Brud på sikkerhed, konsekvenser og tilsyn

computer tjekker telefon

Hidtil har det danske system været indrettet således, at virksomheder, som håndterer persondata har en såkaldt anmeldelsespligt i forhold til Datatilsynet, som er det danske offentlige organ med ansvar for kontrol på persondataområdet.

Det vil sige, at hver enkelt virksomhed har skullet indberette til Datatilsynet, hvis virksomheden behandlede persondata, og Datatilsynet har derefter gennemført stikprøvekontroller af de anmeldte virksomheder.

 

Virksomhedernes forhold til Datatilsynet

Systemet med anmeldelse af virksomheder vil falde bort i forbindelse med indførelsen af den nye Persondataforordning. Nu skal virksomhederne ikke længere lave en anmeldelse, men kun kontakte Datatilsynet for:

  • at aflevere kontaktoplysninger på en eventuel Data Protection Officer, på dansk Databeskyttelsesrådgiver
  • at indberette eventuelle sikkerhedsbrud
  • at høre Datatilsynet, hvis en konsekvensanalyse viser høj risiko

I stedet for at anmelde sin virksomhed, skal virksomheden derimod til enhver tid selv kunne dokumentere skriftligt, at virksomheden overholder forordningens krav. Det vil stadig være Datatilsynets opgave at gennemføre kontrol med virksomhederne og afgøre, om virksomhederne lever op til Persondataforordningens krav. Imidlertid bliver der tale om helt andre sanktionsmuligheder, mere om det nedenfor.

 

Den dataansvarliges ansvar

Som dataansvarlig skal man være opmærksom på, at Datatilsynet har ganske vide beføjelser i forhold til at undersøge en virksomheds forhold, dels som generel kontrol af dokumentationen, og dels hvis der er mistanke om overtrædelse af forordningen.

Virksomheden skal eksempelvis udlevere alle oplysninger, som Datatilsynet måtte ønske i forbindelse med undersøgelsen og samtidig give Datatilsynet adgang til alle virksomhedens lokaler.

 

Datatilsynet

Datatilsynet vil kunne begrænse og endda forbyde en virksomheds behandling af persondata, hvis de vurderer, at en sådan behandling ikke er i overensstemmelse med Persondataforordningen. Dette kan reelt betyde et stop for en virksomheds aktiviteter på både kort og lang sigt, da næsten alt aktivitet involverer behandling af persondata.

Udover at være kontrol- og tilsynsmyndighed fungerer Datatilsynet også som klageinstans i forhold til enkeltpersoner. Derudover står Datatilsynet til rådighed for enkeltpersoner, virksomheder, organisationer mv. i forhold til information og vejledning om datasikkerhed, lovgivning på området mm.

Det skal bemærkes, at Datatilsynet ikke længere er den eneste relevante myndighed i forhold til persondatalovgivning. Som udgangspunkt er det Datatilsynet, som håndterer de danske sager. I forbindelse med indførelsen af Persondataforordningen indføres imidlertid det såkaldte ”One stop shop”-princip. Det betyder kort fortalt, at hvis en virksomhed er etableret i flere lande inden for EU eller hvis en virksomhed foretager ”grænseoverskridende databehandling” (hvis man eksempelvis har udenlandske kunder eller leverandører), så skal der i en given sag være en ”ledende tilsynsmyndighed”.

 

Hovedvirksomhed

Det er placeringen af virksomhedens hovedvirksomhed, der afgør, hvem der bliver ledende tilsynsmyndighed. Hovedvirksomheden er som udgangspunkt det sted, hvor en virksomhed har sin centrale administration.

Hvis virksomhedens hovedvirksomhed ligger i Sverige, vil den ledende tilsynsmyndighed altså være det svenske datatilsyn. Det vil f.eks. sige, at hvis en kunde klager over en virksomhed i Danmark, som har sin hovedvirksomhed i Sverige, så vil det være de svenske myndigheder, som skal behandle klagen, medmindre klagen kun angår den danske afdeling eller kun er relevant for danskere. I så fald vil det være Datatilsynet, der som udgangspunkt er ledende tilsynsmyndighed.

Den ledende tilsynsmyndighed har imidlertid pligt til at inddrage andre relevante nationale tilsynsmyndigheder, så Datatilsynet vil under alle omstændigheder blive hørt i en sag, hvor en dansk virksomhed er involveret.

Sikkerhedsbrud

Hvis der sker et sikkerhedsbrud, f.eks. et hackerangreb eller at data ved en fejl lækkes på internettet, så er reglen som ved førstehjælp: Start med at standse ulykken. Derefter, eller sideløbende dermed, skal myndighederne i visse tilfælde orienteres og alle aspekter af sikkerhedsbruddet skal kunne dokumenteres.

Det afgørende for, om der er tale om et sikkerhedsbrud, som skal anmeldes er, om der sket kompromittering af persondata. Hvis man eksempelvis er udsat for et hackerangreb, hvor hackeren ikke får adgang til persondata, så er der ikke noget at anmelde.

Anmeldelse

Hvis persondata er blevet kompromitteret, skal myndighederne, det vil sige Datatilsynet, om muligt orienteres inden for 72 timer af den dataansvarlige. Man skal ikke hænge sig for meget i begrebet ”om muligt”, for der skal være en meget god grund til at udsætte anmeldelsen og den grund skal kunne forklares til Datatilsynet.

