– Jeg forstår det ikke!
Nyhederne har skrevet om Skatteguiden, og 45.401 personer, har i følge skatteguidens hjemmeside, givet Skatteguiden adgang til meget følsomme oplysninger.
Læs videreSkatteguiden ApS beder om dine følsomme oplysninger
5. gode råd om slettefrister og GDPR
– Hvor længe vil/må du opbevare persondata?
Et spørgsmål som alle der arbejder med GDPR, skal forholde sig til!
- 1 uge
- 1 måned
- 1, 5 eller 10 år
Gode råd når du vil optage telefonsamtaler.
Virksomheder kan have forskellige grunde til, at de gerne vil optage indkomne telefonsamtaler. Grundlæggende ser jeg to overordnede formål:
- Til træning – uddannelse
- Som bevis – dokumentation
Nyt om Privacy Shield-afgørelsen
Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.
EU-Domstolen har for nylig truffet en afgørelse om overførsel af personoplysninger til lande uden for EØS. I dommen når EU-Domstolen bl.a. frem til, at Privacy Shield-afgørelsen, som har stor betydning for overførsler til USA, er ugyldig. Det har skabt megen usikkerhed.
Vi har fået lidt hjælp.
Den 10. november 2020 har Det Europæiske Databeskyttelsesråd vedtaget to dokumenter, som er helt grundlæggende, når vi skal overføre personoplysninger til lande uden for EØS. Det drejer sig om:
- Anbefalinger om 4 europæiske væsentlige garantier. De er endeligt vedtaget og
- Anbefalinger om supplerende foranstaltninger. De skal i offentlig høring inden endelig vedtagelse.
DE 4 EUROPÆISKE VÆSENTLIGE GARANTIER
Som tredjelandene, herunder USA anbefales at opfylde, er beskrevet her, men vi har endnu ikke Kommissionens ord for, om USA har en lovgivning, der opfylder disse 4 garantier, så det er op til os selv at vurdere, dels om vi vil følge anbefalingerne, og dels om vi anser anbefalingerne for overholdt i lovgivningen i tredjelandet, f.eks. i USA.
Hvilke er så de 4 krav/garantier?
A. Behandling bør baseres på en lovgivning med klare, præcise og tilgængelige regler.
Der skal være f.eks. en overvågningslovgivning i tredjelandet, f.eks. i USA, der skal beskrive de konkrete formål med lovgivningen. Overvågning kan kun ske med den berørte persons samtykke eller et andet legitimt grundlag, der er fastlagt ved lov. Loven skal beskrive rækkevidden og anvendelsen af den pågældende overvågning/foranstaltning. Lovgivningen skal indeholde minimumsgarantier, en definition af de kategorier af mennesker, der kan være underlagt overvågning, en begrænsning af overvågningens/foranstaltningens varighed, den procedure, der skal følges for undersøgelse, brug og opbevaring af de opnåede data og de forholdsregler, der skal træffes, når de videregiver dataene til andre parter.
Overvågningen skal være forudsigelig med hensyn til dens virkning for den enkelte for at give ham / hende tilstrækkelig og effektiv beskyttelse mod vilkårlig indblanding og risikoen for misbrug, dvs. loven i tredjelandet/USA skal være tilstrækkelig klar til at give borgerne en tilstrækkelig indikation af, under hvilke omstændigheder og på hvilke betingelser offentlige myndigheder har beføjelse til at anvende sådanne foranstaltninger.
B. Nødvendigheden og proportionaliteten med hensyn til de forfulgte legitime mål skal påvises.
Rettighederne til privatlivets fred og databeskyttelse kan kun begrænses, hvis det er nødvendigt og virkelig opfylder mål af almen interesse anerkendt af Unionen eller behovet for beskytte andres rettigheder og friheder. Der skal foretages en afvejning af alvoren i at begrænse rettighederne til privatlivets fred og databeskyttelse over for behovet for det offentliges interesse i f.eks. overvågningen f.eks. pga. en alvorlig trussel mod den nationale sikkerhed.
Lovgivning i et tredjeland, der ikke angiver nogen begrænsninger i den beføjelse, den tillægger at gennemføre overvågningsprogrammer med henblik på udenlandsk efterretningstjeneste, kan ikke sikre et beskyttelsesniveau, der i det væsentlige svarer til kravene i proportionalitetsprincippet.
Lovgivninger “som generelt bemyndiger lagring af alle personoplysninger om alle de personer, hvis data er overført fra Den Europæiske Union (…) uden nogen differentiering , begrænsning eller undtagelse foretages i lyset af det forfulgte mål og uden, at der er fastlagt et objektivt kriterium, hvormed man kan bestemme grænserne for de offentlige myndigheders adgang til dataene og efterfølgende anvendelse til formål, der er specifikke, strengt begrænset og i stand til at retfærdiggøre den indblanding, som både adgang til dataene og deres anvendelse medfører ”, er ikke i overensstemmelse med dette princip
C. Der bør eksistere en uafhængig tilsynsmekanisme a la det danske datatilsyn
Enhver indblanding i retten til privatliv og databeskyttelse skal være underlagt et effektivt, uafhængigt og upartisk tilsynssystem, der skal sørges for enten af en dommer eller af et andet uafhængigt organ (f.eks. en administrativ myndighed som et Datatilsyn eller et parlamentarisk organ).
Der skal også tages hensyn til den faktiske drift af aflytningssystemet, herunder kontrol og balance mellem magtudøvelse og eksistens eller fravær af faktisk misbrug, og et tilsyn der dækker alle de enkelte overvågningsforanstaltninger.
I tilfælde af berettiget hastværk kan overvågningen/ foranstaltningerne finde sted uden en forudgående gennemgang af tilsynsmyndigheden. Der kræves dog stadig, at den efterfølgende revision finder sted inden for kort tid.
D. Effektive retsmidler skal være tilgængelige for den enkelte
Den endelige europæiske væsentlige garanti er knyttet til personens klageadgang. Der skal være et effektivt middel til at gennemføre personens rettigheder, når personen mener, at de ikke er blevet respekteret.
F.eks. ved indsamling af trafik- og lokaliseringsdata i realtid, er meddelelse til de registrerede personer nødvendig for at gøre det muligt for dem at udøve deres rettigheder, men det er på den anden sige også ok, at underretning kun sker i det omfang, og på det tidspunkt, hvor underretning ikke længere bringer de opgaver, som disse myndigheder er ansvarlige for, i fare.
En domstol eller et andet upartisk organ tilbyder tilstrækkelige klagemuligheder, hvis den opfylder en række kriterier for at være et uafhængigt og upartisk organ, og som ikke kræver en bevismæssig byrde, der skal overvindes for at indgive en klage til den.
Domstolens eller organets uafhængighed skal sikres, især fra den udøvende magt, med alle nødvendige garantier, herunder med hensyn til dets betingelser for afskedigelse eller tilbagekaldelse af udnævnelsen,
Konklusion
Vurderingen af tredjelandsovervågningsforanstaltningerne kan føre til to konklusioner:
- Den omhandlede tredjelandslovgivning garanterer ikke de 4 væsentlige garantier: i dette tilfælde vil tredjelandslovgivningen ikke tilbyde et beskyttelsesniveau, der i det væsentlige svarer til det, der er garanteret i EU.
- Den omtvistede tredjelandslovgivning opfylder alle 4 garantier.
- Ved vurderingen af tilstrækkeligheden af beskyttelsesniveauet i henhold til artikel 45 i GDPR bliver Kommissionen nødt til at evaluere, om de 4 garantier er opfyldt som en del af de elementer, der skal overvejes for at garantere, at tredjelandslovgivningen som helhed tilbyder et beskyttelsesniveau, der i det væsentlige svarer til den, der er garanteret i EU.
Denne artikel er skrevet af advokat Wivi H. Larsen (H), Ret&Råd advokaterne Glostrup Ballerup Greve og partner og bestyrelsesformand i Lexoforms A/S.
Læs videreMå man opfordre kunder til at sende følsomme data via en ukrypteret forbindelse?
I november 2019 skrev jeg artiklen Reglerne omkring sikker mail er skærpet af Datatilsynet, der beskriver de forskellige måder, til at sende mails på en sikker måde. Der beskrives også, hvordan du som afsender skal kunne dokumentere, at du sendte mail’en på en sikker måde.
Dette er faktisk en udfordring, da mail systemer som Office 365 og Google Workspace kun tilbyder såkaldt opportunistisk TLS, hvor man indstiller sine mailservere til at sende TLS, hvis det er muligt. Hvis modtagerens server (eller en af de servere mailen passerer undervejs) IKKE understøtter TLS, sendes e-mailen alligevel – ukrypteret.
Så konklusionen er stadig, at afsendelse af mails med personfølsomme oplysninger kræver et “tillæg” til den normale løsning. Dette sikrer, at hvis ikke modtagerens posthus kan kommunikere sikkert (TLS), sendes mail’en ikke. Den fremsendes så på en anden sikker måde, som du kan læse mere om her.
Der har dog været usikkerhed om, hvordan man er stillet, når man modtager uopfordrede personfølsomme mails.
Så retur til artiklens emne.
Må man opfordre kunder til at sende følsomme data via en ukrypteret forbindelse?
Nej, det må du ikke, er det korte svar. Hvis du beder om, at der sendes fortrolige oplysninger, skal du tilbyde en løsning, der sikrer at kommunikationen mellem posthusene er sikret på samme måde som beskrevet i denne artikel.
Må en kunde uopfordret sende fortrolige oplysninger?
Det er kundens valg. Datatilsynet skriver
Som myndighed eller virksomhed er man derimod ikke ansvarlig for forsendelsesmåden, hvis borgeren uopfordret sender oplysninger af fortrolig eller følsom karakter via en ukrypteret forbindelse, eller hvis borgeren – til trods for en opfordring til at sende oplysningerne krypteret – alligevel anvender en usikker forsendelsesmåde.
Kilde: Datatilsynet
Så det nye er, at Datatilsynet nu bekræfter, at det er kundens valg, om han vil sende fortrolige oplysninger, uden at transmissionen er krypteret.
Hvor langt går mit ansvar?
Som afsender af mails, anses du for at være dataansvarlig, fra du afsender mailen til den modtages på kundens mailserver. Hvis kunden har valgt at oprette en mail på en usikker server, er det ikke dit ansvar.
Du skal dog huske, at som dataansvarlig er det altid dit ansvar, hvad der sker på din ”mailserver” Hvad enten du selv driver den internt eller har en mail udbyder som for eksempel Microsoft O365 eller Google Workspace.
Læs videreSamtykke billeder af ansatte
Den “personlige” virksomhed, har ofte billeder af sine ansatte på hjemmesiden. Jeg syntes faktisk det er god service, at jeg kan finde oplysninger om en ansat, hvis jeg lige har haft kontakt til virksomheden. Ofte kan man finde folk på Linkedin, men jeg syntes det giver virksomheden en mere personlig profil, hvis de ansattes billeder er på hjemmesiden. Det er jo mennesker, der handler med mennesker.
Hvad er udfordringen?
At du skal have samtykke af den ansatte, før du må sætte billedet på hjemmesiden. Samtykker kan tilbagekaldes, så du dermed skal slette billederne på hjemmesiden.
DMR A/S (Dansk Miljørådgivning) glemte dette, og fik en bøde af Datatilsynet for manglende sletning af billeder, YouTube videoer, og Facebook opslag.
Model samtykke?
Hvis dit samtykke ikke beskriver, at du godt må bruger de Youtube videoer, eller Facebook opslag, øvrig marketing materiale som virksomheden har produceret, måske med personen om centrum, eller bare i rummet, ja så skal du fjerne personen. Dette kan jo nemt betyde hele indholdet. Det er da rigtig ærgerligt, hvis man lige har produceret noget godt marketing, trænings materiale, som nu blot kan destrueres.
- Link til Datatilsynets afgørelse over manglende sletning fra juni 2020.
- Artiklen er inspireret af dialog med Kim Jensen, CEO og Partner hos Lexoforms.
Hvem modtager besked hvis din databehandler har en sikkerhedsbrist?
