GDPR NYT
|
|
Velkommen til GDPR NYT – Focus Advokaters nyhedsbrev, der sørger for, at du får de væsentligste nyheder på databeskyttelsesområdet direkte i din indbakke
|
|
Der er sket meget på databeskyttelsesområdet de seneste tre måneder siden vores sidste nyhedsbrev. Datatilsynet har bl.a. offentliggjort endnu en bødesag. Denne gang er det møbelvirksomheden IDdesign, som står bag ILVA og IDEmøbler, der er blevet politianmeldt efter tilsynsbesøg fra Datatilsynet og indstillet til en bøde på kr. 1,5 mio. Ligesom med Taxa-sagen, som vi omtalte i nyhedsbrevet fra juni måned, var udfordringen også her sletning.
Det forhold, selskabet blev politianmeldt for, vedrørte manglende sletning i et gammelt IT-system af ca. 385.000 kunders oplysninger om navn, adresse, telefonnummer, mail og købshistorik. Derudover fik IDdesign udtalt alvorlig kritik for tre forhold;
1) manglende fastlæggelse og dokumentation af slettefrister i det gamle IT-system,
2) manglende overholdelse af fastlagte slettefrister i nyt IT-system og
3) ikke tilstrækkelig dokumentation af procedure for sletning og opfølgning.
Også denne bødesag understreger vigtigheden af at få fastlagt konkrete slettefrister og –procedurer for alle de personoplysninger, virksomheden behandler i alle IT-systemer. Derudover er det helt afgørende for efterlevelse af principperne i forordningen, at disse frister og procedurer dokumenteres tilstrækkeligt, herunder opfølgning på at de overholdes, således at det i overensstemmelse med ansvarlighedsprincippet kan påvises over for Datatilsynet under et eventuelt tilsyn.
Læs hele Datatilsynets afgørelse her. Genlæs vores artikel om Taxa-sagen og forpligtelserne ift. sletning her.
Nedenfor har vi taget relevante emner op i tre korte og overskuelige artikler; Risikovurderinger i praksis, databehandleraftaler og kontrol med databehandlere og underdatabehandlere på baggrund af Datatilsynets afgørelser, hvor to kommuner fik udtalt alvorlig kritik for netop dette, og endelig tredjelandsoverførsler, og hvad man skal være særligt opmærksom på i den forbindelse.
Derudover har vi som altid oplistet kort nyt, så du hurtigt kan danne dig et overblik over seneste nyt på GDPR-området.
|
|
Artikler
|
|
Risikovurderinger
Som dataansvarlig/databehandler har du pligt til at sikre et passende sikkerhedsniveau af de personoplysninger, du behandler. Men hvor ofte og hvordan skal der foretages risikovurdering? Det og meget mere kan du blive klogere på her.
|
|
Er dine databehandleraftaler gyldige?
Datatilsynet har for nylig afsluttet deres sager vedrørende to danske kommuners brug af databehandleraftaler. Begge kommuner fik hårde ord med sig – men dog ingen bøde - for ikke at have levet op til kravene om at indgå databehandleraftaler med deres databehandlere og for ikke at føre tilsyn med, om deres databehandlere og underdatabehandlere levede op til kravene i aftalerne og databeskyttelseslovgivningen. Læs mere her.
|
|
|
Overførsel af personoplysninger til tredjelande
Datatilsynet offentliggjorde i juni måned en opdateret version af deres eksisterende vejledning om overførsel af personoplysninger til tredjelande. I denne artikel ser vi lidt nærmere på de overordnede krav til sådanne overførsler. Læs mere her.
|
|
|
Kort nyt
|
|
Nationalt
- Datatilsynet ændrer praksis ift. offentliggørelse af billeder på internettet
Der skal ifølge Datatilsynet ikke længere sondres mellem situations- og portrætbilleder. Hvorvidt offentliggørelse af et billede kræver samtykke fra den pågældende, skal nu afgøres på baggrund af en helhedsvurdering af billedet og formålet med offentliggørelsen: ”Det påhviler således den dataansvarlige – som ved enhver behandling af personoplysninger – at vurdere, på hvilket behandlingsgrundlag et billede af en identificerbar person kan offentliggøres”.
- Ny podcastserie fra Datatilsynet
Datatilsynet udgiver løbende nye afsnit en i podcast om GDPR og databeskyttelse. Podcasten henvender sig til dig, der gerne vil blive klogere på, hvordan du lever op til reglerne, og der tages forskellige emner op, som er relevante for små og mellemstore virksomheder.
- KU var dataansvarlig for praktikants behandling af personoplysninger
Datatilsynet har i en nylig afgørelse taget stilling til, hvem der anses som dataansvarlig for en praktikants behandling af personoplysninger. En medicinstuderende på Københavns Universitet optog konsultationer i forbindelse med, at han var i praktik hos et lægehus. Kameraet med inkl. optagelserne blev stjålet, og der skete dermed et sikkerhedsbrud. Datatilsynet udtalte i den forbindelse, at Københavns Universitet havde fastsat ordningen og reglerne for praktikforløbet, og at de dermed afgjorde til hvilke formål og med hvilke hjælpemidler, praktikanten behandlede personoplysninger. KU var dermed dataansvarlige og havde forbrudt sig mod bestemmelser i forordningens art. 32-34 ved bl.a. ikke at anmelde bruddet eller underrette de registrerede.