Hvis man ikke har mulighed for at aflevere alle oplysninger straks, er der mulighed for ved orienteringen at begrunde, hvorfor man ikke kan levere alle oplysninger og hvornår man forventer at kunne. For eksempel vil det ofte være svært at vurdere hvor mange, der er berørt af sikkerhedsbruddet.

En databehandler skal på samme måde orientere den dataansvarlige ”hurtigst muligt”. Begge dele baseres på tidspunktet for opdagelsen af sikkerhedsbruddet, ikke det aktuelle kompromitteringstidspunkt.

En anmeldelse af sikkerhedsbrud skal indeholde følgende oplysninger:

  • Kontaktoplysninger til relevant person i virksomheden
  • Beskrivelse af sikkerhedsbruddets karakter, herunder typer af data og om muligt antal berørte registrerede
  • Beskrivelse af sandsynlige konsekvenser ved sikkerhedsbruddet
  • Oplysning om hvordan sikkerhedsbruddet er eller forventes at blive håndteret

Det er meget tænkeligt, at Datatilsynet vil lave en internetbaseret anmeldelsesportal. Selvom man formodentlig ville kunne skrive frit ind i en anmeldelsesskabelon, er det vigtigt at have sin bagvedliggende skriftlige dokumentation i orden, så det skal tænkes ind i et beredskab, sammen med faste procedurer og ansvarsfordeling ved brud på sikkerheden.

Hvis sikkerhedsbruddet medfører høj risiko for de registreredes rettigheder eller frihedsrettigheder, så vil de registrerede skulle orienteres om bruddet uden unødig forsinkelse. På en letforståelig måde skal de registrerede have af vide, hvad der er sket, hvad konsekvenserne kan blive og hvad der er gjort og vil blive gjort for at rette op på situationen. Det vil være en fordel at kunne orientere de registrerede direkte, da alternativet er at skulle gøre det gennem offentlige medier.

 

Sanktioner

Hvis Datatilsynet bliver bekendt med overtrædelser af den nuværende Persondatalov har de en række sanktionsmuligheder. De kan uddele advarsler, udtale kritik af virksomheder, pålægge virksomheder at rette op på forholdene og endelig kan de politianmelde virksomheder, hvilket kan medføre bødestraf i henhold til Persondataloven.

Disse sanktionsmuligheder fortsætter under den nye forordning, men bødestraffene bliver skærpet i ekstrem grad. Den hidtil største bøde givet af det danske Datatilsyn har været på 25.000 kr.

Bødestørrelser

Under forordningen er der to kategorier af overtrædelser: I kategori 1 kan der uddeles bøder på op til enten 10 mio. euro eller op til 2 % af en virksomheds globale omsætning, alt efter hvad der er højest. I den anden kategori er bødestørrelsen op til 20 mio. euro eller op til 4 % af omsætningen, igen alt efter hvad der er højst. Kategorierne kan ses i artikel 83 i persondataforordningen.

I modsætning til andre europæiske datatilsyn kan det danske datatilsyn ikke selv pålægge virksomheder bøder. Datatilsynet skal derimod politianmelde en virksomhed, hvilket imidlertid i sig selv kan opfattes som en form for straf, da anmeldelsen kan føre til offentligt omdømmetab for virksomheden, uanset om anmeldelsen ender med en bøde eller ej.

Andre konsekvenser

Omdømmetab er generelt et vigtigt element i forhold til, hvad der kan ske med en virksomhed, hvis den ikke overholder forordningen. Dels kan virksomheden for eksempel i kundernes øjne stå dårligt, hvis der eksempelvis sker tab af data eller en fejlagtig offentliggørelse af data på internettet. En række af Datatilsynets sanktionsmuligheder er direkte forbundet med omdømmetab.

Når Datatilsynet udtaler kritik, sætter de reelt virksomheden i gabestok, idet kritikken offentliggøres på Datatilsynets hjemmeside. Det er mere end nogensinde nødvendigt for virksomhederne at være opmærksom på det omdømmetab, som en manglende overholdelse af forordningen kan medføre, uanset om det er på grund af Datatilsynets indgriben eller f.eks. medarbejdere, kunder og leverandørers opmærksomhed.

Udover de konkrete sanktioner fra Datatilsynet og konsekvenserne af omdømmetab ved manglende overholdelse af forordningen, skal virksomhederne også være opmærksomme på, at f.eks. kunder har mulighed for at indgå i et civilt gruppesøgsmål. Udover at være blevet sat i gabestok og have modtaget en stor bøde, kan virksomheden altså blive sagsøgt og risikere at miste endnu flere penge og endnu mere omdømme, hvis virksomheden ikke har overholdt forordningen og er kommet galt afsted, hvad enten der er tale om et hændeligt uheld eller f.eks. et hackerangreb.

 

Danmark kan endvidere selv tilføje yderligere sanktionsmuligheder i den danske implementering af forordningen. Dette forventes at blive afgjort i 2. halvdel af 2017.

 

Du kan få hjælp til at påbegynde arbejdet, ved at udarbejde en beredskabsplan eller få foretaget et sikkerhedsgennemsyn ved at kontakt PersondataSupport. Ring uforpligtende til Per på 23315014 eller skriv en mail til kontakt@pds.as