Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.

Chislett Compliance
08/02/2024
Det bør alle gøre lige nu – manglende GDPR-kontrol førte til politianmeldelse og forventet bøde på mindst 1.500.000 kr.
Chislett Compliance logo
Datatilsynet har politianmeldt et privathospital og indstillet til bøde på mindst 1.500.000 kr. Hospitalet har ikke udført sin lovpligtige GDPR-kontrol af leverandører, der er databehandlere. I artiklen kan du læse, hvilke overvejelser alle organisationer bør gøre sig som følge af den nye afgørelse.

Sagen kort

Datatilsynet har 1. februar 2024 offentliggjort, at et privathospital er blevet politianmeldt. Hospitalet er indstillet til en bøde på mindst 1.500.000 kr. Virksomheden har ikke udført den lovpligtige løbende kontrol af sine leverandører, der er databehandlere. 


Databehandlere er bl.a. leverandører, der håndterer personoplysninger på vegne af en anden organisation. GDPR stiller en række krav, når organisationer bruger databehandlere. Et af kravene er, at organisationen løbende skal kontrollere dem. Det er for at sikre en høj grad af sikkerhed om personoplysningerne, når de er i andres varetægt. 

Personoplysninger er fx oplysninger om en organisations kunder, patienter, investorer, ansatte eller lignende. Pligten til at føre kontrol skærpes, hvis oplysningerne inkluderer fx helbreds- eller andre følsomme oplysninger og/eller der er tale om store mængder personoplysninger.


Datatilsynet har ved sin vurdering i sagen bl.a. lagt vægt på, at der ikke blev ført tilsyn med databehandlerne i adskillige år. Derudover håndterede databehandlerne oplysninger om et stort antal personer. Tilsynet fremhævede også, at databehandlerne håndterede særlige kategorier af personoplysninger (følsomme oplysninger) og andre beskyttelsesværdige personoplysninger.


Hvad skal du gøre nu 

Alle organisationer, der bruger leverandører, der er databehandlere, bør handle. Man bør overveje, om man har udført det lovpligtige kontrol med databehandlerne, og om det er gjort tilstrækkeligt. Har man ikke gjort noget, bør man straks gå i gang. Laver man allerede kontrollerne, kan man overveje at genbesøge de udførte kontroller. Blandt andet for at sikre, at man har gjort det, der fremgår af den nye afgørelse. I genbesøget bør følge op på, om kontrollerne er udført risikobaseret. Man bør også se på, om ens risikovurdering afspejler de kriterier, som fremgår af den nye afgørelse. Derfor bør bl.a.  typen af oplysninger (beskyttelsesværdigheden) og omfanget af de oplysninger, der er overladt til databehandleren indgår i risikovurderingen. Man bør også overveje frekvensens af ens kontroller. For centrale databehandlere bør man overveje kontrol jævnligt, fx mindst en gang årligt. Det vil også være i tråd med almindelige risk management-principper.

Væsentlige trin i kontrol af databehandlere

Er man ikke gået i gang endnu med kontrollerne, eller vil man gå systematisk til værks, når man genbesøger dem, kan man følge disse fem trin.


Trin et – risikovurdering 

Det første man bør gøre er at have styr på de lovpligtige risikovurderinger, der skal udføres bl.a. efter databeskyttelsesforordningens artikel 24. Mange organisationer vil nødvendigvis have en stor risiko på brug af databehandlere. Det medfører efter det risikobaserede princip, at kontrollerne skal prioriteres op.

 

Trin to – styr på aftaler og roller

Derefter bør organisationer få styr på aftalerne med leverandører og samarbejdspartnere. Er de databehandlere, dataansvarlige eller slet ikke noget i datasammenhæng? Er der styr på både leverance-aftalen og den lovpligtige databehandleraftale?


Trin tre – sortering af leverandører

I det tredje trin bør man sorter leverandører efter risiko og føre et tilsyn, der passer til det. Organisationer bør have et koncept herfor og en klar metode. Der skal være en rød tråd til risikovurderingerne. Risikofaktorerne fra den nye afgørelse bør inddrages. Yderligere inspiration til risikofaktorer, koncept og metodik kan findes i Datatilsynets Vejledning om tilsyn med databehandlere.

 

Trin fire – anvend gode leverandører

Som det fjerde trin bør organisationer tage de ”lavt hængende frugter”. Det gælder i den anledning om at bruge gode leverandører, der også får lavet relevant compliance-dokumentation. For danske databehandlere kan dokumentationen være ISAE3000-baserede-revisionserklæringer til formålet udviklet af FSR - Danske Revisorer. Gerne revisionserklæringer med høj grad af sikkerhed. For udenlandske databehandlere kan man anmode om revisionserklæringer fx i SOC-formatet (fra American Institute of Certified Public Accountants). Gennemgang og vurdering af revisionserklæringerne kan indgå som central dokumentation for udført kontrol.

 

Trin fem – sørg for kompetence og ressourcer

Som det femte trin bør man sørge for kompetence til opgaveløsningen. Det er en specialiseret opgave. Man bør sætte budget af til opgaveløsningen. Selvom det for mange organisationer umiddelbart kan synes som en ikke-værdiskabende omkostning. For visse organisationer kan der eventuelt findes budget, hvis opgaven kan henføres til CSR/ESG-området. Individets persondatarettigheder indgår ofte som en del af et underliggende element i organisations CSR/ESG-program. 

Hvis man vil vide mere

Har du eller dine medarbejdere brug for opkvalificering indenfor området tilbyder Chislett Compliance kurset ”Kontrol af databehandlere”. Kurset omhandler både lovreglerne og hvordan man i praksis kontrollere sine databehandlere. 

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
Force majeure - hvornår kan begrebet anvendes?
Jurainfo logo
EXCLUSIVE
VIDEO
Force majeure - hvornår kan begrebet anvendes?
Mange virksomheder er ikke opmærksomme på at udvide force majeure-begrebet i deres kontrakter og flere anvender begrebet helt forkert. Bliv klogere på hvornår noget er en force majeure-begivenhed og hvornår du kan benytte en force majeure-klausul ved manglende leveringer.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Bruger du Contract Management strategisk?
Jurainfo Exclusive logo
PODCAST
Bruger du Contract Management strategisk?
Hvordan bruger du contract management strategisk i din forretning? Hvorfor er det vigtigt, når vi oplever globale pandemier og den verserende krig i Europa?
Artikler, der kunne være relevante for dig
Københavns Kommune får kritik i tilsynssag om AULA
Københavns Kommune får kritik i tilsynssag om AULA
04/07/2024
Persondata
EU's nye hvidvaskpakke offentliggjort: Strengere regler klar til 2027
EU's nye hvidvaskpakke offentliggjort: Strengere regler klar til 2027
09/07/2024
Compliance, Finansiering og bankret
Ny afgørelse om manglende indsigt i og sletning af tv-overvågningsoptagelser
Ny afgørelse om manglende indsigt i og sletning af tv-overvågningsoptagelser
12/07/2024
Persondata
EU AI Act - få et overblik over datoerne for anvendelse
EU AI Act - få et overblik over datoerne for anvendelse
15/07/2024
EU-ret, Persondata, Compliance
Manglende kontrol af automatiske sletninger fører til kritik fra Datatilsynet
Manglende kontrol af automatiske sletninger fører til kritik fra Datatilsynet
15/07/2024
Persondata, Compliance
Digitaliseringsstyrelsen ændrer kørekorts-app'en efter forbud mod at behandle personoplysninger
Digitaliseringsstyrelsen ændrer kørekorts-app'en efter forbud mod at behandle personoplysninger
16/07/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted