Oplysninger om GDPR
Foranstaltninger, som virksomheder kan være nødt til at træffe for at overholde GDPR
Der er en række foranstaltninger, som virksomheder kan være nødt til at træffe for at overholde GDPR, også kendt som den generelle forordning om databeskyttelse (GDPR).
Informationssikkerhed
Virksomheder skal beskytte de personoplysninger, de behandler, hvilket kan ske på forskellige måder. Derfor skal virksomheden etablere og implementere interne procedurer og stille andre oplysninger til rådighed for medarbejderne, for at de kan beskytte personoplysningerne. Jo vigtigere personoplysningerne er, jo stærkere er den beskyttelse, de har brug for. Jo bedre informationssikkerhed virksomheden implementerer i sine aktiviteter, jo lavere er de risici, der er forbundet med behandling af personoplysninger.
Persondatahændelser i henhold til GDPR
Brud på persondatasikkerheden kan have store konsekvenser for de berørte registrerede. Dette kan f.eks. føre til identitetstyveri eller økonomisk skade. Desuden kan virksomheder have en stor indvirkning, hvis de ikke træffer tilstrækkelige organisatoriske og tekniske sikkerhedsforanstaltninger for at forhindre brud på persondatasikkerheden. Det samme gælder, hvis virksomheden overtræder GDPR i andre dele, for eksempel ved ikke at anmelde et rapporteret brud på persondatasikkerheden i tide.
Almindelige eksempler på brud på persondatasikkerheden:
- Ulovlig tilintetgørelse af personoplysninger.
- Uautoriseret videregivelse af personoplysninger.
- Uautoriseret adgang til personoplysninger.
- Tab af personoplysninger.
- Uautoriseret ændring af personoplysninger
Risikovurdering efter et brud på persondatasikkerheden
Virksomhederne skal altid foretage en risikovurdering efter et brud på persondatasikkerheden. Formålet med vurderingen er at finde ud af, hvilke risici hændelsen udgør for registreredes rettigheder og frihedsrettigheder. Eksempler på, hvad virksomheder kan have i tankerne, når de foretager risikovurderingen:
Hændelse
Karakteren af bruddet på persondatasikkerheden For eksempel, hvis det er en e-mail, der er blevet sendt til den forkerte modtager, der indeholder almindelige personlige oplysninger, såsom navn og telefonnummer, eller hændelsen betyder, at følsomme personlige oplysninger om en persons helbred er blevet lækket.
Karakter og følsomhed
Jo vigtigere personoplysningerne er, jo større er risikoen for de registreredes rettigheder og frihedsrettigheder. Det er derfor vigtigt at analysere betydningen af personoplysninger. Er det f.eks. en persons kreditkortoplysninger eller andre oplysninger, der er særligt beskyttelsesværdige?
Konsekvenser
Konsekvenserne af bruddet på persondatasikkerheden For eksempel, hvis kreditkortoplysninger er blevet lækket, kan det føre til økonomisk skade.
Karakteristika
Om de registrerede er en yderligere beskyttelsesværdig gruppe, f.eks. børn, ældre eller personer med handicap.
Mængde
Hvor mange personer er berørt af bruddet på persondatasikkerheden? Ofte har det en større effekt jo mere det er, men det behøver heller ikke altid at være sådan. Det er også nyttigt at analysere mængden af personoplysninger, der er berørt af hændelsen, og ikke kun antallet af registrerede.
Forordningen kræver dokumentation for brud på persondatasikkerheden
Enhver virksomhed, der opdager et brud på persondatasikkerheden, der har fundet sted i forbindelse med de personoplysninger, den behandler, skal dokumentere det. Dette dokumentationskrav gælder, uanset om bruddet på persondatasikkerheden er så alvorligt, at det skal anmeldes til den nationale databeskyttelsesmyndighed og de registrerede. Alle brud på persondatasikkerheden skal dokumenteres, men ikke alle skal indberettes. Derudover er det godt at have interne procedurer for, hvordan medarbejdere skal handle i tilfælde af brud på persondatasikkerheden. En hurtig indsats kan have stor indvirkning på konsekvenserne.
Virksomhederne træffer forskellige passende forebyggende foranstaltninger
Ud over at forebygge brud på persondatasikkerheden bør virksomhederne også forsøge at minimere konsekvenserne, når de opstår. Det er et krav i GDPR, at virksomheder beskytter personoplysninger, som de behandler, hvilket omfatter gennemførelsen af forskellige passende forebyggende foranstaltninger.
