Samarbejde med GulogGratis branded content

Denne artikel indeholder sponsoreret af DLA Piper

Behandles personoplysninger ikke i overensstemmelse med gældende regler, kan det føre til et brud på GDPR. Dette har konsekvenser for både virksomheder og enkeltpersoner, da reglerne har til formål at beskytte privatlivets fred og sikre ansvarlig håndtering af data. Opstår der fejl, kan Datatilsynet gribe ind, og der kan blive tale om både bøder og politianmeldelse. Det er derfor væsentligt at kende de grundlæggende krav, forstå ansvaret og vide, hvordan eventuelle brud håndteres korrekt. Nedenfor findes et overblik over, hvad et brud på GDPR indebærer, hvilke krav der gælder i Danmark, samt hvordan sådanne situationer bør håndteres.

Hvad betyder et brud på GDPR og hvorfor det er vigtigt

Et brud på GDPR sker, når personoplysninger behandles i strid med reglerne. Det kan eksempelvis være uautoriseret adgang til data, utilsigtet sletning eller videregivelse af følsomme oplysninger. Sådanne episoder kan få alvorlige konsekvenser for de personer, hvis oplysninger er berørt.

I Danmark bliver denne type hændelser taget alvorligt. Datatilsynet vurderer sager ud fra karakteren, omfanget og varigheden af overtrædelsen. Der lægges også vægt på, om virksomheden har forsøgt at begrænse eventuelle skader. Sanktionernes størrelse afhænger blandt andet af bruddets alvor, typen af oplysninger samt virksomhedens størrelse.

Bøder fastsættes i henhold til EU's regler, hvilket i grove tilfælde kan betyde betydelige beløb. Det er derfor centralt at tage brud på GDPR alvorligt og have styr på kravene.

Krav ved behandling af personoplysninger

Virksomheder og organisationer skal kunne dokumentere lovlig behandling af persondata. Det omfatter et klart behandlingsgrundlag og opfyldelse af oplysningspligten over for de registrerede personer. Derudover skal der implementeres passende tekniske og organisatoriske foranstaltninger for at beskytte oplysningerne mod uautoriseret adgang eller tab.

En vigtig del af ansvaret omfatter databehandleraftaler. Når eksterne samarbejdspartnere behandler data, skal der indgås skriftlige aftaler med tydelige vilkår. Samtidig skal man løbende føre tilsyn med disse databehandlere for at sikre efterlevelse af reglerne.

Det er også nødvendigt at have procedurer for at håndtere anmodninger fra registrerede personer – for eksempel hvis nogen ønsker indsigt i deres oplysninger eller vil have dem slettet. Alt dette skal kunne dokumenteres internt som en del af organisationens compliance-arbejde.

Sådan håndteres et brud på GDPR i praksis

Opstår der en sikkerhedshændelse vedrørende persondata, bør situationen vurderes hurtigt. Ifølge reglerne skal alle sikkerhedsbrud som udgangspunkt anmeldes til Datatilsynet uden unødig forsinkelse – og som hovedregel inden 72 timer efter opdagelsen. Dette gælder især, hvis bruddet kan have betydning for de registreredes rettigheder eller frihedsrettigheder.

Forberedelse har stor betydning. Løbende risikovurderinger kan hjælpe med at identificere potentielle svagheder tidligt. Det anbefales desuden, at medarbejdere løbende instrueres i datasikkerhed og at der foreligger klare interne retningslinjer for rapportering af hændelser.

Når et brud opdages, bør virksomheden straks tage initiativ til at begrænse skaden og samarbejde med relevante myndigheder. En hurtig og åben håndtering kan ofte reducere både de juridiske og økonomiske konsekvenser – samtidig kan tilliden hos kunder og samarbejdspartnere opretholdes.

Denne artikel indeholder sponsoreret af DLA Piper