Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Manglende træning af virksomhedens medarbejdere kan udløse bøder

Manglende træning af virksomhedens medarbejdere kan udløse bøder
IUNO logo


De fleste databrud sker på grund af simple fejl som glemte telefoner og USB-sticks eller fejl i e-mailadresser. Men selvom risikoen for, at en medarbejder begår menneskelige fejl ikke helt kan elimineres, har virksomheder et ansvar for at reducere chancerne gennem forskellige sikkerhedstiltag. Det fastslog det britiske datatilsyn ICO, der blandt andet, som følge af en virksomheds mangelfulde træning og utilstrækkelige sikkerhedstiltag, udstedte en bøde på 120.000 GBP.



Virksomheder der behandler persondata skal sørge for et tilstrækkeligt niveau af sikkerhed og fortrolighed – ellers er behandling i strid med persondatareglerne. Kravet om et tilstrækkeligt sikkerhedsniveau gælder også organisatorisk. Det betyder, at virksomheder internt har et ansvar for at introducere de rette sikkerhedsforanstaltninger.

Virksomheders ansvar omfatter derfor også træning af og kontrol med de medarbejdere, der arbejder med behandling af persondata for at sikre overholdelse af persondatareglerne.


Medarbejders glemte USB-stik udløste databrud


Sagen handlede om en medarbejder i Heathrow lufthavn, der på vej til arbejde havde mistet et USB-stik med dokumenter fra virksomheden. Medarbejderens USB-stik indeholdte mere end 1000 ubeskyttede filer, herunder en træningsvideo, hvor en række medarbejderes navne, aldre, pasnumre, jobtitler, fagforeningsmæssige tilhørsforhold og andre oplysninger fremgik. Virksomheden blev ikke opmærksom på det tabte USB-stik, før det blev fundet af en privatperson, der videregav filerne til en britisk avis. Avisen kopierede hele USB-stikkets indhold, før det blev sendt tilbage til Heathrow lufthavn.

På baggrund af avisens efterfølgende artikel blev ICO opmærksom på sagen og udførte et tilsyn. ICO kunne her konstatere, at det var udbredt blandt virksomhedens medarbejdere at anvende USB-stik og andre bærbare medier uden passende beskyttelsesforanstaltninger, selvom det var direkte i strid med virksomhedens politikker og vejledninger.

Uanset at virksomheden iværksatte forskellige sikkerhedsforanstaltninger for at minimere databruddet fastslog ICO, at den manglende sikkerhed og træning medførte en bøde på 120.000 GBP. ICO tilføjede, at datasikkerhed netop burde prioriteres højt af en lufthavn henset til branchen og den mængde samt type persondata, der håndteres.

Virksomheder skal sikre træning af medarbejdere
Udover virksomhedens utilstrækkelige tekniske foranstaltninger lagde ICO vægt på, at virksomheden også havde et mangelfuldt sikkerhedsniveau i forhold til træning af medarbejdere.

Selvom virksomheden fastholdte, at den netop havde sørget for træning af de medarbejdere, der arbejdede tættest med behandling af persondata, fastslog ICO, at kun 2 % af medarbejderne havde gennemført træning i persondatareglerne (svarende til cirka 130 ud af 6500 medarbejdere). Virksomheden kunne ikke forvente, at medarbejdere uden relevant træning kunne være opmærksomme på beskyttelse af persondata i forbindelse med deres arbejde.


Virksomheder er ansvarlige for at sikre overholdelse af interne politikker


Virksomheden havde i flere år inden databruddet introduceret interne politikker for medarbejdernes behandling og beskyttelse af persondata, blandt andet klare retningslinjer for kopiering af filer, tab og tyveri af virksomhedens ejendele og forskellige sikkerhedstiltag for opbevaring. Virksomheden havde derudover udsendt beskeder, der advarede medarbejderne om risici ved brug af USB-stik og interne krav om kryptering.

ICO fandt dog, at virksomheden ikke havde sikret, at medarbejderne faktisk overholdt politikkerne og understregede, at virksomheden havde været klar over, at retningslinjerne ikke blev efterlevet. Virksomheden burde derfor som en del af den daglige drift have overvåget og kontrolleret, at politikkerne blev efterlevet.


IUNO mener


Virksomheder skal sikre overholdelse af persondatareglerne på alle niveauer – også internt. Det er i den forbindelse vigtigt, at virksomheder er opmærksomme på, at det ikke er tilstrækkeligt at udarbejde interne politikker eller at træne en enkelt eller få udvalgte medarbejdere, hvis en tredje hverken kender til eller forstår reglerne for behandling af persondata.

IUNO mener, at selvom det er vigtigt, at virksomheden har de rigtige politikker for at sikre behandling af persondata, er det ligeså vigtigt at sikre efterlevelse af og træning i overholdelse af persondatareglerne. Udover at risikoen for et databrud nedsættes, støtter interne politikker og træning også, at virksomheden overholder persondatareglerne.

[Information Commissioner’s Office, afgørelse af den 3. oktober 2018]




Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Ledige jobs
Jurainfo logo
Annoncér dit stillingsopslag her og nå ud til mere end 30.000 månedlige besøgende

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
COVID-19: Arbejdsgivers adgang til at pålægge lønmodtagere test for COVID-19
COVID-19: Arbejdsgivers adgang til at pålægge lønmodtagere test for COVID-19
I går
Ansættelses- og arbejdsret
COVID-19: Ny lov giver arbejdsgiver mulighed for at pålægge medarbejdere at blive testet – og modtage testresultatet
COVID-19: Ny lov giver arbejdsgiver mulighed for at pålægge medarbejdere at blive testet – og modtage testresultatet
24/11/2020
Ansættelses- og arbejdsret
Nyt lovforslag lægger op til skærpelse af reglerne om arbejds- og opholdstilladelse
Nyt lovforslag lægger op til skærpelse af reglerne om arbejds- og opholdstilladelse
17/11/2020
Ansættelses- og arbejdsret
Nyt lovforslag giver virksomheder mulighed for at teste medarbejdere for coronavirus
Nyt lovforslag giver virksomheder mulighed for at teste medarbejdere for coronavirus
17/11/2020
Ansættelses- og arbejdsret
Medarbejder fik godtgørelse for uberettiget opsigelse efter tilbud om deltid
Medarbejder fik godtgørelse for uberettiget opsigelse efter tilbud om deltid
16/11/2020
Ansættelses- og arbejdsret
Ny trepartsaftale om lønkompensation i Nordjylland
Ny trepartsaftale om lønkompensation i Nordjylland
11/11/2020
Ansættelses- og arbejdsret
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted