Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Manglende træning af virksomhedens medarbejdere kan udløse bøder

Manglende træning af virksomhedens medarbejdere kan udløse bøder
IUNO logo


De fleste databrud sker på grund af simple fejl som glemte telefoner og USB-sticks eller fejl i e-mailadresser. Men selvom risikoen for, at en medarbejder begår menneskelige fejl ikke helt kan elimineres, har virksomheder et ansvar for at reducere chancerne gennem forskellige sikkerhedstiltag. Det fastslog det britiske datatilsyn ICO, der blandt andet, som følge af en virksomheds mangelfulde træning og utilstrækkelige sikkerhedstiltag, udstedte en bøde på 120.000 GBP.



Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.

Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.


Medarbejders glemte USB-stik udløste databrud


Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.

På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.

Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.

Virksomheder skal sikre træning af medarbejdere
Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.

Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.


Virksomheder er ansvarlige for at sikre overholdelse af interne politikker


Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.

ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.


IUNO mener


Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.

IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.

[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]




Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Dom om opsigelse efter 120-dages-reglen
Dom om opsigelse efter 120-dages-reglen
19/11/2024
Ansættelses- og arbejdsret
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Lovforslag om kønsfordeling i visse børsnoterede selskaber er nu 1. behandlet
Lovforslag om kønsfordeling i visse børsnoterede selskaber er nu 1. behandlet
27/11/2024
Ansættelses- og arbejdsret
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Knap 170.000 kr. til medarbejder efter seksuel chikane
Knap 170.000 kr. til medarbejder efter seksuel chikane
12/12/2024
Ansættelses- og arbejdsret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted