Databeskyttelse

Databeskyttelse er fortsat et vigtigt indsatsområde

Digitalisering skaber udfordringer for virksomheder, fordi der er behov for konstant at holde sig opdateret. Det er der behov for i forhold til ikke blot ny praksis og vejledninger men også på nye, komplekse regler fra EU, eksempelvis Data Act, Data Governance Act, Digital Services Act. Kunder og samarbejdspartnere stiller stadig højere krav til virksomhedernes ageren, samtidig med at tilsynsmyndighederne øger samarbejdet på tværs af landegrænser for at øge effektiviteten af håndhævelse af reglerne. Bødeniveauerne er forholdsvis høje, men påbud og forbud kan være lige så indgribende sanktioner for virksomhederne.

Overtrædelse af databeskyttelsesreglerne kan være en bekostelig affære i kroner og øre, men en overtrædelse kan også betyde tab af brandværdi og dårlig medieomtale.

Vores rådgivning

I Danmark er databeskyttelsesreglerne udmøntet i Databeskyttelsesforordningen (GDPR) og databeskyttelsesloven. Men der er også mange regler om databeskyttelse i særlovgivning, fx inden for den finansielle sektor, forskning og patientbehandling. Hvad der gør sig gældende inden for ét område, gør sig derfor ikke nødvendigvis gældende for et andet.

Vi rådgiver virksomheder inden for alle sektorer samt myndigheder med at leve op til databeskyttelsesreglerne, og vi kan også hjælpe jer. Vi er både juridisk og strategisk samarbejdspartner for vores klienter.

​Herunder har vi samlet eksempler på vores rådgivning inden for forskellige områder og sektorer: 

Persondata, årshjul og test audits

Det er et grundlæggende krav, at dataansvarlige og databehandlere har styr på, hvilke personoplysninger der behandles og hvorfor. Mange behandler, opbevarer og videregiver store mængder af personoplysninger uden rigtigt at have taget stilling til hverken interne eller eksterne processer. Begrebet compliance kan være en uhåndgribelig størrelse, og det er ofte svært at gennemskue, om virksomheden eller myndigheden er compliant eller ej.

Der er ingen "one size fits all"-løsning for compliance med databeskyttelse, men de fleste skal arbejde med seks trin:

Hvis I endnu ikke er kommet helt i mål, kan vi hjælpe jer igennem de seks trin.
Til en start er det en fordel, at ansvaret og opgaverne relateret til databeskyttelse er fast forankret gennem stærke strukturer for governance. 

Ledelsen skal inddrages – helst så tidligt som muligt –, og de skal bakke op om indsatserne, både på kort og lang sigt, hvis compliance for alvor skal leve i organisationen. Ledelsens "buy-in" er altafgørende for at få organisationen til at foretage de ændringer, som GDPR-compliance uundgåeligt vil medføre. Vi kan hjælpe jer med, hvordan I bedst får ledelsen med ombord.

Dernæst skal I sætte det interne team, som både skal udstikke rammerne og varetage den daglige drift (afhængig af sektor). De skal have mulighed for at rådgive organisationen om tiltag, der skal blive en fast, integreret del af de daglige processer. Det er nødvendigt med løbende træning af medarbejderne for at sikre awareness om reglerne (eksempelvis for at sikre opmærksomhed på, hvornår der reelt sker et databrud). Hvis I er underlagt krav om at udpege en databeskyttelsesrådgiver (DPO), er denne funktion forpligtet til at sikre opfyldelse af visse opgaver. Vi tilbyder også at indtage rollen som jeres DPO.

Hvis I er interesserede i at kende niveauet for jeres compliance, kan vi planlægge og udføre compliance audits (test audits) i jeres organisation. Disse audits er en metode til at afdække lovovertrædelser, fastlægge årsagen til overtrædelserne og komme med forslag til konkrete tiltag, der retter op på overtrædelserne og undgår fremtidige overtrædelser. 

