23948sdkhjf
  • {{ window.visitor.ipAccess.corporateClient.name }}

  • Velkommen til dit abonnemnt

    Klik videre for at tilpasse dine præferencer og få adgang til de emner og nyheder, der er mest relevante for dig.

  • Kom til dit overblik
Log ind eller opret for at gemme artikler
Få adgang til alt indhold på Motor-magasinet
Ingen binding eller kortoplysninger krævet
Prøv Motor-magasinet nu
Gælder kun personlig abonnement.
Kontakt os for en virksomhedsløsning.

Millionbøde efter brud på GDPR-reglerne

De nye regler om beskyttelse af personoplysninger har nu været i kraft i et års tid, og Datatilsynet har besøgt flere virksomheder. Især en virksomhed fik ørerne i maskinen.
Af Karoline Thomsen

JURA Datatilsynet har på baggrund af et tilsynsbesøg meddelt alvorlig kritik af en virksomhed i møbelbranchen. Virksomheden havde ikke overholdt kravene om at kunne dokumentere sine procedurer for sletning af personoplysninger i virksomhedens rekrutterings- og HR-system. Datatilsynet påtaler i den konkrete sag også en række andre forhold, herunder manglende sletning af kundeoplysninger.

Datatilsynet udtalte både alvorlig kritik og indstillede virksomheden til en bøde på kr. 1,5 millioner.

Virksomhedens procedurer for sletning af oplysninger i rekrutteringssystemet samt HR-system bestod i en manuel sletning af oplysninger samt et månedligt dobbelttjek af, at de relevante oplysninger var blevet slettet.

Procedure ikke nedskrevet
I virksomheden var der ikke nedskrevne procedurer for opfølgning på sletning af personoplysninger, men der var tale om faste processer, som virksomheden tilkendegav at den fremover ville indskrive i de eksisterende procedurer.

Selv om virksomheden havde en proces, hvor der blev fulgt op på, om sletning var sket korrekt, havde den ikke i tilstrækkelig grad nedskrevet og dermed dokumenteret sin procedure.

Som virksomhed og dataansvarlig for et rekrutterings- og HR-system har man pligt til at sikre sig, at der fastsat procedurer for sletning af personoplysninger fra systemerne.

En sletteprocedure for et givent system skal tage udgangspunkt i et flow, der følges fra det tidspunkt, hvor en personoplysning når sin slettefrist, til sletningen er foretaget og bekræftet i systemet. En sletteprocedure bør indeholde både tekniske og organisatoriske overvejelser, da der i forbindelse med sletning løbende udføres både tekniske og organisatoriske handlinger.

Organisatoriske overvejelser kan eksempelvis være at tage stilling til:

• hvordan virksomheden løbende undersøger systemerne for oplysninger, der har nået sin slettefrist

• hvem der er ansvarlig for, at sletningen sættes i gang

• hvordan virksomheden følger op på, at sletningen er foretaget

• hvordan virksomheden dokumenterer, at sletningen er fuldført.

Tekniske overvejelser kan eksempelvis være, at virksomheden forholder sig til, om sletningen skal ske automatisk eller manuelt, samt hvilke konkrete datafelter i et system, der vil blive påvirket af sletningen og på hvilken måde.

For hvert system, virksomheden anvender til at behandle personoplysninger, vil der ofte være behov for at fastsætte sletteprocedurer. Dog vil overvejelserne nævnt ovenfor ofte kunne genanvendes for flere af systemerne og behandlingerne, hvilket kan lette arbejdet med at fastlægge procedurerne.

Udtaler alvorlig kritik
For at sikre, at sletningen er sket korrekt, og at der ikke fortsat behandles personoplysninger, der burde være slettet, bør en dataansvarlig også fastsætte en procedure, der følger op på sletningen.

Proceduren kan eksempelvis indeholde gennemgang af tekniske logs fra slettekørsler eller udtræk af data, der ifølge slettefristen burde have været slettet, til manuel gennemgang, o.l.

I den konkrete sag påtaler Datatilsynet også en række andre forhold om blandt andet manglende sletning af kundeoplysninger.

Om disse forhold har Datatilsynet dels udtalt alvorlig kritik, dels indstillet til en bøde på kr. 1,5 mio. kr.

Sagen er et godt eksempel på, at det ikke er nok, at man gør tingene korrekt og rent fysisk sletter personoplysningerne, men man skal også dokumentere, at man gør tingene korrekt.

Man kan kort sagt sige, at hvad der ikke er dokumenteret er heller ikke gjort. Sagen viser også at virksomheder skal udarbejde en procedure for sletning af personoplysninger, og den skal som udgangspunkt være skriftlig. Det skal også fremgå, hvordan virksomheden følger op på, at sletning har fundet sted - dvs. at virksomheden skal kontrollere sig selv og sine procedurer.

At trække GDPR-kortet
I Bilbranchen har vi set eksempler på sager, hvor utilfredse kunder "trækker GDPR-kortet" enten i form af anmodning om sletning af oplysninger om kunden eller med det formål at få bilforhandler eller værksted til at udlevere interne tekniske oplysninger om en bil eller en reparation.

Kunderne har efterfølgende klaget til Datatilsynet. Ud over at det påfører bilforhandleren en del bekymring og tidsforbrug, er der dog ikke faldet bøder i de sager, Bilbranchen har kendskab til.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

BREAKING
{{ article.headline }}
0.141|