Skal du være ekstra opmærksom? Datatilsynet har offentliggjort deres fokusområder for tilsynsaktivitet i 2024

Datatilsynet har offentliggjort deres nye tilsynsplan for 2024, hvor de opstiller en række områder, hvor du som virksomhed, skal være særligt opmærksom.

Kunstig intelligens og automatisering

Udviklingen og udbredelsen af kunstig intelligens (”AI”) er vokset eksponentielt og bliver pt. anskuet til at få en grundlæggende betydning for måden stort set alle på sigt vil arbejde på. AI skal dog bruges med respekt for det enkelte menneskes personoplysninger, da teknologien ubestridt kan indebære særlige risici i forbindelse med behandlingen af personoplysninger. Det er således ikke overraskende, at Datatilsynet vælger dette som fokusområde i 2024.

Nogle virksomheder benytter AI med respekt for at personoplysninger ikke må gives videre og andre bruger enorme ressourcer på at skabe et lukket forum, hvor persondata behandles korrekt efter forordningen.

Uagtet, hvordan man vælger at benytte det, så vil brugen heraf blot vokse, hvorfor Datatilsynet vil øge sit fokus på hvilke risici brugen af kunstig intelligens medfører. De vil derfor ved et tilsyn efterse, at oplysningerne håndteres forsvarligt og at kunstig intelligens kun anvendes, hvor det er i overensstemmelse med databeskyttelseslovgivningen. Foruden tilsyn med brugen af kunstig intelligens, vil Datatilsynet også fokusere på brugen af automatiseringsløsninger, herunder de databeskyttelsesretlige problematikker, der kan opstå som følge heraf.

Medarbejderovervågning

En anden vigtig opgave som Datatilsynet har fokus på er, hvordan arbejdsgivere, både i den private og offentlige sektor, overvåger deres ansatte.

Datatilsynet vil undersøge hvordan og hvorfor virksomheder overvåger deres ansatte samt kontrollere, at overvågningen sker i overensstemmelse med gældende lovgivning.

Den registreredes ret til indsigt – borgeres adgang til egne data

Man har ret til indsigt i ens egne data for at give den registrerede mulighed for at se hvilke personoplysninger, der behandles om den pågældende og skabe mere gennemsigtighed omkring, hvordan oplysningerne behandles.

Datatilsynet vil med udgangspunkt i håndhævelsesrammen (Coordinated Enforcement Framework (CEF) deltage i den koordinerede fælles aktivitet mellem de europæiske tilsynsmyndigheder og sikre korrekt håndtering af indsigt i personlige data.

Boligforeninger i fokus

Boligforeningers og dermed udlejeres håndtering af beboernes data, herunder brug af videoovervågning og TV-overvågning, vil også blive kontrolleret i 2024. Der gælder for boligforeninger, herunder deres administratorer, præcis de samme rettigheder, som gælder for alle andre og nu rettes fokus på at kontrollere lejernes rettigheder.

Lejerne har ret til at få indsigt i deres personoplysninger og kan anmode om rettelser eller sletning. Boligforeninger, der bruger tv-overvågning, skal overholde reglerne for skiltning og optagelsernes håndtering. Datatilsynet har udgivet en vejledning om tv-overvågning, som boligforeninger bør følge, hvis de bruger dette.

Hvis en boligforening ikke overholder databeskyttelsesreglerne, kan Datatilsynet træffe forskellige sanktionsforanstaltninger. Disse omfatter advarsler, offentlig kritik og påbud om at rette op på ulovlige behandlinger. I alvorlige tilfælde kan Datatilsynet også pålægge bøder, hvor bødens størrelse afhænger af flere faktorer, såsom karakteren af overtrædelsen, antallet af berørte personer og selskabets tidligere overtrædelser. En mellemstor virksomhed kan for eksempel blive pålagt en bøde på over 1,5 millioner kr. for overtrædelse af reglerne om de registreredes rettigheder ifølge Datatilsynets bødevejledning.

Kommunale webarkiver under observation

Datatilsynet ændrede i 2021 praksis vedrørende offentliggørelse af personoplysninger i webarkiver. Efter 2021 måtte e-mailadresser, telefonnumre og korrespondance, der ikke vedrørte den konkrete ejendom, ikke længere blive offentliggjort i de tilgængelige webarkiver. Dette ændrede dog ikke tidligere offentliggjort materiale, men kommuner skulle tilpasse deres praksis inden 1. januar 2022.

Datatilsynet vil derfor have særligt fokus på, hvordan kommunerne arkiverer offentlige oplysninger på nettet, og om de overholder gældende retningslinjer.

Privatskoler

Det er blandt andet for privatskoler nødvendigt at behandle en række personoplysninger om elever og forældre. Datatilsynet har tidligere forsøgt at hjælpe med denne vurdering ved at udgive en tjekliste om skolers brug af billeder. Formålet med tjeklisten er at give ansatte og ledere vejledning i, hvordan man sikrer sig, at skolens brug af billeder er i overensstemmelse med databeskyttelsesreglerne.

Datatilsynet vil således i 2024 også have fokus på, hvordan privatskoler behandler elevernes personlige oplysninger, herunder indsigts- og sletteanmodninger.

Online og fysisk indkøb – detailhandlens håndtering af data

Både online og fysiske butikkers behandling af kundeoplysninger vil blive nøje overvåget, da der unægtelig indenfor detailhandlen bliver gemt utrolig mange personoplysninger, eksempelvis betalingskortoplysninger og indkøbsapp. Der vil derfor være særligt fokus på ”husk mit kort” funktioner ved online handel, samt tilsvarende i fysiske butikker med scan-og-betal-apps.

Forebyggelse af datamisbrug

Både offentlige og private organisationer har et ansvar som enten dataansvarlige eller databehandlere for at opretholde et passende sikkerhedsniveau under behandlingen af personoplysninger. Dette indebærer nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger for at forhindre uvedkommen adgang til oplysninger, f.eks. som følge af misbrug af adgangsrettigheder.

I de seneste år har Datatilsynet observeret adskillige tilfælde af brud på persondatabeskyttelse, hvor utilstrækkelig styring af adgangsrettigheder har øget risikoen for misbrug af personoplysninger. Eksempler inkluderer situationer, hvor en hacker har fået lettere adgang til oplysninger i systemet eller hvor medarbejdere ulovligt har tilgået personoplysninger af nysgerrighed eller for personlig gevinst uden opdagelsesrisiko. Datatilsynet har udarbejdet adskillige vejledninger herom til hjælp.

Et eksempel på en sag er eksempelvis, da Sirius Advokater beklageligvis blev indstillet til en bøde på kr. 500.000 efter at særligt beskyttelsesværdige personoplysninger blev kompromitteret efter et hackerangreb. Derfor har Datatilsynet i 2024 besluttet at sætte fokus på dette område hos visse offentlige og private dataansvarlige.

Sikker databehandling i kommuner og regioner

Datatilsynet vil fortsætte med at vurdere datasikkerheden i kommuner og regioner, hvor de igennem de seneste mange år har haft fokus på en effektiv kontrol.

Europæiske informationssystemer

Datatilsynet vil også overvåge, hvordan danske myndigheder behandler personlige data i fælleseuropæiske informationssystemer.

Retshåndhævelsesloven – Politiets Datahåndtering

Retshåndhævelsesloven finder anvendelse på behandlingen af personoplysninger foretaget af politiet, anklagemyndigheden, kriminalforsorgen, Den Uafhængige Politiklagemyndighed og domstolene i forbindelse med forebyggelse, efterforskning, opdagelse, retsforfølgelse eller fuldbyrdelse af strafferetlige sanktioner. Datatilsynet fører tilsyn med, hvordan de retshåndhævende myndigheder behandler personoplysninger i henhold til retshåndhævelsesloven, med undtagelse af domstolene.