Et compliance audit kan desuden være et nyttigt redskab til brug for at opnå lydhørhed hos ledelsen omkring vigtigheden af databeskyttelse.

Tredjelandsoverførsler, internationale aftaler og samarbejde med databehandlere

Stort set alle organisationer samarbejder med leverandører, der på den ene eller anden måde håndterer personoplysninger som databehandler (fx en IT-leverandør eller den leverandør, I bruger til at hjælpe med udbetaling af medarbejdernes løn). Det samarbejde kræver indgåelse af en databehandleraftale, der er underlagt visse indholdskrav, og der skal ske løbende auditering af databehandleren.  

Det er også nødvendigt at sikre et fuldt overblik over hele kæden af databehandlere og underdatabehandlere – særligt når disse opererer internationalt. Overførsel af personoplysninger til lande uden for EU/EØS har fået meget fokus de seneste år. Kravene er strenge, og myndighederne forventer grundige vurderinger af sikkerhedsniveauet samt kortlægning af eventuelle supplerende foranstaltninger, der skal beskytte oplysningerne under og efter, at overførslen har fundet sted. 

Vi rådgiver om alle dele af samarbejdet med databehandlere samt internationale dataoverførsler, herunder i relation til hvad der kræves forud for, under og efter, at overførslen sker. Vi bistår med alt fra udarbejdelse af databehandleraftaler, valg af rette overførselsgrundlag (EU-U.S. Data Privacy Framework (DPF), SCC'er, Binding Corporate Rules, anvendelse af undtagelsesbestemmelser mv.). En del leverandører tager også forbehold for anvendelse af data til egne formål, og det hjælper vi også med at afdække og rådgive om.

Vi følger konstant med i udviklingen og har altid fingeren på pulsen i forhold til de nyeste trends relateret til tredjelandsoverførsler og brug af cloudtjenester og kunstig intelligens.

Sikkerhedsbrud og cybersikkerhed

Uanset hvor godt kravene til sikkerhed efterleves, sker der sikkerhedsbrud af varierende art i alle organisationer. Det er vigtigt, at de håndteres hurtigt, korrekt og effektivt for at undgå, at det udvikler sig til hændelser, der skader mere end nødvendigt. Vi hjælper ofte klienter både med akut krisehåndtering, når det er gået galt, og er tilgængelige når som helst i de situationer. Til en start hjælper vi med at få stoppet bruddet (hvis det ligger inden for det juridiske område at rådgive herom) og med at lave en risikovurdering af bruddet. Den risikovurdering skal afdække, om det skal anmeldes til Datatilsynet (og/eller andre myndigheder) og til de registrerede.

Cybersikkerhed, digitalisering og databeskyttelse hænger tæt sammen, og her kommer blandt andet NIS2-direktivet og DORA-forordningen ind i billedet. Begge reguleringer stiller krav til digital robusthed. Vores team for cybersikkerhed rådgiver om DORA og NIS2, og GDPR-teamet rådgiver om, hvordan I overholder databeskyttelsesretten i forbindelse med udvælgelse og implementering af nye tekniske og organisatoriske tiltag, eksempelvis ved behov for nye firewalls, mobile device management eller ny cloud infrastruktur. Når det er påkrævet, udarbejder vi konsekvensanalyser (DPIA), som udgør et solidt beslutningsgrundlag for ledelsen.

Kunstig intelligens (AI)

I forhold til kunstig intelligens er spørgsmålet ikke længere "om" men "hvordan". Broen skal bygges mellem AI og databeskyttelse. Det kan være en stor opgave, og for alle organisationer, der anvender AI, er det nødvendigt at indtænke "privacy by design" allerede fra projektets opstart sammen med hjemmel til behandling af personoplysninger, både til træning af modeller og til drift.

