DATATILSYN En morgen hørte jeg i nyhederne, at en større olievirksomhed havde fået en bøde på svimlende 500.000 kr. for igennem to år at lukke kemikalier ud i havet. Miljøorganisationerne var begejstrede, for der var tale om en så markant bøde, at den ville danne præcedens for fremtiden. Hurra for det - og godt for miljøet.
Samtidig har vi dog et Datatilsyn, der mener, at manglende sletning af data skal koste tre gange så meget - for det er åbenbart, hvad retten til at blive glemt er værd.
Det kan ikke siges ofte nok - persondata er kommet for blive. Datatilsynet er nu for alvor gået i gang med at udstede afgørelser og påbud. Fortsat ikke med direkte bøder, for det er der ikke hjemmel til i Danmark, men løftede pegefingre og kritik kan de godt udstede.
Det er langt fra sikkert, at bødeniveauet kommer til at ligge på det niveau, som Datatilsynet indtil videre har udstukket. Det kan kun domstolene vurdere og lad os håbe, at der er en vis pragmatisme hos dem.
Fokus på databeskyttelse
Datatilsynet udarbejder for hvert halvår en liste over indsatsområder. I anden halvår af 2019 vil fokus være på daglig overvågning, databehandlere, databeskyttelse i ansættelsesforhold og såkaldte automatiske afgørelser.
Indenfor det private erhvervsliv er det især overvågningsdelen, der er aktuel, og her har tilsynet meldt ud, at de især vil fokusere på overvågning af eller kontrolforanstaltninger over for medarbejdere, herunder overholdelse af oplysningspligten og sletning af data, der er unødvendige, oversigter over kunders købshistorik samt - og ret interessant for bilbranchen - automatisk nummerpladegenkendelse i indkøbscentre.
Sidstnævnte - nummerpladegenkendelse - oplever rigtig mange på daglig basis, men selvom det ofte tjener et glorværdigt formål, så er det altså ikke nok bare at henviser til dette formål. Når man kører ind i et P-hus med nummerpladegenkendelse, så har man præcis samme rettigheder som alle andre til at blive oplyst om, hvorfor og hvordan ens data bliver benyttet, hvor længe, og hvilket rettigheder i forhold til anmodning om indsigt m.v. man har.
Det kan være ekstremt vanskeligt for P-huse og indkøbscentre at få opfyldt den oplysningspligt inden de registrerer data om bilen, men det er deres ubestridte forpligtelse - og hovedpinen om administrative vanskeligheder derfor også deres.
Mails skal krypteres
Et andet punkt som Datatilsynet har fokus på, er kryptering. 1. januar 2019 blev der (i praksis) indført krypteringskrav ved fremsendelse af følsomme eller fortrolige oplysninger og det er helt tydeligt, at Datatilsynet ser klager herom.
Det er den enkelte virksomhed, der skal tage stilling til, om og i givet fald hvordan de ønsker at fremsende e-mails med fortrolige oplysninger. I en ny afgørelse har Datatilsynet taget stilling til krypteringskravet ved fremsendelse af rykkerskrivelser eller restance-opgørelser, der umiddelbart har karakter af at være fortrolige.
den konkrete sag havde et inkassobureau fremsendt en rykker-opgørelse til en debitor via en såkaldt opportunistisk TLS 1.2-kryptering, der virkede krypteret under transporten, hvis modtagerens server understøttede dette. Gjorde den ikke, så var transporten heller ikke krypteret. Inkassobureauet havde gjort sig interne overvejelser om brugen af denne krypteringsform, og havde vurderet, at det var tilstrækkeligt. Debitoren på sin side fandt det dybt krænkende og bemærkede i den forbindelse, at han end ikke havde givet tilladelse til, at han kunne kontaktes pr. e-mail.
Datatilsynet gennemgik inkassobureauet interne, skriftlige overvejelser og vurderede, at den type af kryptering var fornuftig i forhold til den data, der blev sendt. Tilsvarende blev der lagt vægt på, at den server, der rent faktisk modtog de fremsendte e-mails, understøttede krypteringen, og at debitors rykker derfor havde været krypteret.
Med andre ord: Ingen kritik af inkassobureauet.
Forurening er billigere
Men afgørelsen viser, at kryptering er væsentlig - og at der skal foreligge en skriftlig intern overvejelse om, hvorfor man som virksomhed har valgt den ene eller den anden løsning.
Ligeledes - og vel nok mere brugbart - så kan man overveje at indhente et skriftligt samtykke fra sine kunder om at sende fakturaer, rykkerskrivelser m.v. pr. e-mail uden kryptering. I så fald er kunden orienteret om, hvad e-mailadressen opgives til og hvilken type materiale, der kan forventes at blive modtaget.
Man skal dog bare huske, at hvis man udelukkende har et samtykke, så kan kunden tilbagekalde dette, og det skal naturligvis respekteres. Det skal ligeledes understreges, at proceduren skal være nedskrevet - det er i første omgang dokumentationen, dvs. de interne metode-beskrivelser, Datatilsynet vil kigge på.
Samlet set - og lidt skræmmende - er det billigere at forurene i massivt omfang, end det er at hutle med EU-forordninger om data.
Udsigt til høje bøder for brud på datasikkerheden
Datatilsynet lægger op til at udstikke gigantbøder til virksomheder for ikke at overholde reglerne.
BREAKING