Contact us: +45 32 67 26 26
Dansk

2022: Sidste års afgørelser fra Datatilsynet, og hvad vi kan lære af dem

Anders Bryde Thornild
By: Anders Bryde Thornild GDPR | 5 april

Vi er gået gennem Datatilsynets afgørelser i 2022 for at spotte tendenser, som vi alle kan lære af. Målet er ikke at gå i dybden med de forskellige afgørelser, men i stedet vurdere, hvordan Datatilsynet lægger niveauet i år. Det kan hjælpe med at forventningsafstemme, hvad kravene er for at undgå bøder i Danmarks GDPR-landskab.

Årets afgørelser i tal

Datatilsynet har haft travlt i år og er kommet med 82 afgørelser i 2022. De har fordelt sig således:

  • 82 afgørelser

  • 20 gange fandt Datatilsynet ingen brud

  • 1 gang endte det med en anbefaling

  • 19 gange blev der uddelt ”Kritik”

  • 30 gange blev der uddelt ”Alvorlig kritik”

  • 8 gange blev der lavet eller opretholdt påbud eller forbud

  • 8 gange blev en organisation indstillet til bøde

Den kvikke læser har måske spottet, at de forskellige typer afgørelser ikke giver 82. Det skyldes, at der godt både kan blive givet en kritik samtidig med, at der bliver lavet et påbud eller forbud. 

Tallene viser, at Datatilsynet stadig oftest ”nøjes” med at uddele en kritik og alvorlig kritik, og at de ikke kaster om sig med bøder. Vi er altså stadig i en læringsfase, hvor manglen på GDPR-implementeringer ikke prompte kaster bøder af sig. Vi kan dog forvente, at det der giver kritik i dag, måske giver bøder om 5 år. Derfor er afgørelserne værd at holde øje med.

Men hvad giver så bøder og kritik? Lad os kaste os ud i det og starte med bøderne. 

De 8 bøder i tal

I alt blev 8 organisationer indstillet til bøder i 2022. Den største bøde var Danske Bank, der blev indstillet til en bøde på 10 millioner kroner. Den mindste bøde lød på 50.000 kr.

Det samlede beløb på indstillede bøder var 12.200.000 kr., hvilket giver en gennemsnitlig bødestørrelse på 1.525.000 kroner.

Her trækker Danske Banks bøde dog meget op, så det siger reelt set ikke så meget. De 7 andre bøder lå alle mellem 50.000 kroner og 1 million kroner.

Vi er altså ikke oppe i bødestørrelser, som vi ser i de store globale sager.

Derfor blev de indstillet til bøder

Hvis vi skal finde fællestræk for, hvorfor der blev indstillet til bøder og ikke blot uddelt kritik, så kan vi pege på 2 ting, der var afgørende for at afgørelserne endte i bøder.

  • Sagen indeholdte store mængder af personoplysninger

  • Sagen indeholdte følsomme personoplysninger

Begge punkter behøvede ikke være til stede, men minimum en af de to ovenstående punkter gjorde sig gældende i alle sager.

Et eksempel på en sag, der f.eks. indeholdte store mængder af personoplysninger er Gyldendal, der blev indstillet til en bøde på 1.000.000 kroner. Det gjorde de, da de stadig opbevarede oplysninger om 685.000 brugere, som ikke længere var nødvendig for Gyldendal. Der var eksempler på brugere, der havde meldt sig ud af en bogklub for mere end 10 år siden.

Et eksempel på en sag med følsomme personoplysninger er Sirius advokater, der blev indstillet til en bøde på 500.000 kroner. Det skete, da der var manglende sikkerhedsforanstaltninger i forhold til fjernadgang af dataene. Det betød, at man kunne tilgå dataene uden multi-faktor autentifikation. Det havde muligvis ikke ledet til en bøde, hvis det var ikke-følsomme personoplysninger, men da der her er tale om følsomme personoplysninger var den manglende multi-faktor autentifikation et problem.

Bør være muligt at undgå bøder

De 8 bøder har det til fælles, at overtrædelserne enten er ret ekstreme tilfælde eller indeholder meget store mængder persondata. Derfor bør de også være til at undgå. Du bør kunne implementere multi-faktor autentifikation, hvis du behandler følsomme personoplysninger. Det bør også være muligt at slette data på folk, der opsiger abonnementer til ens services eller framelder sig ens nyhedsbrev osv..

