DEL 1: Databeskyttelsesforordningen og praksis for bødestørrelser

Som en del af den nye persondataforordning, nu kaldet databeskyttelsesforordningen, er bøderammen en væsentlig skærpelse, men hvor store bøder risikerer organisationer at få og hvad skal man gøre for at minimere en eventuel bøde?

Denne blog tager udgangspunkt i artikel 32 – behandlingssikkerhed – og om hvad der egentlig skal til for der forekommer en sikkerhedsbrist der omfatter persondata (Eng: ”PII”).

Dette står klart i definition 12: ”Et brud på sikkerheden, der fører til hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet”.

Opstår der et sådant brud og bliver organisationen opmærksom på dette, så træder notifikationspligten i kraft. Notifikationspligten er specificeret i artikel 33+34 og betyder blandt andet at der skal gives en meddelelse om bruddet til myndighederne, via www.virk.dk . Hvis der er tale om tab af særligt følsomme data, så er der også underretningspligt direkte til datasubjektet.

I formularen til oplysningspligten skal organisationen indberette en række oplysninger (Se vores BLOG ”hvad skal du oplyse på myndighederne om ved et sikkerhedsbrud”). Hvis du ikke kan indberette disse oplysninger, skal du give Datatilsynet information om hvorfor du ikke har de pågældende oplysninger og meddele hvornår du vil kunne fuldføre oplysningspligten. Kan du ikke det, og er der tale om et væsentligt sikkerhedsbrud der omfatter mange persondata og evt. særligt følsomme persondata, så kan der blive tale om en bødestraf.

Bøderammen er maksimalt på 2 % af årsomsætningen eller 75 millioner kroner (afhængig af hvad der er størst) ved overtrædelse der omfatter persondata og det dobbelte hvis der er tale om særligt følsomme personoplysninger. Offentlige myndigheder står til at kunne få en bøde på fire procent af driftsbevillingen, dog maksimalt op til 16 millioner kroner.

Artikel 29 gruppen har forfattet et dokument ”Retningslinjer vedrørende anvendelse og fastsættelse af administrative bøder i overensstemmelse med forordning (EU) 2016/679” som kan findes hos Datatilsynet

I dette dokument fastslås det at:

  • Datatilsynet skal sikre ensartet anvendelse og håndhævelse af databeskyttelsesforordningen
     
  • Som alle korrigerende foranstaltninger, tilsynsmyndighederne vælger, bør administrative bøder "være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning"
     
  • Det vigtige er, at bøder ikke anvendes som sidste udvej, eller at man undlader at udstede bøder, men de bør på den anden side heller ikke bruges således, at de mister deres effektivitet som et værktøj
     
  • Pågældende behandlings karakter, omfang eller formål samt antal registrerede, der er berørt, og omfanget af den skade, som de har lidt", afgør overtrædelsens alvor
     
  • Følgende faktorer bør vurderes i kombination, f.eks. antallet af registrerede kombineret med den mulige indvirkning på dem: 
  1. Antallet af berørte registrerede bør vurderes for at konstatere, om der er tale om en enkeltstående hændelse, eller om der er tale om en mere systemisk overtrædelse eller mangel på tilstrækkelige rutiner
     
  2. Behandlingens formål skal også tages i betragtning. (formålsangivelse og kompatibel anvendelse)
     
  3. Hvis de registrerede har lidt skade, skal omfanget af skade tages i betragtning. Behandling af personoplysninger kan medføre risici for en persons rettigheder og frihedsrettigheder
     
  4. Overtrædelsens varighed kan være en følge af f.eks.:

a) bevidst adfærd fra den dataansvarliges side eller

b) manglende iværksættelse af passende forebyggende foranstaltninger eller

c) manglende kapacitet til at iværksætte de nødvendige tekniske og organisatoriske foranstaltninger.

