Der er få EU-forordninger, som har givet så meget omtale, overvejelser og usikkerhed som databeskyttelsesforordningen. Med usikkerheden opstår der nemt myter, og Advokaten har bedt Marie Christiansen, fuldmægtig, cand. jur. fra Databeskyttelsesenheden i Datatilsynet om at opklare en række af myterne og de spørgsmål, der kan opstå på et advokatkontor i forbindelse med GDPR.
Tekst: Peter Djurup
Findes der særlige regler for advokater?
De databeskyttelsesretlige regler indeholder ikke særlige regler for advokater. Advokater skal som alle andre følge reglerne.
Kan advokater få besøg af Datatilsynet?
Ja. En af vores opgaver er at følge med i, om myndigheder, virksomheder og andre dataansvarlige overholder de databeskyttelsesretlige regler. Derfor udfører vi tilsyn og har i første halvår af 2019 været på tilsyn hos flere advokatvirksomheder.
På vores hjemmeside kan man se en liste over planlagte tilsyn og hvilke brancher, vi er på vej ud til samt hvilke temaer, Datatilsynet vil fokusere på. Listen offentliggøres for et halvt år ad gangen. Udover de planlagte tilsyn fører Datatilsynet også ad hoc tilsyn, der typisk udspringer af sager, som Datatilsynet bliver opmærksom på selv, eller hvor vi får tips fra borgere eller pressen.
Hvornår skal oplysninger slettes?
Det er et af de spørgsmål, der giver anledning til forvirring.
Det følger af princippet om opbevaringsbegrænsning i databeskyttelsesforordningens artikel 5, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende oplysninger behandles.
Det betyder, at personoplysninger som udgangspunkt skal slettes eller anonymiseres, når behandlingen af disse ikke længere er nødvendig i forhold til formålet med behandlingen. Det er således den dataansvarlige selv, der på baggrund af formålene med de behandlinger af personoplysninger, der foretages, skal vurdere, hvornår oplysningerne skal slettes. Det er i den forbindelse vigtigt, at den dataansvarlige dokumenterer de slettefrister, der fastlægges.
Et godt råd er, at dataansvarlige fastlægger og dokumenterer en procedure for sletning, der sikrer, at der ikke behandles personoplysninger i længere tid end nødvendigt.
Der vil i mange tilfælde være særlovgivning, der regulerer, hvor længe dataansvarlige skal behandle personoplysninger. Det kan eksempelvis være bogføringsloven eller hvidvaskloven. I den forbindelse følger det af princippet om dataminimering, at de behandlede oplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles. Personoplysninger, der ikke er nødvendige, skal slettes.
I artikel 5 i databeskyttelsesforordningen kan man læse mere om blandt andet princippet om opbevaringsbegrænsning.
Hvad skal man gøre, hvis man har et sikkerhedsbrud?
Databeskyttelsesforordningen stiller krav om, at et sikkerhedsbrud skal anmeldes til Datatilsynet senest inden for 72 timer. Derfor er det vigtigt, at den dataansvarlige hurtigt agerer på situationen, når der konstateres et sikkerhedsbrud og foretager en vurdering af sandsynligheden for, at bruddet indebærer en risiko for de berørte personers rettigheder. Hvis det vurderes, at det er usandsynligt, at bruddet indebærer en risiko for personers rettigheder eller frihedsrettigheder, skal der ikke ske anmeldelse til Datatilsynet.
På grund af den korte tidsfrist bør dataansvarlige have en procedure for, hvordan et sikkerhedsbrud håndteres, så vedkommende altid ved, hvad der skal gøres, hvis uheldet er ude. Det gælder selvfølgelig om at få lukket eventuelle sikkerhedshuller, men man skal også overveje, om der skal ske indberetning til Datatilsynet, og hvordan man skal forholde sig til de personer, hvis oplysninger er berørt af sikkerhedsbruddet.
Den dataansvarlige skal dokumentere alle de brud, der har været i virksomheden. Dette gælder uanset om sikkerhedsbruddet er anmeldt til Datatilsynet eller ej. Der er således pligt til at føre en intern dokumentation. Dokumentationen skal blandt andet indeholde begrundelser for alle væsentlige beslutninger, der træffes som følge af bruddet.
Er der oplysningspligt ved indsamling af data?