Det er langt henad vejen sund fornuft og best practice...

Andre sager en tofaktor og sletning af data omfattede videooptagelser af folk på toiletter, manglende adgangskoder på arbejdstelefoner med adgang til personfølsomme oplysninger og videregivelse af oplsyninger om strafbare forhold. Jeg vil vove at påstå, at det er så åbenlyst store brud på GDPR, at de kan undgås hvis man implementerer sikkerhed og processer ud fra sund fornuft.

Dette ledte til Kritik og Alvorlig Kritik

Der blev uddelt kritik og alvorlig kritik i henholdsvis 30 og 19 sager. Vi kan åbenlyst ikke dykke ned i dem alle her, og jeg har i stedet forsøgt at finde nogle fællesnævnere i flere af sagerne. Der var åbenlyse sager, hvor man blot ved at have den rigtige URL kunne tilgå personoplysninger eller steder hvor passwords blev gemt i klartekst. Disse er dog enkeltstående og falder også mere ind under almen IT-sikkerhed end GDPR.

Overskrifterne der går igen i sagerne er:

  • Adgangsrettigheder

  • Ulovlig samtykkeløsninger

  • Håndtering af anmodning om indsigt fra kunder

  • Utilsigtet adgang til personoplysninger

Vi tager dem en for en.

Adgangsrettigheder er vigtige

I mere end 10 sager uddelte Datatilsynet kritik for ting, der omhandlede adgangsrettigheder.

I flere af dem handlede det om, at der ikke var processer og kontrol af, hvem der havde adgang til hvilke data. Det er ikke alle i ens virksomhed, der skal have adgang til alle personoplysninger. Derfor er det vigtigt, at man kontrollerer, hvem der har adgang til hvad, og om dette giver mening.

I andre sager handlede det mere lavpraktisk om, at nogle brugere havde adgang til data, som de ikke burde have adgang til.

I de sidste sager handlede det om, at virksomheder ikke havde testet deres nye løsninger godt nok, så da de gik i luften med deres services var der fejl, der gjorde at brugere kunne tilgå data, de ikke burde have adgang til.

Løsning på adgangsrettigheder

I bund og grund handler det her om, at I som virksomhed skal tage stilling til, hvem der skal have adgang til hvad. Måske behøver f.eks. marketingafdelingen ikke adgang til alle personoplysninger om ens kunder. Hvis der er et godt argument for, at de skal have adgang, så kan de få det. Det vigtige er, at der bliver taget stilling til det, og at der er et relevant grundlag for at have adgang til oplysningerne. Det hører ind under GDPR-princippet om fortrolighed. Hvis du f.eks. indsamler oplysninger for at køre et nyhedsbrev, så er det svært at argumentere for, at Mette fra regnskabsafdelingen har behov for disse oplysninger. Derfor skal hun ikke have adgang.

I skal derudover have en proces, hvor I kontrollerer, at det virker. Hvor ofte denne kontrol skal laves er uklart, og her må man bruge sin sunde fornuft.

Og hvis I er ved at lave en ny løsning, så husk lige at teste den af, inden I giver jeres brugere adgang til alle mulige personoplysninger om andre kunder og lignende.

Billede af Risiko-analyse skabelon

Ulovlige samtykkeløsninger

I fire sager gav Datatilsynet alvorlig kritik for ulovlige samtykkeløsninger eller tracking i et nyhedsbrev, hvor der ikke først var givet samtykke til den type tracking. Det er ikke nødvendigvis mange sager, men de er værd at nævne, da stort set samtlige virksomheder har en hjemmeside og skal bede om samtykke til cookies. Disse sager indikerer, at det måske er noget, som Datatilsynet begynder at holde mere øje med.

De 4 tilfælde var alle forskellige. En af dem handlede om, at cookies blev placeret allerede inden brugeren, havde givet samtykke i cookiebanneret. En anden handlede om, at virksomheden mente de havde legitim interesse til at indsamle statistiske data, hvilket Datatilsynet ikke var enig i. I den tredje sag førte et klik på ”Accepter alle” til et mangelfuldt samtykke, da brugeren ikke var tilstrækkelig informeret om, hvad de rent faktisk accepterede. Og den sidste sag omhandlede, at der blev brugt tracking i et nyhedsbrev, som brugeren aldrig havde givet samtykke til.