I løbet af 2024 planlægger Datatilsynet at gennemføre en række tilsynsaktiviteter for at sikre overholdelse af lovens bestemmelser blandt de retshåndhævende myndigheder.

PNR-lov: Politiets brug af passageroplysninger

Endelig vil Datatilsynet sikre, at politiet håndterer passagerdata fra flyselskaber (PNR-oplysninger) korrekt i overensstemmelse med PNR-loven, herunder at de udelukkende anvendes til de formål, som PNR-loven godkender.

Hos ØENS Advokatfirma anbefaler vi altid, at man tager databeskyttelsesreglerne seriøst. Det er ofte forbundet med omfattende bøder, hvis man handler i strid med reglerne, ligesom der i stigende grad opleves hackerangreb ved manglende beskyttelse. Reglerne er derfor med til at sikre os alle og give en større tryghed.

Hvis du har spørgsmål til databeskyttelseslovgivningen og de krav som din virksomhed kunne være underlagt, er du altid velkommen til at kontakte advokat og associeret partner Lisa Lykke på tlf. 32 46 46 38 eller mail lly@oadv.dk.

Har du brug for hjælp?

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

Har du været ude for, at personoplysninger om dig deles uden dit samtykke?

Den teknologiske udvikling har gjort det let for virksomheder og privatpersoner, at få online adgang til alle typer personoplysninger – blot ved få klik. Heldigvis er det som EU-borger blevet lettere at slette personoplysninger med Persondataforordningen. Med Persondataforordningen, kaldet GDPR, indførtes sletningsretten, ”retten til at blive glemt”

Hvilke personoplysninger kan du få slettet?

Det er formodentligt ikke alt, du ønsker at blive husket for.

Sletning af private oplysninger, sker som udgangspunkt kun efter din anmodning. Sletningsretten gør sig gældende når:

• Personoplysningerne ikke længere er nødvendige for at opfylde de formål, hvortil de blev indsamlet.
• Den registrerede trækker sit samtykke tilbage, og der ikke er et andet retsgrundlag for at beholde data.
• Personoplysningerne er blevet behandlet ulovligt.
• Sletningen kræves for at overholde en retlig forpligtelse i EU-retten eller anden national ret.
• Indsamlingen er sket i forbindelse med udbud af informationssamfundstjenester.

Hvilke begrænsninger er der for dig?

Der er dog få undtagelser. Sletningsretten kan ikke kræves, hvis dine data bruges enten:

• For at udøve retten til ytrings- og informationsfriheden.
• For at overholde en retlig forpligtelse, udføre en opgave i samfundets interesse eller udøve offentlig myndighedsudøvelse.
• Af hensyn til samfundsinteresser på folkesundhedsområdet.
• Til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål.
• For at et retskrav kan fastlægges, gøres gældende eller forsvares.

Hvis ingen af de fem undtagelser eksisterer i din sag, kan du således kræve sletning af dine personoplysninger.

Den dataansvarliges underretningspligt

Hvis den dataansvarlige har offentliggjort dine personlige oplysninger, skal den dataansvarlige, som noget nyt, foruden at slette dine personoplysninger, links, billeder og kopier, underrette andre dataansvarlige, som kunne have dine personoplysninger, om sletning, medmindre underretningen er umulig eller uforholdsmæssig vanskelig.

Hvis uheldet er ude:

Har du oplevet, at dine personoplysninger er blevet benyttet i problematiske sammenhænge, delt uden dit samtykke eller vil du vide mere, så kontakt advokatfuldmægtig Lisa Lykke, som kan hjælpe dig med din sag.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

Er din virksomhed klar til at etablere den lovpligtige whistleblowerordning?

