mail@stormadvokatfirma.dk | 72 30 12 05 | Vi har åbent man-tors 8-16, fre 8-15
STORM > Nyheder > GDPR > Persondata i praksis: Sådan undgår du bøder
Behandling af personfølsomme oplysninger

Persondata i praksis: Sådan undgår du bøder

Persondataforordningen er trådt i kraft, og den nye bødesats på op til 20.000.000 euro eller 4 % af den årlige omsætning gælder nu. Mange virksomheder i den private sektor er dog stadig i gang med arbejdet, og spørger sig selv ”Jeg skal opfylde lovens regler, men jeg skal også drive en virksomhed. Hvor går grænsen mellem de to, og hvad er min risiko i det hele taget?”. Er du i tvivl? Lad os hjælpe dig.

I det følgende gennemgås risikoen for at få en bøde i forbindelse med overtrædelse af Persondataforordningen (GDPR). Samtidig opstilles en række gode råd til at undgå bøderne.

Væsentlig usikkerhed i virksomhederne

Der hersker en væsentlig usikkerhed blandt mange private virksomheder omkring hvad der helt præ-cist skal til, før virksomheden overholder persondatareglerne. Virksomhederne ved typisk ikke hvilke helt konkrete tekniske og organisatoriske sikkerhedskrav, der skal opfyldes som minimum. I andre tilfælde har virksomheden opgivet at få et overblik over opgaven.

Virksomheder har derfor ofte dårlige forudsætninger, for at vurdere sine risici og prioritere personda-taindsatsen, i tilfælde hvor enten tid eller økonomi gør det urealistisk, at gennemgå hele virksomhe-den med en professionel rådgiver. Det kan imidlertid kun lade sig gøre at forstå risiciene, og fast-lægge en kompetent prioritering, når virksomheden ved hvad konsekvensen af overtrædelsen er.

Bøder er ikke den eneste sanktion

Datatilsynet har tre primære reaktionsmuligheder, når persondatareglerne er overtrådt; udtale sig kri-tisk om virksomheden, udstede påbud om berigtigelse af overtrædelse, eller give et bødeforlæg.

Det anbefales, at virksomheder prioriterer ressourcerne på de punkter, hvor en overtrædelse formod-ningsvist medfører bøde, frem for overtrædelser, som er nærmere til at blive sanktioneret med påtale eller påbud.

Trindelt rygdækning

Den mest åbenlyse – men ikke den eneste – løsning består i en trindelt rygdækning.

I første række bør virksomhederne konstatere, på hvilke punkter persondataforordningen og den nye databeskyttelseslov stiller faste, klart formulerede og forståelige krav.

I anden række bør virksomhederne identificere de regler, som indebærer en eller anden form for fly-dende eller diskutabelt element. Dvs. regler hvor virksomhederne ikke nødvendigvis har en aktiv pligt, men hvor virksomhederne som minimum må forholde sig til problemstillingen.

I tredje række kommer de helt generelle krav, hvor virksomhederne skal opfylde brede principper, og hvor det i vidt omfang er op til den enkelte virksomhed at gætte på, hvordan disse krav helt præcist skal opfyldes. Vejledning kan ofte søges i juridiske tekster, eller godkendte sikkerhedscertificeringer vedrørende datasikkerhed, men det er stort set umuligt at opstille et spørgsmål, og besvare dette med et ”ja” eller ”nej”.

De tre trin kan illustreres ved følgende eksempel:

1. Virksomheden skal have en skriftlige aftale med databehandlere, som behandler personoplysninger på vegne af og under instruks fra virksomheden.

2. Virksomheden skal vurdere, om den er omfattet af kravet om at have en databeskyttelses-rådgiver (såkaldt ”DPO, Data Protection Officer”).

3. Virksomheden skal gennemføre passende tekniske og organisatoriske sikkerhedsforanstalt-ninger for at imødegå risici til fysiske personers rettigheder og frihedsrettigheder, som be-handling af personoplysninger indebærer.

Eksempel 1: Åbenlyse overtrædelser

Virksomheder der tilsidesætter pligter på første trin er særligt eksponeret overfor den høje bøderisi-ko. Der er tale om helt klare lovovertrædelser. Har man således undladt at indgå databehandleraftaler med sine databehandlere, er risikoen for en bøde større.

Eksempel 2: Forkerte interesseafvejninger eller vurderinger, men på det rigtige grundlag

Virksomheden der foretager en reel vurdering med en begrundet konklusion, løber en mindre bøderi-siko end virksomheden, der enten ikke har foretaget nogen vurdering overhovedet, eller kun har fore-taget en ren proforma vurdering.

Eksempel 3: Generelle krav

Har en virksomhed fuldstændigt undladt at træffe sikkerhedsforanstaltninger og dokumentere disse, følger der med høj sandsynlighed en bøde. Risikovurdering bliver først vanskelig, når virksomheden har gjort en indsats for at dokumentere, at den har foretaget en reel vurdering af risikoen for, at de registreredes personers oplysninger kan misbruges, og faktisk har implementeret en effektiv beskyttelse imod denne risiko.

På tredje trin bør virksomheden have fokus på at yde en reel indsats. Har virksomheden afsat mere end blot bagatelagtige ressourcer, vil alene indsatsen ofte medføre en lavere bøderisiko. Manglende kompetencer bør suppleres enten med kurser, vejledning fra brancheorganisation, eller professionel rådgivning.

En virksomhed som oprigtigt har arbejdet på at implementere 9 sikkerhedsforanstaltninger, men over-så foranstaltning nr. 10, vil med stor sandsynlighed kunne nøjes med en påtale eller et påbud, frem for en bøde.

Læs mere om vores persondatakoncept her og kontakt os på telefon 72 30 12 05, hvis du har brug for hjælp til at få styr på din virksomheds behandling af persondata.