Løsning på ulovlige samtykkeløsninger

Helt kort, så handler det om at have styr på, hvilke cookies man gør brug af og sørge for at informere brugeren om det, så de kan tage stilling til, om de har lyst til at acceptere det eller ej. Det er vigtigt, at det er et transparent valg. Hvad jeres cookiebanner helt præcist skal indeholde, har Usercentrics forklaret bedre end jeg kan med deres GDPR cookies checklist.

Håndtering af anmodning om indsigt fra kunder

En del af GDPR går ud på, at kunden/brugeren altid har ret til at se, hvilke personoplysninger man har om dem og i de fleste tilfælde også har ret til at blive slettet (medmindre man har en legitim årsag til at behandle dem). I en lille håndfuld sager omhandlede Datatilsynets kritik og alvorlige kritik netop disse typer af anmodninger.

I en sag valgte en virksomhed at slette kundens oplysninger, så kunden ikke kunne få at vide, hvad de havde haft af personoplysninger på ham/hende.

I en anden sag valgte virksomheden ikke at slette personoplysningerne på trods af klage og anmodning fra personen og endda også fra Datatilsynet selv.

I en tredje sag nægtede en underdatabehandler at levere data tilbage til dataansvarlige på trods af anmodning.

Og sådan bliver de ved. Det er altså alle sager, der bør være relativ lette at undgå.

Løsning på anmodning om indsigt fra kunder

Her er løsningen relativ simpel. Hav en proces for, hvordan I indsamler de personoplysninger I har om jeres kunder, og hvordan I sender det til kunden ved en anmodning. Igen er det langt henad vejen sund fornuft, at kunder må vide, hvad vi har af oplysninger på dem, og derfor skal vi have en måde, hvorpå de får oplysningerne.

Utilsigtet adgang til personoplysninger

Her har vi snakke om en del sager, hvor en eller anden har fået adgang til personoplysninger, som de ikke bør få. Sagerne spænder bredt fra fejl i systemer, til menneskelige uheld, hvor de kom til at sende oplysninger til den forkerte modtager og lignende. Faktisk er emails med personoplysninger en af de største årsager til sikkerhedsbrud helt generelt.

En af de mere kuriøse sager var, at en kunde havde returneret et fjernsyn til Elgiganten, men på fjernsynet lå der personoplysninger på kunden. Fjernsynet blev efterfølgende stjålet, hvilket gjorde at tyven nu havde adgang til personoplysninger. Det ledte til alvorlig kritik af Elgiganten.

Det kan umiddelbart lyde fjollet, men da Elgiganten havde vurderet, at risikoen for tyveri af produkter er høj, så burde de have processer, der sikrer, at der ikke er personoplysninger på deres produkter.

Løsning på utilsigtet adgang

Denne type af sager er umiddelbart sværere at løse, da årsagerne kan være mange. Men eksemplet fra Elgiganten viser, at det er vigtigt som minimum at have processer, der kan imødekomme de udfordringer, der fremgår som ”høj risiko” i ens risikovurdering. I kan formentlig ikke gardere jer mod alle slags fejl, men I bør som minimum tage stilling til de ting i risikovurderingen, der er vigtigst.

Derudover kan undervisning af medarbejdere hjælpe med at sikre, at I hæver opmærksomheden på personoplysninger og vigtigheden af beskyttelse af dem. Undervisningen kan derfor hjælpe med at minimere antallet af fejl i sidste ende.

Studerende sidder på bøger og prøver kurser gratis

Der er andre sager, der kan have relevans

Det var en hurtig opsummering af Datatilsynets 82 afgørelser fra 2022. Der kan helt sikkert være afgørelser, der er relevante for jer, som jeg ikke er kommet ind på her. Jeg har valgt de typer af sager, der fremkom ofte og som har relevans for alle organisationer. Der var også sager, som jeg vurderede var så branchespecifikke, at jeg gik udenom dem. Her kan f.eks. nævnes sager, der specifikt omhandlede personoplysninger mellem borgere og regioner/kommuner eller advokater og borgere. I kan finde alle afgørelserne på Datatilsynets hjemmeside.

Jeg er også bevidst gået udenom hele Chromebook-sagen, da den var ret specifik og andre medier har dækket den rigeligt.

Jeg håber, at opsummeringen kunne bruges.