Den 24. juni 2021 vedtog Folketinget Forslag til lov om beskyttelse af whistleblowere. Loven implementerer EU-direktivet 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (whistleblowerdirektivet).
For mange private arbejdsgivere er der ikke lang tid til, at det bliver lovpligtigt at etablere en intern whistleblowerordning. Det følger nemlig af loven, at:

• Private virksomheder med 50-249 ansatte, skal have etableret en whistleblowerordning i overensstemmelse med whistleblowerloven senest den 17. december 2023.
• Private virksomheder med mere end 250 ansatte skulle have etableret en whistleblowerordningen allerede den 17. december 2021. Det samme gælder for offentlige institutioner.

Risikoen for at medarbejdere foretager indberetninger til den eksterne whistleblowerordning hos Datatilsynet er større, når ikke virksomhederne har etableret den interne whistleblowerordning. Det er således vores klare anbefaling, at alle arbejdsgivere får etableret en intern whistleblowerordning – også inden fristen den 17. december 2023.

Udvidelse af kredsen af forpligtede arbejdsgivere

Loven udvider kredsen af arbejdsgivere, der før december 2021 var forpligtet til at etablere en whistleblowerordning. Videre bestemmer loven også, at arbejdsgivere, der er omfattet af loven, og der i dag har etableret en lovpligtig whistleblowerordning, skal opdatere denne, således at ordningen opfylder betingelserne i lovgivningen.

Ud over at være en ordning som virksomhederne skal have for at overholde lovgivningen, så er en whistleblowerordning et vigtigt redskab, som giver ansatte, bestyrelsesmedlemmer og andre med direkte tilknytning til virksomheden mulighed for fortroligt og/eller anonymt at indberette uregelmæssigheder eller overtrædelse af lovgivningen til ledelsen eller en uafhængig rådgiver. Det giver mulighed for at forebygge og opdage alvorlige økonomiske og kriminelle forhold på arbejdspladsen, herunder chikane. Det giver således uanset god mening at have et proaktivt værktøj som en whistleblowerordning.

Beskyttelse af whistlebloweren

Loven beskytter whistleblowere mod bl.a. repressalier, når vedkommende indberetter forhold, som vedkommende er blevet bekendt med i forbindelse med arbejdsrelaterede aktiviteter, så længe oplysningen er omfattet af lovens anvendelsesområde.

Beskyttelsen forudsætter, at whistlebloweren har lavet en indberetning eller offentliggørelse i overensstemmelse med lovens regler. Beskyttelsen forudsætter desuden at oplysningerne var omfattet af lovens anvendelsesområde at whistlebloweren var i god tro om, at de indberettede oplysninger om overtrædelser var korrekte på tidspunktet for indberetningen.

Loven sikrer, at der ikke må udøves repressalier mod whistleblowere, herunder afskedigelse, forflytning, lønnedgang, chikane mv., som følge af, at de har foretaget en indberetning. Whistleblowere, der er blevet udsat for repressalier som følge af en indberetning, har krav på en godtgørelse, hvis størrelsesniveau lægger sig op ad ligebehandlingslovens regler. Der gælder en særlig bevisbyrderegel om omvendt bevisbyrde, hvorefter det er arbejdsgiveren, der skal bevise, at der konkret ikke er tale om repressalier, hvis whistlebloweren beviser at have foretaget en indberetning og have lidt en ulempe.

Beskyttelsen indeholder derudover en særlig tavshedspligt om indberetningens indhold og whistleblowerens identitet. Der vil dog være mulighed for at videregive oplysningerne under visse betingelser, herunder når det er nødvendigt til brug for at hindre lovovertrædelser mv.

ØENS tilbyder

Det er ikke kun selve indberetningskanalen, som er et krav i forbindelse med etableringen af whistleblowerordningen. Arbejdsgivere har ligeledes pligt til at etablere interne retningslinjer samt politikker, der beskriver hvordan ordningen anvendes. Derudover skal der etableres en whistleblowerenhed der – uafhængigt af virksomhedens ledelse – har ansvaret for at behandle alle indberetninger korrekt.

