Få gode råd til det videre arbejde med GDPR

10/07/19

Databeskyttelsesforordningen (GDPR) har haft årsjubilæum, og for mange virksomheder er det nu tid til refleksion. Tiden op til den 25. maj 2018 bød på hektisk udarbejdelse af dokumentation og implementering af kontrolmiljøer, og de fleste er i dag overgået til et driftsfokus og har implementeret det udarbejdede kontrolmiljø i reelle aktiviteter og processer. Få en række gode råd til, hvordan I fortsat kan optimere og udvikle arbejdet med GDPR.

Forordningen er uden tvivl en god anledning til at få ryddet op, forbedret og forenklet forretningsgange, ligesom den kan bruges som en løftestang, når det gælder om at sikre en bedre styring af data på virksomheden. Og faktisk bør den praktiske implementering fortsætte uformindsket, da Datatilsynet har udvidet og øget sin tilsynsaktivitet markant efter den 25. maj 2018.

Behandlingssikkerhed og sletning

For tiden undersøges områder, som private virksomheder i særdeleshed kan have svært ved at løfte i praksis, nemlig sletning og behandlingssikkerhed. Sletning går ud på, at personoplysninger skal fjernes fuldstændigt fra systemer, når det forretningsmæssige formål er udløbet. For at sletning kan siges at være opfyldt, skal det forretningsmæssige formål og udløbsperioden begge være definerede og dokumenterede. Sletning kan også opfyldes ved, at man i stedet for at slette selve personoplysningerne, anonymiserer de dele som gør, at en person kan identificeres. Behandlingssikkerhed handler om, hvordan man som virksomhed undgår at have databrud, og om man har betryggende og dokumenterede processer på plads i forhold til den praktiske varetagelse af it-sikkerhed.

På baggrund af disse tilsyn, har Datatilsynet i dette forår foretaget to politianmeldelser, som nu afventer, at politiet rejser sigtelse. Politianmeldelserne har – ud over de bødemæssige implikationer – stærke omdømmemæssige konsekvenser og kan lede til kundeflugt.

Det skal her bemærkes, at bødestørrelsen ikke nødvendigvis er endelig, da sigtelserne fra anklagemyndigheden skal for en domstol, og dommen skal afsiges, før den er endelig.

Datatilsynets to politianmeldelser

De to konkrete sager handler om manglende sletning af persondata, samt i det ene tilfælde mangel på et gyldigt grundlag til behandlingen af personoplysninger. I begge tilfælde var der også problemer med dataminimering, dvs. der blev brugt for meget data i forhold til de forretningsmæssige formål, der skulle opfyldes.

Tilsynet fandt hos et møbelfirma, at de ikke overholdt kravene til opbevaringsbegrænsning (dvs. sletning) og havde opbevaret personoplysninger i længere tid, end hvad der var nødvendigt. I den forbindelse kunne virksomheden heller ikke påvise ansvarlighed, da slettefristerne ikke var beskrevet og dokumenteret i forhold til det pågældende it-system.

Dette har resulteret i en indstilling til en bøde på 1,5 mio. kr. for manglende sletning af oplysninger om ca. 385.000 kunder. Herudover har Datatilsynet udtalt alvorlig kritik af virksomhedens efterlevelse af forordningen.

I den anden sag blev et taxaselskab tidligere på året ligeledes indstillet til en bøde på 1,2 mio. kr. for manglende overholdelse af kravene til sletning. Dette skyldtes særligt, at virksomheden i utilstrækkelig grad havde anonymiseret personoplysninger, efter det forretningsmæssige formål for at bruge data var udløbet. Således blev navne i systemerne anonymiseret, mens telefonnummer fortsat blev brugt som nøgle til at knytte oplysninger sammen i systemerne. Herudover brugte og opbevarede virksomheden personoplysninger i længere tid end de frister, de selv havde fastsat, dvs.  uden et gyldigt formål, og der var ikke udpeget en tilstrækkelig hjemmel i lovgivningen. Som hos møbelfirmaet fandt Datatilsynet, at taxaselskabet ikke kunne påvise ansvarlighed, da slettefristerne ikke var beskrevet og dokumenteret i virksomhedens systemer og processer, og tilsynet udtalte alvorlig kritik af virksomhedens efterlevelse.

Disse tilfælde viser uden tvivl, hvor svært det kan være at sikre opbevaringsbegrænsning og dataminimering.

Det er derfor vigtigt, at man som ejer eller leder stiller sig selv eller kollegerne følgende spørgsmål:

  • Kan det ske for os, at vi ikke overholder slettefrister?
  • Er der andre databeskyttelsesområder, som vi ikke er i kontrol med?
  • Er vi sikre på, at vi har et gyldigt formål til dét, vi bruger personoplysninger til?
  • Ved vores medarbejdere, hvad de må, og efterleves gældende interne regler?
  • Har vi slettefrister i vores systemer, og virker de?
  • Er vi sikre på, at personoplysninger er blevet korrekt anonymiseret?

Det er vigtigt her at nævne, at sletning blot er ét blandt flere krav.

PwC anbefaler, at I undersøger ovenstående og udfordrer de kutymer eller vaner, der måtte være. Fx om det i forretningsprocesser er nødvendigt at gemme personoplysninger i længere tid, og/eller om man har et formål med alle personoplysninger, som man bruger. I kan også forhøre jer i it-afdelingen, om data virkeligt bliver slettet/anonymiseret, eller om det blot er skjult for en almindelig bruger.

I tillæg bør I fortrinsvis prøve at følge disse tommelfingerregler:

  • Byg automatiske processer til sletning.
    Hvis det ikke er muligt at have automatiske processer, så indarbejd manuelle sletteprocesser i et årshjul og kontrollér deres efterlevelse med periodevis stikprøvekontroller.
  • Oprethold oversigter (logs) over, hvornår der er blevet slettet, efter hvilke kriterier og i hvilke systemer.
    Undgå at bruge direkte personoplysninger som nøgle i nye systemer. Brug hellere et løbenummer eller en hash-værdi.
  • Hvis I benytter jer af anonymisering i stedet for sletning, så kontrollér, at anonymiseringen er foregået fuldt ud, og at der ikke er andre egenskaber/tilknytninger, som gør oplysningerne identificerbare igen.

Opsummering

Husk at opbevaringsbegrænsning er et fast krav i Databeskyttelsesforordningen og de dage, hvor personoplysninger kunne få lov til at samle støv i systemer, er endegyldigt ovre. Som de to nævnte sager viser, kan det have betydelige konsekvenser, hvis sletning ikke bliver overholdt. Dermed er det i stigende grad vigtigt at sætte krav til sletning og dataminimering ved nyanskaffelse og videreudvikling af processer/systemer.

 

Kontakt os

Følg PwC