Som jeg tidligere har skrevet, skal du føre: Tilsyn med Databehandlere.
Læs videreHvad betyder EU’s dom om at Privacy Shield er ugyldigt?
D. 16 juli 2020 afsagde EU-Domstolen dom i den såkaldte Schrems II-sag. Domstolen erklærede ”Privacy Shield-afgørelsen” ugyldig, mens EU-Kommissionens standardkontrakter som udgangspunkt fortsat er gyldige. Dommen rejser således en række spørgsmål, der skal undersøges nærmere. Det Europæiske Databeskyttelsesråd drøftede konsekvenserne af dommen d. 17 juli 2020.
Læs videreHvordan laver jeg en Risikovurdering
Med indførelsen af persondataforordningen, er det nu et krav, at man som dataansvarlig skal lave en risikovurdering.
Riskovurderingen bliver grundlaget for hvilke sikkerhedsforanstaltninger, der skal implementeres, og vil også blive brugt i forbindelse med tilsyn af databehandleren.
Læs videreSkal jeg føre tilsyn med mine Databehandlere?
25 maj 2018 var en skelsættende dag for danske virksomheder. GDPR blev indført i Danmark, ja i hele EU.
Læs videreLæs Datatilsynets årsberetning for 2019
Datatilsynet har offentliggjort deres årsberetning for 2019, der bl.a. omtaler væsentlige afgørelser i løbet af året.
Årsberetningen giver også et indblik i Datatilsynets virksomhed igennem 2019 og dykker ned i en række konkrete sager, der er blevet behandlet af Datatilsynet.
Du kan hente den her hos Datatilsynet
Læs videreSådan overholder du automatisk GDPR slette regler på mailbokse
Overholdelse af sletteregler er jo tydeligt et område, som Datatilsynet har fokus på. Det er jo nemt at skrive, at man vil slette data efter en bestemt periode, men det betyder så også, at man skal sikre sig, at det sker.
Læs videreDatatilsynet har nye retningslinjer for behandling af personoplysninger til hjemmeside ejere.
Datatilsynet har d. 17 februar 2020 frigivet en vejledning, hvor man har taget stilling til behandling af personoplysninger om hjemmesidebesøgende.
Vejledningen gør, at flere områder nu er præciseret, og man giver også mange gode eksempler deri.
Læs videreReglerne omkring sikker mail er skærpet af Datatilsynet.
Datatilsynet har netop skærpet reglerne omkring sikker email. Det betyder, at mange nu er nødt til at checke deres løsning og sikre, at de lever op til de skærpede krav om kryptering.
Læs videreHvorfor kan en scanner være et GDPR problem?
Jeg har oplevet hos flere mindre kunder, at de har en printer, der også kan scanne. Man scanner et dokument, der sendes som PDF via email.
Ofte har man denne løsning, så hver enkelt ansat ikke skal have sin egen scanner.
Læs videreEU-dom: Hjemmesider med Facebook Like-knap gør dig til dataansvarlige.
I følge en EU dom kan ejere af hjemmesider med implementeret Facebook Like knap, blive data- og GDPR ansvarlige. Det er EU der har afsagt en dom. Det gælder også andre sociale “like” knapper som på Twitter og Linkedin.
Læs videreHvad spørger Datatilsynet om på tilsyn?
Datatilsynet har fået mange henvendelser omkring tilsyn, så de har valgt at offentligtgøre 3 typer spørgeskemaer, som de benytter ved tilsyn.
Læs videreDet svenske Datatilsyn indleder tilsyn mod Google
Det svenske datatilsyn har modtaget en anmeldelse på Google fra det Svenske forbruger råd.
Læs videreHvad spørger datatilsynet om ved et tilsyn?
I den forløbne uge begyndte der og florere kopiere af dokumenter som Datatilsynet havde brugt ved nogle tilsyn.
Læs videreGode råd om krav om email kryptering
Fra d. 1 januar 2019 skal du anvende kryptering ved email kommunikation. Det har datatilsynet skrevet om d. 23 juli 2018 i en pressemeddelse, og d. 21 september udsendte de Transmission af personoplysninger via e-mail
Læs videre