- Nye afgørelser om databehandleraftaler og kontrol med underdatabehandlere
Datatilsynet har udtalt alvorlig kritik af Viborg og Randers Kommune for ikke at have efterlevet kravene til brugen af databehandlere. Begge kommune manglede at indgå gyldige databehandleraftaler med en række af kommunernes databehandlere, ligesom de aftaler, der var indgået, ikke i tilstrækkelig grad forholdte sig til, hvordan parternes forpligtelser skulle opfyldes i praksis, eller indeholdt en tilstrækkelig klar instruks. Viborg Kommune fik desuden alvorlig kritik for ikke at have ført løbende tilsyn med alle databehandlere. Begge kommuner fik alvorlig kritik for ikke i alle tilfælde at have ført løbende tilsyn med behandlingen af personoplysninger hos kommunernes underdatabehandlere. Læs mere om sagens betydning i praksis i vores artikel her.
- Revidering af Datatilsynets databehandlerskabelon
Det Europæiske Databeskyttelsesråd (EDPB) er blevet bedt om at vurdere, hvorvidt Datatilsynets databehandlerskabelon (EN) kan få status som en godkendt standardskabelon. EDPB er kommet med en række bemærkninger til aftalen, som nu er under revidering, inden den igen skal forelægges Databeskyttelsesrådet til endelig godkendelse.
- Datatilsynets tilsynsplan for 2. halvår af 2019
Datatilsynet har offentliggjort deres tilsynsplan for 2. halvår af 2019. Fokus vil særligt være på databehandlere, herunder deres brug af underdatabehandlere og sikkerhedsforanstaltninger, den daglige overvågning, databeskyttelse i forbindelse med ansættelsesforhold samt automatiske afgørelser og profilering. I forhold til den daglige overvågning vil der bl.a. blive set på kunders købs- og rejsehistorik, herunder særligt virksomhedernes oplysningspligt, samt automatisk nummerpladegenkendelse i indkøbscentre, herunder behandlingsgrundlaget hertil og oplysnings- og slettepligten.
- Ingen kritik af manglende kryptering
Datatilsynet har i en interessant sag valgt ikke at udtale kritik af en virksomhed, der valgte at anvende en opportunistisk TLS 1.2-kryptering ved fremsendelse af e-mail indeholdende fortrolige oplysninger. Virksomheden havde foretaget en risikovurdering, hvor de var nået frem til, at brug af den valgte krypteringsmodel var en passende sikkerhedsforanstaltning, da kun et fåtal af deres modtagere ikke ville kun understøtte den. Der er tale om en konkret begrundet afgørelse, men viser samtidig vigtigheden af dokumenterede risikovurderinger.
- Ny tekst om risikovurderinger gengiver hidtidig praksis
Datatilsynet har i samarbejde med Rådet for Digital Sikkerhed (RfDS) udgivet en ny vejledende tekst om risikovurderinger. Læs mere om emne i vores artikel her.
- RfDS udgiver vejledning om overgangen fra GDPR-projekt til drift
En ny vejledning er blevet udgivet af Rådet for Digital Sikkerhed, hvori de forholder sig til overgangen fra et GDPR-projekt, hvor man forbereder sin virksomhed til at leve op til reglerne, til den løbende drift, hvor man sikrer, at procedurer og systemer fortsat lever op til reglerne.
|
|
Internationalt
- Svensk gymnasium får bøde for at TV-overvåge elevers fremmøde
Et svensk gymnasium har fået en bøde på 200.000 svenske kroner af det svenske datatilsyn, Datainspektionen, for i en testperiode at have brugt ansigtsgenkendelse til registrering af elevers fremmøde til undervisning. Ansigtsgenkendelse er at anse for biometri, dvs. en følsom oplysning, og et behandlingsgrundlag skal derfor findes i art. 9. Skolen havde indhentet samtykke, men det kunne ikke anses som gyldigt, da eleverne ansås for at være i et afhængighedsforhold til skolen.
- PwC havde koks i behandlingsgrundlaget
Det anerkendte revisionsselskab PricewaterhouseCoopers er af det græske datatilsyn blevet idømt en bøde på 150.000 euro for ulovlig behandling af deres medarbejderes personoplysninger. PwC havde oplyst deres ansatte om, at behandling skete på baggrund af samtykke, jf. art. 6(1)(a), mens det behandlingsgrundlag, der i realiteten blev brugt, var nødvendigt af hensyn til kontrakt, jf. art. 6(1)(b). PwC havde dermed ifølge tilsynet behandlet personoplysninger på en unfair og uigennemsigtig måde og overtrådt flere af de generelle principper i art. 5. Derudover kunne PwC ikke dokumentere, at de overholdt de generelle principper i art. 5(1) og levede således heller ikke op til princippet om ansvarlighed i art. 5(2).
- Marriott indstillet til bøde på 99,2 mio. pund
Hotelkæden Marriott er af det britiske datatilsyn, ICO, blevet indstillet til en bøde på intet mindre end 99,2 mio. pund (ca. 821 mio. DKK). Bøden er givet på baggrund af et sikkerhedsbrud, der har resulteret i adgang til pas- og kreditkortoplysninger på 339 mio. hotelgæster, heraf ca. 30 mio. indenfor EØS-området. Sikkerhedsbruddet opstod oprindeligt hos en anden virksomhed, som blev opkøbt af Marriott. ICO har i afgørelsen lagt vægt på, at Marriott ikke havde været tilstrækkelig grundig i due diligence processen og derfor reagerede for sent på sikkerhedsbruddet, der endte med at stå på i flere år.
|
|
Er det noget, vi kan hjælpe med?
Vi står altid klar til at yde kvalificeret rådgivning.
Kontakt vores GDPR-team
|
|
|
|
|
|
