fbpx

Det er nu et år siden, at GDPR-forordningen trådte i kraft. Det betyder, at det nu forventes, at alle efterlever kravene. De der ikke overholder GDPR, begynder så småt at mærke konsekvenserne, og måske har vi endnu kun set toppen af isbjerget.

GDPR. Et emne, der var på alles læber sidste år, og som også skabte en del forvirring. Hvordan skulle de nye skærpede krav til sikkerheden ved behandling af personoplysninger helt præcist efterleves? Vi er blevet klogere, og nu begynder vi at opleve konsekvenserne ved manglende efterlevelse af kravene.

 

Datatilsynet uddeler bøder i Danmark

Virksomheder havde travlt med at blive klar til den nye lovgivning inden maj 2018. Faktisk kæmper mange virksomheder stadig med at efterleve nogle af disse krav, og andre har ikke skænket det mange tanker.

Det kan blive et problem, for Datatilsynet i Danmark er begyndt at slå ned på overtrædelser. Ser vi til udlandet, hvor der er faldet dom i flere sager, kan man få en idé om, hvor alvorligt man ser på overtrædelser af lovgivningen.

I Portugal har hospitalet O hospital do Barreiro f.eks. haft problemer. Her havde personale uretmæssig adgang til patientdata. Hospitalet havde også 985 læger oprettet i deres systemer, selvom der kun var 296 læger ansat. Det udløste en bøde på hele 400.000 euro.

Noget tyder på, at et højt bødeniveau også kan gøre sig gældende i danske sager.

En dansk virksomhed er således blevet politianmeldt og indstillet til en bøde på 1,5 mio. kr. Anmeldelsen er indgivet på baggrund af et besøg af Datatilsynet tilbage i efteråret 2018.

Ved besøget kunne man konstatere, at virksomheden gemte oplysninger om ca. 385.000 kunder uden en fastsat tidsfrist for sletning af personoplysninger. Ifølge forordningen må sådanne oplysninger ikke opbevares, så de registrerede kan identificeres i længere tid, end det er nødvendigt. Læs afgørelsen fra Datatilsynet her.

 

Få styr på GDPR

Har du fået styr på GDPR? Eller er du i tvivl om, hvorvidt du overholder reglerne fuldt ud? Herunder får du listen, som fortæller, hvad du skal være opmærksom på ved kravene for datasikkerhed.

For at ridse op…

…så betyder GDPR, at personer, der registrerer sig hos din virksomhed, får en række rettigheder, som du skal være opmærksom på at opfylde:

  1. Samtykke – Du skal sørge for at personer aktivt giver samtykke til, at du indsamler og bruger deres personlige data. Ligeledes skal de have mulighed for at tilbagekalde samtykket.
  2. Indsigt – Personer skal have mulighed for at se, hvilke personlige data, du har om dem, hvordan du behandler dem, og hvad du bruger dem til. Du skal også kunne give dem en kopi af de data, hvis de ønsker det.
  3. Retten til “at blive glemt” – Personer skal have muligheden for at få alle personlige data slettet permanent, hvis de ønsker det.
  4. Dataportabilitet – Personer skal have mulighed for at få udleveret og flyttet sine personlige data til en anden udbyder.
  5. Retten til at klage – Personer har retten til at klage til datatilsynet, hvis de mener, at deres personlige oplysninger ikke behandles efter kravene for GDPR.
  6. Privacy by design – Du skal indtænke databeskyttelse i designprocessen og igennem hele udviklingen af nye produkter og services, der behandler persondata. I processen skal virksomheder huske, at de ikke må behandle mere end den nødvendige data.
  7. Dataansvarlig – Virksomheder, der behandler personoplysninger som en primær del af forretningen (f.eks. offentlige myndigheder), skal udpege en dataansvarlig, også kaldet en DPO (Data Protection Officer).
  8. Underretning om brud på datasikkerheden – Hvis der sker et brud på datasikkerheden, der kan kompromittere personers personlige data, har disse personer ret til at blive underrettet senest 72 timer efter bruddet er opdaget.
  9. Rettelse af data – Personer har ret til at få rettet data, der er ukorrekte eller forældede.
  10. Retten til at gøre indsigelse – Personer har ret til at gøre indsigelse over, at personlige data behandles og videregives til f.eks. markedsføringsformål. Al brug af personens data skal stoppes, når en indsigelse modtages.

 

What’s next? Ny ePrivacy-forordning på vej

I forlængelse af GDPR, arbejder EU på et nyt lovforslag om en ePrivacy-forordning, også kaldet ePR. Forordningen skal erstatte ePrivacy-direktivet fra 2002, som også går under kælenavnet “Cookie-loven”.

ePR har været undervejs i et stykke tid, men det endelige udkast er endnu ikke klar. Det forventes, at den bliver godkendt i løbet af 2019.

Eftersom ePR ikke er godkendt endnu, er det svært at sige præcis, hvad den kommer til at betyde for dig. Vi ved dog, at Cookies spiller en central rolle.

EU-landene har fortolket det gamle direktiv forskelligt. I mange lande er det nok at informere om brugen af cookies (passivt samtykke), men i Danmark skal der indhentes et aktivt samtykke.

Den nye forordning vil stramme op, så passivt samtykke ikke længere er nok. Og den vil sætte strengere krav til, at virksomheder skal informere om, hvad samtykke til cookies indebærer.

Overholder du den danske fortolkning af direktivet fra 2002, er du dog godt på vej. Men om den nye ePR-forordning kræver ændringer i din praksis, er endnu uvist.

 

Vi klæder dig gerne på til at kunne efterleve kravene til GDPR på med et GDPR webshopmodul, der understøtter retten til at blive glemt og GDPR dokumenter, så du kan overholde din oplysningspligt.

Kontakt tlf. 8799 0009 eller mail [email protected], hvis du ønsker at høre mere om dine muligheder.