Vi anvender først og fremmest vores tekniske indsigt, når vi rådgiver i spændingsfeltet mellem databeskyttelsesret og AI. Indledningsvis er det relevant at få klarlagt, hvor i organisationen AI anvendes, enten som systemer eller som komponenter. Derudover skal der være et behandlingsgrundlag, og aktiviteten vurderes op mod de generelle principper som dataminimering, indsigelsesret, transparens osv. 

Vi hjælper også med udarbejdelse af al dokumentation, herunder risikovurderinger, konsekvensanalyser (DPIA) og Fundamental Rights Impact Assessments (FRIA). 

Markedsføringsaktiviteter, e-handel og cookies

Reglerne i GDPR spiller tæt sammen med det markedsføringsretlige område, der blandt andet tæller reglerne i markedsføringsloven, reglerne om indsamling og behandling af data via cookies, forbrugeraftaleloven og e-handelsreglerne.

Det er af stor betydning, at virksomheder har styr på markedsføringsaktiviteterne, for god markedsføring skaber gode kundeoplevelser og er samtidig med til at sikre tillid og tiltro til jeres image og brand.

Markedsføringsaktiviteter er oftest datadrevne, fx ved hjælp af cookies på en hjemmeside eller en pixel i en e-mail, der tracker og følger en brugers færden og adfærd. Disse data udgør personoplysninger og kræver overholdelse af krav til f.eks. samtykke og gennemsigtighed.

Håndtering af individernes rettigheder

Individers rettigheder er et centralt element i GDPR, og alle henvendelser fra de registrerede skal håndteres i henhold til reglerne. Kravene er detaljerede og rummer både formkrav, indholdskrav og tidsfrister for besvarelsen af en henvendelse fra et individ. Der er også regler om, hvordan den registrerede skal identificere sig, men der må ikke kræves for meget ID heller. For at lykkes forudsætter det, at I har udarbejdet og følger faste retningslinjer og procedurer.

Hver henvendelse skal håndteres individuelt, og der kan være kommercielle interesser, der begrunder, at en virksomhed ikke ønsker at efterkomme en anmodning fra en registreret person, f.eks. om at få indsigt i alle personoplysninger. I de tilfælde kan vi hjælpe med at vurdere, om nogen af undtagelsesbestemmelserne kan anvendes som et retligt grundlag for at afvise anmodningen helt eller delvist. 

Udformning af privatlivspolitikker og interne retningslinjer

For at kunne sikre overholdelse af de databeskyttelsesretlige regler er det nødvendigt, at jeres interne retningslinjer er tilgængelige og forståelige for alle medarbejdere. 

På samme måde skal jeres kunder og samarbejdspartnere kunne læse om, hvordan I behandler deres oplysninger i jeres privatlivspolitik. Vi kan hjælpe jer med at udforme både klare interne retningslinjer til medarbejderne og eksterne privatlivspolitikker, der vil sikre, at jeres organisation overholder reglerne om transparens og ansvarlighed.

Virksomhedsoverdragelser og due diligence-processer

Databeskyttelse er en essentiel del af både køb og salg af virksomheder, herunder i due diligence-processer for både købere og sælgere. Det kan eksempelvis være afgørende for en virksomhedsoverdragelse, om køberen kan få adgang til leaddatabasen i det købte selskab, eller om virksomheden må starte forfra med at indsamle leaddata.

Ligeledes kan det være relevant for køber at få afklaret, hvorvidt de vil kunne overtage de samtykker til f.eks. at sende nyhedsbreve, der tidligere er indhentet af sælger. I samarbejde med vores M&A-kollegaer har vi stor erfaring i at sikre, at alle databeskyttelsesretlige forhold afdækkes og afklares på relevante tidspunkter i processen. På den måde kan både køber og sælger træffe beslutninger på et oplyst grundlag.

