøde på EUR 1,4 mio. til Ticketmaster UK
    Ticketmaster UK pålægges en bøde på over EUR 1,4 mio. for manglende sikkerhedsforanstaltninger og derved manglende beskyttelse af sine kunders personoplysninger. Det sker efter, at 9,4 mio. europæiske kunder kan have været påvirket af et cyberangreb som følge af brugen af en usikker chatbot hostet af en tredjepart, der muliggjorde, at hackere fik adgang til kunders økonomiske informationer.
     
  • Utilstrækkeligt sikkerhedsniveau i svensk skoleplatform
    Der er udstedt en bøde på SEK 4 mio. efter en gennemgang af et IT-system til elevadministration af skoler i Stockholm, der synliggjorde et utilstrækkeligt sikkerhedsniveau. Der var bl.a. ikke mulighed for at begrænse brugernes adgang til data, hvilket resulterede i, at store dele af personalet havde fået adgang til oplysninger om studerende med beskyttet identitet.
     
  • Bøde til norsk hospital for lagring af patientjournaler uden tilstrækkelig sikkerhed
    Den norske databeskyttelsesmyndighed har pålagt et hospital en bøde på NOK 750.000 for at have opbevaret og lagret uddrag af patientjournaler uden tilstrækkelig sikkerhed. De mapper, hvor uddragene blev gemt, blev ikke kontrolleret med adgang, og aktiviteter blev ikke logget. Desuden blev lister med følsomme oplysninger om patienter opbevaret længe efter, at det var nødvendigt.
     
  • Op til SEK 30 mio. i bøder for manglende sikkerhedsforanstaltninger
    Det svenske datatilsyn har ført tilsyn med otte sundhedsudbydere for at se, hvordan de kontrollerer og begrænser adgangen til systemer med elektroniske sundhedsjournaler. Der blev imidlertid konstateret mangler i syv af de otte sager, hvilket har ført til bøder på mellem SEK 2,5 og 30 mio. Der var i disse tilfælde enten ikke foretaget en risikovurdering, eller den eksisterende risikovurdering var mangelfuld.
     
  • EUR 10,4 mio. i bøde for overvågning på tysk arbejdsplads
    En elektronikforhandler i Tyskland er blevet pålagt en bøde på EUR 10,4 mio. efter at have overvåget sine medarbejdere i mindst to år uden at have det fornødne juridiske grundlag herfor. Overvågningen fandt bl.a. sted på medarbejdernes respektive arbejdspladser samt virksomhedens salgsområder, lagre mv., hvor både medarbejder og kunder opholdte sig. Virksomhedens begrundelse var at forhindre og efterforske kriminalitet, men en sådan overvågning må alene ske, såfremt der foreligger en rimelig mistanke mod bestemte personer, hvilket altså ikke var tilfældet.
     
  • Spanien: Bank gjorde brug af ulovlige samtykker
    En spansk bank er blevet pålagt en bøde på EUR 6 mio. for ikke at opfylde oplysningspligten. Bankens kunder skulle acceptere nye fortrolighedspolitikker, der gjorde det muligt for den dataansvarlige at videregive deres personoplysninger til alle virksomheder inden for koncernen. De registrerede fik dog ikke mulighed for at afstå fra at give samtykke til videregivelsen. Det spanske datatilsyn bemærker, at banken ikke levede op til oplysningspligten, og at samtykket fra kunderne ikke opfyldte kravene hertil.

Er der noget, vi kan hjælpe med?

Vi står altid klar til at yde kvalificeret rådgivning.
Kontakt vores GDPR-team

Besøg vores hjemmeside Besøg vores hjemmeside
Send os en mail Send os en mail
+45 63 14 20 20 +45 63 14 20 20
FOCUS ADVOKATER P/S ∙ CVR-nr. 34045666

ODENSE ∙ KOLDING ∙ SVENDBORG ∙ KØBENHAVN ∙ HAMBORG


Du er tilmeldt vores nyhedsbrev på <<Email Address>>,
du kan opdatere dine oplysninger her eller afmelde her.