 

  • Der er generel enighed om, at forsætlige overtrædelser, som udviser foragt for lovgivningens bestemmelser, er alvorligere end uagtsomme overtrædelser og derfor med større sandsynlighed fører til anvendelsen af en administrativ bøde
     
  • Virksomheder bør være ansvarlige for at vedtage strukturer og afsætte ressourcer, som er passende i lyset af deres virksomheds karakter og kompleksitet. Dataansvarlige og databehandlere kan følgelig ikke legitimere overtrædelser af databeskyttelseslovgivningen med påstande om manglende ressourcer. Rutinerne for og dokumentationen af behandlingsaktiviteter skal i henhold til databeskyttelsesforordningen følge en risikobaseret tilgang

Det nævnes endvidere i dette dokument at ”Vurderingen af den dataansvarliges eller databehandlerens grad af ansvar i forhold til at anvende en hensigtsmæssig korrigerende foranstaltning kan omfatte følgende spørgsmål”:

  • Har den dataansvarlige gennemført tekniske foranstaltninger, som lever op til principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger (artikel 25)?
     
  • Har den dataansvarlige gennemført organisatoriske foranstaltninger, som gennemfører principperne om databeskyttelse gennem design og databeskyttelse gennem standardindstillinger (artikel 25) på alle niveauer i organisationen?
     
  • Har den dataansvarlige/databehandleren sikret et tilstrækkeligt sikkerhedsniveau (artikel 32)?
     
  • Kendes og anvendes relevante databeskyttelsesrutiner/-politikker på et passende ledelsesniveau i organisationen (artikel 24)?

Her henvises også til at vurderingen af forseelsen indkalkulerer brugen af bedste praksis og gældende industristandarder. Endvidere vurderes om der er tale om gentagne overtrædelser eller manglende efterlevelse af påbud fra datatilsynet, og graden af samarbejdet med myndighederne for at overholde og korrigere rutiner efter påbud, og mindske de negative konsekvenser af overtrædelser af forordningen. Desuden vurderes det om den dataansvarlige/databehandler har handlet skødesløst uden at anmelde dette eller uden at anmelde alle detaljer om overtrædelsen.

Rent lavpraktisk har Allan Frank fra Datatilsynet i ”Version 2” den 20. marts 2018 udtalt at: ”Den primære sanktion bliver påtale, grove irettesættelser og påbud, når virksomheder overtræder databeskyttelsesreglerne. Muligheden for de store bøder er der, men det er ikke det, der er det væsentligste. I vores optik er det mere effektivt at indgå i fornuftig dialog med virksomhederne, end at de skal betale en bøde, som de måske ikke lærer noget af”.

Der lægges formegentlig op til en praksis hvor Datatilsynet først og fremmest arbejder med påtaler og påbud om korrigerende handlinger og tiltag. I grovere tilfælde eller ved manglende efterlevelse får datatilsynet beføjelser til at udstede bøder direkte hvor der er tale om ”helt oplagte og ukomplicerede sager”. Herefter vil der være tale om en overdragelse af afgørelsen om større bøder/straf via retssager som jo afgøres (med en ”vis” ventetid) ved domstolene.

 

Draware kan hjælpe dig med følgende praksis for at vise tilstrækkelig efterlevelse af databeskyttelsesforordningen:

  1. Lav en analyse af den nuværende behandlingssikkerhed for at vurdere om den er tilstrækkelig
    >> Se Drawares GAP Analyse (Dansk IT-Sikkerhedsbarometer™) og vores Sikkerhedsprofil
     
  2. Lav en prioriteret plan for at opnå den ønskede behandlingssikkerhed
     
  3. Dokumenter den valgte behandlingssikkerhed ved at gennemføre kontroller efter bedste praksis
    >> Se Drawares GAP Analyse (Dansk IT-Sikkerhedsbarometer™) og vores Kontroprofil 
     
  4. Gennemfør en praktisk risikovurdering for at dokumentere relevant behandlingssikkerhed
    >> Se Drawares GAP Analyse (Dansk IT-Sikkerhedsbarometer™) og vores Risikoprofil 
     
  5. Sørg for at involvere ledelsen og organisationen
    >> Se Drawares GAP Analyse (Dansk IT-Sikkerhedsbarometer™) og vores Ledelsesprofil / Organisationsprofil

 

 

COM_EASYBLOG_PREV_RECIPE
COM_EASYBLOG_NEXT_RECIPE
 

Comments

No comments made yet. Be the first to submit a comment
Already Registered? Login Here
Guest
Saturday, 30 May 2020