Interne undersøgelser og advokatundersøgelser

Mange virksomheder kommer ud for, at de på et tidspunkt skal foretage undersøgelser af uregelmæssigheder i organisationen. I samarbejde med teamet, der varetager undersøgelser og advokatundersøgelser, sikrer vi, at både whistleblowerloven og databeskyttelsesreglerne overholdes i processen. Vi ser f.eks. på dataminimering i undersøgelsen, særregler om forbud mod "tipping off", gennemsigtighed over for de undersøgte og andre, der bidrager i interviews osv. Indledningsvis undersøger vi ofte, om der er grundlag for helt at hemmeligholde undersøgelsen og i givet fald udstrækningen deraf.

Fintech

Den finansielle sektor er underlagt et hav af særregler, når det kommer til databeskyttelse. Vi og vores kolleger i de fintech-teams, vi samarbejder med, er velbevandrede i snitfladerne mellem GDPR og disse særregler. Det kan eksempelvis være i relation til kreditoplysninger (iht. kreditaftaleloven og lov om forbrugslånsvirksomhed), outsourcingregler (fx i outsourcingbekendtgørelsen, betalingsloven og - fremover - DORA), open banking (fx kontooplysningstjenester) og brug af betalingsoplysninger efter betalingsloven.

Forskning, lægemiddelforsøg og helbredsoplysninger 

Der gælder særlige behandlingsregler i sundhedslovgivningen, herunder krav om udførelse af kliniske forsøg, journalførelse og patientsamtykker. Og dét er vigtigt at være bevidst om, hvis jeres virksomhed eller organisation opererer inden for sundheds- og forskningsområdet. 

Databeskyttelsesreglerne indeholder ligeledes krav, der skal overholdes, hvis data behandles til brug for forskning. F.eks. giver det anledning til persondataretlige overvejelser, når data indsamlet i ét studie senere skal bruges til et andet formål, ligesom der i visse situationer kan være krav om at indhente Datatilsynets forudgående godkendelse, hvis data behandlet til forskningsmæssige formål overføres til lande uden for EU/EØS. Vi har stor indsigt i og viden om forskningsområdet, ligesom vi også har international erfaring, vi kan trække på. 

Overhold reglerne med vores værktøjer og services 

​Databeskyttelsesreglerne er komplekse og kan være udfordrende at navigere i og overholde. Hvis I er en mindre virksomhed, kan udfordringen ofte være manglende ressourcer. Hvis I er en større af slagsen, kan udfordringen være kompleksiteten i reglerne eller den manglende forankring af nødvendige databeskyttelsesprocesser i virksomheden. Vi vil meget gerne hjælpe og stiller derfor en række værktøjer og services til rådighed, der kan understøtte jeres praktiske overholdelse af databeskyttelsesreglerne.  

Vores DPO-service

Hvis din virksomhed har brug for en databeskyttelsesrådgiver (DPO), kan vi hjælpe. Det kan både være en langsigtet løsning men også i en mellemliggende periode, f.eks. hvis en databeskyttelsesrådgiver har sagt op, til en ny er ombord. Vi kan indtage rollen som jeres DPO og lave en skræddersyet DPO-løsning til jeres specifikke behov og økonomi.

Læs mere om vores DPO-service her:

Speciale

DPO-service

Hvis din virksomhed har brug for en databeskyttelsesrådgiver (DPO), kan vi hjælpe. Vi kan indtage rollen som jeres DPO og lave en...

Whistleblowerordninger

Både den offentlige og private sektor har de seneste år haft øget fokus på at etablere whistleblowerordninger. Vi har bred erfaring med netop whistleblowerordninger og kan hjælpe dig og din virksomhed, hvis I står over for etableringen af en. Vi kan samtidig tilbyde jer brug af vores digitale whistleblowerløsning til at sikre, at jeres medarbejdere anonymt og effektivt kan indberette mistanke om uregelmæssigheder og ulovligheder.

Læs mere om whistleblowerordninger og vores digitale whistleblowerløsning her:

Speciale

Whistleblower­ordninger

Vi rådgiver om etablering og administration af whistleblowerordninger, og vi administrerer en lang række whistleblowerordninger på...