Den nye persondataforordning (GDPR) kan holde 1 års jubilæum om små 3 måneder, men hvad er der sket i de første 9 måneder?

I november sidste år anmeldte Datatilsynet terapi-portalen Gomentor til politiet for overtrædelse af de nye GDPR-regler. Og nu har tilsynet så anmeldt taxa-selskabet 4×35 til politiet. Her lyder kravet på en bøde på 1,2 mio. kr.

Samtidig er Datatilsynet i fuld gang med sagsbehandlingen af flere andre sager. Indtil nu er der modtaget over 8.000 telefonopkald, og 2.584 indberetninger er blevet besvaret.

Datatilsynet kigger bl.a. på formålet med at gemme data. “Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes med det samme,” siger Datatilsynets direktør Christina Angela Gulisano.

Taxa-sagen kort:

  • Taxa-selskabet registrerer data på alle kørte ture
    Efter to år anonymiseres disse data ved at slette navne på de personer, der har kørt turene
  • Telefonnumre slettes ikke
  • Datatiltilsynet vurderer, at telefonnumrene er personhenførbare – og at det der derfor er i strid med GDPR-forordningen
  • Der har i alt været tale om 8.877.333 registreringer

Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål.

Cristina Angela Gulisano, direktør Datatilsynet.

I udlandet er der allerede blevet udskrevet flere bøder. Eksempelvis er der i Portugal udskrevet en bøde på 400.000 euro grundet ringe sikring af patienters data. Endnu et interessant eksempel er en bøde på 20.000 euro udstedt til et tysk datingsite, fordi de gemte deres brugeres passwords i ren tekst-fil.

Har du taget dine forholdsregler?

Hvis du ikke har taget stilling til, hvorvidt jeres organisation har styr på GDPR i forhold til jeres website eller webapplikation, så er det nu, du skal handle.

Start her:

  1. Få dit et overblik over de data, du har. Du kan ikke behandle dine data korrekt, hvis du ikke ved, hvad du indsamler.
  2. Sørg for at slette de data, som du ikke længere har brug for. Det er ulovligt at opbevare data, som du ikke længere bruger. Automatisk sletning efter en fast tidsperiode kan være en mulig løsning på dette problem.
  3. Gør opmærksom på dine brugeres rettigheder, når du indsamler data. Når en bruger indsender data til dig, skal de vide, hvad du gemmer, og hvad du bruger det til. De har i øvrigt ret til indsigt i deres egne data og kan kræve dem slettet.
  4. Sørg for at data gemmes forsvarligt og eksempelvis krypteres, hvis det er nødvendigt. Noget persondata bør krypteres, og det kan du ikke regne med allerede sker.
  5. Sørg for på forhånd at dokumentere alle tiltag og indsatser, så I selv har et overblik og i øvrigt kan dokumentere jeres indsats overfor myndigheder.

Få hjælp fra professionelle

Vores eksperter i persondataforordningen har brugt lang tid på at sætte sig ind i reglerne, og har stor erfaring med at sikre, at vores kunder overholder dem. Tag fat i Bo Mikael (København-kontoret) eller Niels Bjørndal Nygaard (Aarhus-kontoret), hvis du har brug for hjælp til at finde ud af, hvordan du bedst og nemmest bliver compliant med persondataforordningen, så du slipper for bøder.

Læs også