Informere de berørte registrerede, hvis dette er sket
Registrerede skal underrettes om visse typer brud på persondatasikkerheden, der påvirker deres personoplysninger. På den måde kan de også selv være med til at minimere de negative konsekvenser. For eksempel, hvis kreditkortnummeret lækker, kan den registrerede tage deres egne skridt til at blokere kortet.
Desuden skal den virksomhed, der er dataansvarlig for de pågældende personoplysninger, anmelde visse typer brud på persondatasikkerheden til den nationale databeskyttelsesmyndighed. Meddelelsen skal gives senest 72 timer efter opdagelsen.
Grænseoverskridende brud på persondatasikkerheden
Når et brud på persondatasikkerheden vedrører flere lande i EU, er der tale om et grænseoverskridende brud på persondatasikkerheden. Virksomheder, der opererer i flere EU-lande, skal vurdere, hvilken databeskyttelsesmyndighed der er ansvarlig. Dette skal gøres for bl.a. at kunne vide, hvem der skal indberette et muligt brud på persondatasikkerheden til.
De registrerede kan dog indgive deres klage til den nationale databeskyttelsesmyndighed i deres bopælsland, som derefter kan overføre sagen til en anden tilsynsmyndighed, hvis det er mere hensigtsmæssigt.
Organisatoriske sikkerhedsforanstaltninger til beskyttelse af personoplysninger
For at overholde reglerne i GDPR skal virksomheder træffe forskellige passende sikkerhedsforanstaltninger. Blandt andet organisatoriske sikkerhedsforanstaltninger for at beskytte personoplysninger samt andre organisatoriske foranstaltninger for f.eks. at kunne opfylde de registreredes rettigheder.
Forvaltning af tilladelser og adgangsrettigheder
Det kan være hensigtsmæssigt for virksomheder at kontrollere tilladelserne vedrørende, hvem der har adgang til personoplysninger, for at sikre, at uautoriserede personer ikke har dem. Dette er især vigtigt i større virksomheder, der behandler vigtige personoplysninger, såsom følsomme personoplysninger. Princippet om, at medarbejdere skal have adgang til personoplysninger efter “need-to-know”-princippet, er et godt udgangspunkt.
Kort sagt betyder dette, at kun medarbejdere, der har brug for at behandle personoplysningerne for at udføre deres opgaver, bør have en sådan adgang. Andre medarbejdere bør ikke have adgang til dem. Desuden er det vigtigt at tilbagekalde adgangsrettighederne, når de ikke længere er nødvendige. Støtteberettigelsesstyring er noget, der løbende bør overvåges og revideres.
Instruktioner og rutiner for medarbejdere
Virksomheder bør etablere interne procedurer og instrukser til deres medarbejdere om, hvordan de skal arbejde i praksis for at overholde reglerne i GDPR. Al behandling af personoplysninger udføres i praksis af medarbejdere, selv om det er virksomheden, der juridisk har det endelige ansvar for den behandling, der udføres i overensstemmelse med GDPR.
Hvis en virksomhed har flere afdelinger, er det godt at oprette brugerdefinerede instruktioner til de respektive afdelinger. Årsagen til dette er, at det ofte ikke er nødvendigt for alle medarbejdere at kende alle reglerne i GDPR for at kunne udføre deres opgaver. Derudover skal virksomheden have interne procedurer for håndtering af brud på persondatasikkerheden m.v.
Sikkerhedskultur og uddannelse
Databeskyttelse er en vigtig del for virksomheder, der behandler personoplysninger, hvilket er langt de fleste virksomheder. For at sikre en god databeskyttelse er det vigtigt at skabe en god sikkerhedskultur i virksomheden.
Dette kan blandt andet gøres ved at uddanne medarbejderne i den del af GDPR, der er vigtig at kende til i deres opgaver. Derudover kan det være godt for store virksomheder med flere leads at have databeskyttelsesambassadører i hver afdeling, der får en særlig uddannelse og bliver en slags kontaktperson i afdelingen.
Tekniske sikkerhedsforanstaltninger til beskyttelse af personoplysninger
Det er vigtigt, at virksomheden træffer passende tekniske sikkerhedsforanstaltninger for at beskytte personoplysninger i overensstemmelse med GDPR. Jo vigtigere personoplysningerne er, jo mere sikre er de sikkerhedsforanstaltninger, som virksomheden skal træffe. Derudover skal virksomheder gennemføre andre tekniske foranstaltninger for at overholde andre regler i GDPR og andre love. Virksomheder, der driver en onlinemarkedsplads, skal f.eks. indføre en teknisk løsning, der giver brugerne mulighed for at indberette falske og andre ulovlige varer.
Autentificering som en del af identitetsprocessen
Det er almindeligt, at de registrerede skal identificere sig, før de får adgang til systemer, der behandler personoplysninger. For eksempel skal de logge ind med deres registrerede brugernavn og adgangskode. Der er tale om en form for autentificering. Det kan dog være hensigtsmæssigt at have en mere sikker autentificeringsproces i nogle tilfælde.
For eksempel, hvis en person vil tage et lån fra deres bank via deres mobiltelefon. I sådanne tilfælde kan det være hensigtsmæssigt, at personen skal logge ind med et eID eller lignende og ikke kun via et brugernavn med en adgangskode. I virksomheder, der behandler meget følsomme personoplysninger, f.eks. helbredsoplysninger, kan et mere sikkert autentificeringsmiddel være brug af fingeraftryk eller et særligt kort.
Kryptering af data under lagring og transmission
Kryptering af personoplysninger og andre oplysninger er en almindelig teknisk foranstaltning for virksomheder at tage. Kryptering kan f.eks. forekomme, når virksomheden sender en e-mail med vigtige personoplysninger. Desuden kan kryptering være hensigtsmæssig at implementere ved lagring af personoplysninger, f.eks. ved lagring af personoplysninger, der er følsomme over for privatlivets fred. Kort sagt betyder kryptering, at en kombination af en matematisk funktion og krypteringsnøgle sammen kan transformere data, så de bliver læsbare.
Sikkerhedskopiering af personoplysninger og andre oplysninger
For at undgå uautoriseret destruktion af personoplysninger er det en god idé at sikkerhedskopiere dem. For eksempel ved at tage regelmæssige sikkerhedskopier, der derefter gemmes i en sikker skytjeneste. Hvis data ulovligt går tabt eller ændres, udgør det et brud på persondatasikkerheden, som virksomheder skal forhindre. Derfor er det godt at have backup som en del af de tekniske sikkerhedsforanstaltninger. Det er dog vigtigt at overveje at beskytte kopierne, ligesom virksomheden skal beskytte originalerne. Derudover skal virksomheden tynde sikkerhedskopierne efter en vis periode.
Netværkssegmentering af datanetværk
En teknisk sikkerhedsforanstaltning, der kan reducere konsekvenserne af mulige brud på persondatasikkerheden, er ved at opdele computernetværk i flere undernetværk. Dette kaldes også netværkssegmentering. Desuden er det et middel til at forhindre uautoriseret adgang til og videregivelse af personoplysninger.
Overførsler fra tredjelande
Et tredjeland er et land uden for EU/EØS-området. Når en virksomhed flytter folk dertil, gælder der strengere regler. Eksempler på, hvornår overførsler af personoplysninger til tredjelande er almindelige:
Når en person sender en e-mail med personoplysninger. For eksempel ved at vedhæfte et dokument til en e-mail-modtager i Asien.
Cloud-tjeneste
Hvis en virksomhed gemmer personoplysninger på en cloudtjeneste, der har sine servere i USA.
Kontrakt
Når en virksomhed i EU indgår en aftale med en virksomhed i Afrika, der indeholder personoplysninger
Adequate level of protection as assessed by the European Commission
Hvis et land anses for at have et tilstrækkeligt beskyttelsesniveau, er det tilladt at overføre personoplysninger der uden at skulle træffe yderligere sikkerhedsforanstaltninger, f.eks. bindende virksomhedsregler. En virksomhed kan imidlertid ikke selv afgøre, om et land har et tilstrækkeligt beskyttelsesniveau. Det er en beslutning, som Europa-Kommissionen har truffet.
Særlige situationer og lejlighedsvise overførsler
Selv om et tredjeland ikke anses for at have et tilstrækkeligt beskyttelsesniveau i overensstemmelse med en afgørelse truffet af Europa-Kommissionen, eller virksomheden træffer visse yderligere sikkerhedsforanstaltninger, kan det være tilladt at overføre personoplysninger til tredjelande i særlige situationer og lejlighedsvise overførsler. For eksempel, hvis den registrerede giver sit udtrykkelige samtykke til overførslen og underretter virksomheden om dette. Bemærk venligst, at personen skal informeres om behandlingen og de involverede risici, før de har givet deres samtykke.
Yderligere garantier i tilfælde af overførsel til et tredjeland
En virksomhed kan træffe yderligere sikkerhedsforanstaltninger, der er passende, når den overfører personoplysninger til et tredjeland. I sådanne tilfælde kan overførslen tillades. Bemærk venligst, at den registrerede skal have ret til at gøre indsigelse mod behandlingen. Derudover har personen ret til at få sagen prøvet ved en domstol.
Her kan du læse anbefalingerne fra Det Europæiske Databeskyttelsesråd vedrørende passende sikkerhedsforanstaltninger for overførsel af personoplysninger til tredjelande.
Bindende virksomhedsregler
Det er muligt at fastsætte bindende virksomhedsregler, som f.eks. en koncern, der har virksomheder i flere lande, kan anvende ved overførsel af personoplysninger til tredjelande. De bindende virksomhedsregler skal godkendes af en EU-databeskyttelsesmyndighed for at være gyldige. Desuden afgiver Det Europæiske Databeskyttelsesråd en udtalelse, inden afgørelsen træffes.
Standardkontraktbestemmelser
Europa-Kommissionen har vedtaget standardkontraktbestemmelser, som virksomheder kan bruge, når de overfører personoplysninger til tredjelande. Med andre ord kan virksomheder, der indgår en aftale med en virksomhed i et tredjeland, der ikke har et tilstrækkeligt beskyttelsesniveau, medtage passende klausuler fra Europa-Kommissionen. Bemærk, at det ikke er tilladt at ændre klausulerne. Derudover er det vigtigt at bruge den rigtige klausul til den specifikke situation.
Adfærdskodekser eller certificeringsmekanismer
Hvis en virksomhed i et tredjeland overholder en godkendt adfærdskodeks, kan det være tilladt for virksomheder at overføre personoplysninger til virksomheden. Det samme gælder, hvis de har tilsluttet sig en godkendt certificeringsmekanisme. Det er almindeligt, at organisationer, der repræsenterer en bestemt branche, vedtager adfærdskodekser, der kan overholdes.
Her kan du læse retningslinjer fra Det Europæiske Databeskyttelsesråd vedrørende adfærdskodekser for overførsel af personoplysninger til tredjelande.
GDPR-relaterede aftaler og dokumenter
Der er flere aftaler og dokumenter, som virksomheder har brug for og/eller bør udarbejde for at overholde reglerne i GDPR. Virksomheder skal kunne dokumentere, at de overholder GDPR i henhold til princippet om ansvarlighed, og det betyder blandt andet, at de skal kunne fremlægge skriftlige relevante GDPR-relaterede dokumenter og aftaler. Nedenfor er et kort resumé af nogle vigtige GDPR-relaterede dokumenter og aftaler, som de fleste virksomheder har brug for.
Meddelelse om beskyttelse af personoplysninger, der indeholder oplysninger om behandling af personoplysninger
Virksomhederne skal informere om behandlingen af personoplysninger, helst inden virksomheden påbegynder behandlingen, eller når personoplysningerne indsamles. Dette gøres normalt i en meddelelse om beskyttelse af personlige oplysninger, der offentliggøres på f.eks. virksomhedens officielle hjemmeside. Oplysningerne i meddelelsen skal bl.a. omfatte den periode, hvor virksomheden skal behandle oplysningerne, formålet med behandlingen og de registreredes rettigheder. Databeskyttelsesforordningens artikel 13 og 14 regulerer minimumskravene til indholdet af en meddelelse om beskyttelse af privatlivets fred.
Databehandleraftale mellem en Databehandler og en Dataansvarlig, eller mellem to Databehandlere
Når en dataansvarlig engagerer en databehandler, dvs. en anden aktør, der udfører behandling af personoplysninger på vegne af den dataansvarlige, skal vedkommende indgå en aftale med en databehandler. Dette reguleres af databeskyttelsesforordningens artikel 28, som indeholder oplysninger om minimumskravene til indholdet af databehandlingsaftalen.
Databehandleraftalen skal være skriftlig for at være gyldig i henhold til GDPR. For eksempel bruger virksomheder normalt cloud-tjenester til backup. I sådanne tilfælde er den virksomhed, der driver cloud-tjenesten, en persondatabehandler.
Desuden skal en databehandler indgå en databehandleraftale, hvis vedkommende på sin side engagerer en anden databehandler til at foretage behandling af personoplysninger på vegne af den dataansvarlige.
Liste over registre med oplysninger om behandling af personoplysninger
Nogle virksomheder skal oprette et register, der indeholder oplysninger om virksomhedens behandling af personoplysninger. Den skal udarbejdes skriftligt, og den nationale databeskyttelsesmyndighed kan anmode om adgang til listen. Efter en sådan anmodning skal selskabet stille den til rådighed for dem. Bemærk, at ikke alle behandlingsaktiviteter nødvendigvis skal medtages i registret, men kun de behandlingsaktiviteter, der opfylder kriterierne i artikel 30, stk. 1, i GDPR.
