Persondata i HR - nyhedsbreve

Nyhedsbrev :: Juli 2019

08.07.2019

Kære abonnent

Tillykke med et år med GDPR! Den 25. maj 2019 fyldte GDPR et år - og sikke et år.

EPDB og Datatilsynet har på årsdagen gjort status, og eksempelvis er antallet af klager og spørgsmål til Datatilsynet steget med over 150 %.  

I denne opdatering fortsætter vi med at implementere Databeskyttelsesloven i Persondata i HR, ligesom vi i øvrigt opdaterer:

4.2: Begreber og definitioner
11.11: Eksempler på standarder

Tusind tak til jer der deltog i kurserne i København og Aarhus. Jeg synes, det er fantastisk at få lov til at dele jeres succeser og udfordringer, og hvad der holder jer vågne om natten på det her område.

Noget af det, som fyldte på kurserne, var erkendelsen af, at som en del af dataansvaret skal der gennemføres kontroller.

Mange har fået skrevet de procesbeskrivelser, politikker og instrukser, som er nødvendige for at sikre overholdelse af dataansvaret. Nu er det tid til at kontrollere, at det man siger også er det, der sker.

En kursists historie om, at der havde været brand på kontoret, gjorde det klart, at det er godt at sikre beskyttelse af data i forhold til cyberangreb mv., men sørme også i den fysiske verden; fysiske dokumenter, laptops, servere osv. har ikke godt af al det vand, som skal bruges for at slukke en ildebrand.
 
Siden sidst
Datatilsynet har udsendt ”vejledende principper for dataansvar for konsulenter og vikarer”. Da kurserne også afdækkede tilbagevendende problemer med at få identificeret, hvem der er dataansvarlig, og hvem der er databehandler, har jeg valgt at opdatere afsnittet herom.

Brexit blev alligevel ikke til noget i denne omgang. Men jeg vil alligevel minde om, at overføres data til Storbritannien, så skal I sørge for at være klar til Brexit. Læs EDPBs særlige vejledning om Brexit, som kan findes via Datatilsynets hjemmeside.

Siden sidst er der kommet nogle afgørelser fra Datatilsynet, og her vil jeg fremhæve Datatilsynets udtalelse om PFA Pension, som heldigvis bekræfter den tilgang til compliance, som jeg har lagt ind i denne håndbog, og at der trods alt er en vis logik i galskaben.

PFA Pension havde siden maj 2018 foretaget 66 indberetninger om sikkerhedsbrud. Det gav Datatilsynet anledning til af egen drift at se nærmere på PFA Pension og stille en række spørgsmål om deres sikkerhed.

Efter at have gennemgået besvarelserne og i øvrigt været i dialog med PFA Pension stod det klart for Datatilsynet, at de mange indberetninger om sikkerhedsbrud ikke var et udtryk for, at PFA Pension ikke havde styr på deres persondatabehandling.

Tværtimod var antallet relativt lille set i forhold til den omfattende persondatabehandling, som blev foretaget af PFA Pension.

Udtalelsen understreger også følgende vigtige budskab, som jeg vil fremhæve her: Ingen kan blive 100% compliant.

Compliance handler om at have styr på sine processer og den behandling, der foretages; at kunne identificere problemstillinger, foretage en fornuftig analyse og drage en konklusion.

Konklusionen kan i sidste ende vise sig at være forkert, men har man gjort sit grundarbejde godt, så vil risikoen for bøder være minimal - uanset en forkert konklusion.

Naturligvis skal man også være i stand til at genoverveje sine konklusioner i takt med, at området udvikler sig, og vi får flere afgørelser, der besvarer mange af de spørgsmål, som arbejdet har afdækket.

Derudover venter vi alle på, at EU-Domstolen formentlig allerede i juli får taget stilling til, hvorvidt anvendelse af de såkaldte modelkontrakter i forbindelse med overførsel af data ud af EU er i overensstemmelse med GDPR.

Safe Harbor-afgørelsen trak i 2017 tæppet væk under Safe Harbor som lovligt overførselsgrundlag. Først 8 måneder efter blev Privacy Shield vedtaget.

Privacy Shield er nu også genstand for vurdering om lovlig medholdelighed, og falder både Privacy Shield og modelkontrakterne, vil overførsel med hjemmel i disse aftaler skulle stoppe.

Vi venter naturligvis også stadig på den første danske bøde, som er fastlagt af domstolene. Vil du følge med i bøder, som tildeles i (andre) EU-lande, kan du følge med på hjemmesiden GDPR Enforcement Tracker, som du finder her.

Her til sidst vil jeg gentage opfordringen til at tage udgangspunkt i de spørgeskemaer, som Datatilsynet har offentliggjort, og som danner grundlag for deres tilsynsbesøg. Brug dem til at teste jer selv og find ud af, hvor I har huller.

Følgende spørgeskemaer er offentliggjorte:
• Autorisation af medarbejdere
• Brud på persondatasikkerheden
• Kryptering
• DPO-tilsyn
• Behandlingshjemmel og sikkerhed
• Retshåndhævelse (om rettighedsanmodninger)
• Sletning

Det er også en god idé at følge Datatilsynet på LinkedIn; her offentliggør de nye udtalelser, vejledninger, afgørelser mv.


Jeg ønsker dig rigtig god fornøjelse med det fortsatte arbejde.

De bedste hilsner
Redaktionen v/ Catrine Søndergaard Byrne,
Partner, advokat, CIPP/E, Labora Legal

Bestil Persondata i HR

BASIS
PREMIUM
Trykt håndbog
 
 
Online håndbog
 
 
Årligt kursus
 
 
Opdateringer
 
 
Q&A
 
 
Pris 4480,- 4980,-
  Bestil Bestil

Alle priser er ekskl. moms

Referencer

Vi er stolte af vores kundeliste, der dækker en bred vifte af private, små og store virksomheder samt offentlige institutioner. Er du endnu ikke kunde, kan du læse mere om, hvordan vi kan hjælpe dig

  • Novo Nordisk
  • Genmab
  • Maersk Broker
  • Nordea
  • Pandora
  • Grundfos
  • Arla Foods
  • Den Kongelige Civilliste
  • Region Hovedstaden
  • Aarhus Kommune
  • Sygeforsikringen Danmark
  • Det Kongelige Teater
  • CBS
  • 3F
  • Bogholderi Hjørnet
  • Strates Maskinfabrik
  • Legro Gartneri
  • Fleggaard
  • 3x53 Transport
  • Tivoli
  • ...med flere