Når dataansvarlige indsamler personoplysninger om registrerede, gælder der en oplysningspligt. Oplysningspligten indebærer, at den dataansvarlige på eget initiativ skal give den registrerede en række oplysninger. Der skelnes mellem den situation, hvor personoplysninger indsamles hos den registrerede selv og den situation, hvor oplysningerne indsamles hos andre end den registrerede selv.
Det fremgår af forordningens artikel 13 og 14, hvilke oplysninger der skal gives i forbindelse med oplysningspligten.
Det er ikke nok at oplyse om behandlingshjemmel. For at opfylde oplysningspligten skal man blandt andet oplyse om virksomhedens identitet og kontaktoplysninger, formål med og retsgrundlaget for behandlingen. Man skal for eksempel også oplyse om, hvorvidt man ønsker at videregive oplysningerne til tredjepart eller overføre data til tredjeland.
Gælder oplysningspligten også advokater, som jo har tavshedspligt?
Udgangspunktet ved indsamling af personoplysninger er, at den dataansvarlige har en oplysningspligt. Kun hvis en af undtagelserne til oplysningspligten finder anvendelse, kan den dataansvarlige undlade at give registrerede oplysninger i medfør af oplysningspligten.
Undtagelserne til oplysningspligten findes i forordningens artikel 13 og 14 og i databeskyttelseslovens § 22.
Et eksempel på en undtagelse til oplysningspligten er databeskyttelseslovens § 22, hvor dataansvarlige kan undlade at give den registrerede oplysninger, hvis den registreredes interesser i oplysningerne findes at burde vige for afgørende hensyn til private interesser.
Et andet eksempel findes i databeskyttelsesforordningens artikel 14, hvor man kan undlade at give oplysninger efter oplysningspligten, hvis personoplysninger skal forblive fortrolige som følge af særlige bestemmelser om tavshedspligt.
Der er fortrolighed om de oplysninger, som en advokat behandler. Betyder det, at alle oplysninger, der sendes på e-mail, skal krypteres?
Det følger af databeskyttelsesforordningens artikel 32, at den dataansvarlige skal tilvejebringe et tilstrækkeligt sikkerhedsniveau for den behandling af personoplysninger, der foretages. Når der skal sendes personoplysninger via e-mail, skal den dataansvarlige konkret vurdere, om der er behov for kryptering. Ved denne vurdering er der en sondring mellem, om det er almindelige personoplysninger, følsomme personoplysninger eller fortrolige personoplysninger, der skal sendes
Den dataansvarlige skal altså selv foretage en vurdering af den risiko, der er forbundet med at transmittere personoplysninger med e-mail via internettet og derefter gennemføre passende tekniske og organisatoriske foranstaltninger for at imødegå de identificerede risici.
Det er Datatilsynets opfattelse, at det normalt vil være en passende sikkerhedsforanstaltning at anvende kryptering ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet.
Hvis man sender en e-mail med almindelige personoplysninger, for eksempel navne, telefonnumre, mailadresser behøver man ikke nødvendigvis kryptere mailen.
Men er der fortrolige eller følsomme personoplysninger som for eksempel et personnummer, strafbare forhold eller helbredsoplysninger, vil det umiddelbart være en passende foranstaltning at anvende kryptering.
Skal man altid have samtykke til behandling af personoplysninger?
Det er et af de spørgsmål, vi møder oftest. Det er en misforståelse, at der altid skal være samtykke til behandling af personoplysninger.
Samtykke er et af flere ligestillede retlige grundlag, der kan benyttes. Men der er også andre muligheder for behandling af personoplysninger, hvilket fremgår af forordningens artikel 6 og 9.
Samtykke er måske det behandlingsgrundlag, som flest kender til, men den dataansvarlige bør altid gøre sig overvejelser, om det vil være mere hensigtsmæssigt at støtte behandling på et andet grundlag. Eksempler på andre behandlingsgrundlag er interesseafvejningsreglen, eller hvis behandling er nødvendig for opfyldelse af en kontrakt.
At samtykke ikke altid er det mest hensigtsmæssige behandlingsgrundlag at benytte, skyldes de krav, der stilles til et gyldigt samtykke. Et samtykke skal blandt andet være frivilligt, hvilket i nogle konstellationer ikke altid er muligt. Desuden kan et samtykke trækkes tilbage af den registrerede, hvorefter behandlingen skal ophøre.
Få mere information om håndtering af GDPR på datatilsynet.dk
Find en vejledning til håndtering af GDPR på advokatsamfundet.dk