Særligt register over forarbejdningsvirksomheder
Det er ikke kun de registeransvarlige, der skal oprette et register. Databehandlere skal også oprette et særligt register i overensstemmelse med artikel 30, stk. 2, i GDPR. Den skal indeholde oplysninger om alle behandlingsaktiviteter, der udføres på vegne af en dataansvarlig. Herunder oplysninger om, hvem de dataansvarlige er, deres kontaktoplysninger og oplysninger om behandlingsaktiviteterne.
Forskellige typer vurderinger
Virksomhederne kan være nødt til at foretage visse vurderinger, før de behandler personoplysninger. F.eks. en konsekvensanalyse vedrørende databeskyttelse eller en vurdering af legitime interesser med en dokumenteret interesseafvejning. Det er vigtigt, at vurderingerne dokumenteres skriftligt, da det er et krav, at virksomhederne skal kunne dokumentere, at de efterlever GDPR i praksis i overensstemmelse med princippet om ansvarlighed. I tilfælde af tilsyn kan den ansvarlige databeskyttelsesmyndighed anmode om at se vurderingerne.
Konsekvensanalyse vedrørende databeskyttelse
Når virksomheder foretager behandling af personoplysninger, der kan medføre en høj risiko for registreredes rettigheder og frihedsrettigheder, skal de foretage en konsekvensanalyse vedrørende databeskyttelse. Målet er at se, hvilke risici behandlingen indebærer, og hvad virksomheden kan gøre for at imødegå dem. F.eks. ved at udvikle passende procedurer og gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger.
Straf til virksomheder, der ikke har foretaget en konsekvensanalyse
I en af de tre afgørelser i forbindelse med dette tilsyn konkluderede den finske databeskyttelsesmyndighed, at virksomheden burde have foretaget en konsekvensanalyse, når den behandlede lokaliseringsoplysninger om sine medarbejdere ved at lokalisere køretøjer gennem et kørselsdatasystem. På grund af denne overtrædelse af reglerne i GDPR måtte virksomheden betale en bøde på 16.000 euro.
Konsekvensanalyse af dataoverførsler
Hvis en virksomhed har til hensigt at overføre personoplysninger til et tredjeland, der ikke har et tilstrækkeligt beskyttelsesniveau i henhold til en afgørelse truffet af Europa-Kommissionen, skal virksomheden foretage en konsekvensanalyse af dataoverførslen. Dette skal ske, inden overførslen gennemføres. Formålet er at analysere modtageren af personoplysningerne, herunder modtagerlandet, for at finde ud af, om overførslen er tilstrækkelig sikker. Desuden er det vigtigt at analysere modtagerlandets databeskyttelseslove og -regler og de rettigheder, som registrerede kan have i modtagerlandet.
Afvejning af interesser og vurdering af legitim interesse
Virksomheder kan have en legitim interesse i at udføre en bestemt type behandling af personoplysninger. Virksomhedens interesser vejer med andre ord tungere end de registreredes interesser. Desuden skal behandlingen være nødvendig for at opnå formålet. Det kan f.eks. være nødvendigt for en virksomhed at foretage en bestemt behandling for at forhindre svig eller anden kriminalitet. I sådanne tilfælde kan det udgøre en legitim interesse.
Kort sagt betyder dette retsgrundlag, at personoplysningerne kan behandles af virksomheden uden den registreredes samtykke, uden at det er nødvendigt for indgåelse eller opfyldelse af en kontrakt, og uden at der er en juridisk forpligtelse til at foretage behandlingen.
Forudgående høring af tilsynsmyndigheden
Hvis der fortsat er en høj risiko for registreredes rettigheder og frihedsrettigheder, efter at virksomheden har foretaget en konsekvensanalyse og truffet de fornødne garantier på grundlag af denne vurdering, anmoder virksomheden om en forudgående høring af den nationale databeskyttelsesmyndighed. Bemærk, at virksomheden skal udarbejde en konsekvensanalyse, inden der anmodes om forudgående høring, eller behandlingen påbegyndes.
Læs mere om GDPR
Behandling af personoplysninger inden for erhvervslivet
Det er almindeligt at behandle personoplysninger i erhvervslivet i forskellige sammenhænge. For eksempel behandler virksomheder normalt personoplysninger, når de rekrutterer personale, behandler medarbejdernes personoplysninger såsom kontaktoplysninger, sygefravær og kontooplysninger mv. Derudover behandler virksomheder, der leverer onlinetjenester eller har et websted, normalt personoplysninger om potentielle og / eller eksisterende kunder. Det er bl.a. vigtigt at vide, hvilken rolle virksomheden har, og hvilke rettigheder de registrerede har.