De fem mest almindelige GDPR-overtrædelser

GDPR-ekspert og advokat Jan Sandtrø fra DLA Piper opremser fem ting, som virksomheder typisk gør forkert i relation til EU's persondataforordning.

GDPR EU Personal Data Protection

Senest den 25. maj 2018 skal alle virksomheder i EU, herunder altså også Danmark, overholde reglerne i EU's nye persondataforordning, også kaldet GDPR. DLA Piper hjælper virksomheder med at vurdere, om deres behandling af personoplysninger lever op til de nye regler, og via dette arbejde støder advokaterne ofte på de samme overtrædelser. Her er de fem mest almindelige fejl, virksomheder begår med hensyn til GDPR:

1. Virksomheden har ikke overblik over al behandling af personoplysninger
DLA Piper erfarer, at virksomheder ikke har tilstrækkelig styr på og overblik over de personoplysninger, de behandler. Hvis det er tilfældet, kan man ikke vurdere, om al behandling er i overensstemmelse med reglerne, og om der findes et lovligt grundlag for behandlingen. Dette gælder både for personoplysninger, som behandles i virksomheden, og for oplysninger, som såkaldte databehandlere (fx leverandører af it- eller datatjenester) håndterer. Dette gælder også, hvis personoplysninger overføres til tredjeparter, som da vil blive nye behandlingsansvarlige.
Udfordringerne skyldes til dels manglende forståelse af, hvad "personoplysninger" og "behandling" er, og at disse begreber er meget brede – de omfatter nemlig det meste, som involverer oplysninger, der kan kobles til enkeltpersoner.

2. Manglende vurdering og tilhørende dokumentation
Når man først har det fulde overblik over al behandling af personoplysninger i virksomheden, skal man vurdere, om behandlingen er lovlig – altså om der foreligger et behandlingsgrundlag efter persondataforordningen. Det hænder, at virksomheder foretager behandlinger af data uden at have fastslået et lovligt behandlingsgrundlag. Ofte foreligger der heller ikke dokumentation for, at en sådan vurdering er foretaget. Opstår der usikkerhed omkring en behandling eller grundlaget for denne, bør det dokumenteres, at der i hvert fald er foretaget en vurdering. Benyttes samtykke fra de registrerede som grundlag for behandlingen, skal det dokumenteres, at samtykket er indhentet. En sådan dokumentation mangler også ganske ofte.

3. Manglende rutiner og procedurer
Der er en del rutiner og procedurer, som skal være på plads, for at man kan siges at overholde reglerne i GDPR for intern kontrol. Dette gælder især rutiner i forbindelse med udlevering af oplysninger til registrerede personer om dem selv, hvad enten personoplysningerne stammer fra den registrerede eller er blevet indsamlet af og modtaget fra tredjepart. Der skal desuden findes rutiner for, hvordan man informerer om datalæk, registrering og dokumentation af ny databehandling etc.

4. Manglende databehandleraftale
Overdrages personoplysninger til en anden virksomhed til behandling, fx hvis man bruger en cloudtjeneste til lagring, skal der foreligge en databehandleraftale. Ifølge GDPR stilles der klare krav til, hvad en databehandleraftale skal indeholde, men mange virksomheder har end ikke indgået databehandleraftaler med deres leverandører, og i de tilfælde, hvor en aftale eksisterer, er der ikke styr på, om aftalen lever op til kravene i lovgivningen.

5. Overførsel af personoplysninger til tredjelande uden lovgrundlag
Personoplysninger kan som udgangspunkt ikke overføres til lande uden for EU, uden at der foreligger et lovligt grundlag. Dette gælder også for cloudtjenester, hvor personoplysninger lagres uden for EU. Et lovligt grundlag kan fx være samtykke fra de registrerede (og der stilles strenge krav til indholdet af et sådant samtykke), herunder ved brug af standardaftaler fra EU, overførsel til USA efter Privacy Shield-aftalen eller ved anvendelse af Binding Corporate Rules. Foreligger ingen af disse, er overførsel af oplysninger til lande uden for EU ulovligt.

De ovennævnte punkter er i bund og grund ret simple overtrædelser, som er lette for din virksomhed at identificere og afhjælpe. Ulempen er, at det også er nemt for Datatilsynet at afdække disse overtrædelser, hvis din virksomhed bliver kontrolleret. Derfor gælder det om at få orden på tingene, inden kontrollen kommer, og bøderegnen begynder!

 

Hold dig opdateret ...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.

 

Annonce
Annonce