ØENS har allerede hjulpet mange arbejdsgivere ved at tilbyde en whistleblowerordning med tilhørende dokumentpakke således, at din virksomhed lever op til lovkravene inden for området.

ØENS tilbyder i samarbejde med LegalTech Denmark ApS et whistleblowersystem, som håndterer jeres whistleblowerordning fra start til slut, herunder:

• Adgang til whistleblowerportalen for jeres medarbejdere og samarbejdspartnere,
• En krypteret og sikker løsning for indberetning både skriftligt og mundtligt,
• Mulighed for at tilgå portalen både fra PC, mobil og tablet,
• Mulighed for kommunikation i en lukket portal,
• Mulighed for anonym indberetning,
• Mulighed for at uploade dokumentation krypteret direkte på portalen,
• Skriftlige retningslinjer for indberetningen, beskyttelsen af whistlebloweren, de forhold der kan indberettes m.v.,
• Skriftlig vejledning om indberetning,
• Skriftlig forretningsgang vedr. jeres interne proces og procedure for håndteringen af indberetningerne under whistleblowerordningen, og en
• Skriftlig privatlivspolitik, der redegør for, hvordan indberetterens og den indberettedes personoplysninger behandles under jeres ordningen.

Vi tager udgangspunkt i jeres virksomhed

Dokumentpakken og vores abonnementsløsning udarbejdes specifikt til jeres virksomhed og i tæt dialog med jer. De indberetninger, som I modtager vil ØENS, som whistleblowerenhed, gennemgå ift. om de falder inden for eller uden for jeres ordning – alternativt som en personalesag – samt om det er indberetninger, der skal forfølges.

ØENS Advokatfirma tilbyder alt dette for kr. 6.000 pr. år.

Det kan være vanskeligt både som medarbejder og som arbejdsgiver at navigere i det nye regelsæt, herunder særligt om et konkret forhold falder ind under whistleblowerlovens anvendelsesområdet. Hvis ikke forholdet falder indunder, er medarbejderen altså ikke beskyttet af loven.

I den forbindelse tilbyder ØENS også muligheden for at tilkøbe specifik juridisk rådgivning, undervisning af ledelsen og/eller medarbejderne og yderligere rapportering

Hvis I ønsker at høre mere om ØENS whistleblowerordning, er I velkomne til at kontakte advokat Lisa Lykke eller advokatfuldmægtig Maria-Melissa Schneider.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Advokatfirma

Maria-Melissa Schneider

Advokatfuldmægtig

Afdeling:

Ofte, og for mange, flyder arbejdstid og fritid sammen, så vi skelner mindre og mindre mellem fritid og arbejde. Smartphones med mailindbakke og vores elektroniske adgang til arbejdet gør, at mange i stigende omfang blander fritid og arbejdstid sammen.

Men hvor tæt er forbindelsen mellem arbejdspladsen og medarbejderen egentlig, når det kommer til medarbejdernes gøren og laden i fritiden?

Dette blev prøvet i en konkret sag, U.2016.3097, som Vestre Landsret fik lejlighed til at vurdere.

I den konkrete sag bortviste en arbejdsgiver den 1. juli 2013 en medarbejder fra arbejdspladsen, fordi den pågældende medarbejder den 22. juni 2013 havde udvist grov adfærd til en privat 50 års fødselsdag, hvor en del af den pågældendes kollegaer ligeledes deltog.

Medarbejderen havde til festen været voldelig. Han havde tildelt et slag i ansigtet på en mandlig kollegas ægtefælle, verbalt fornærmet en kvindelig kollega samt bevidst hældt øl i håret på en mandlig kollega. Dette gjorde, at landsretten fandt, at adfærden var så grov, at kollegaerne berettiget var utryg ved den pågældende og ved at samarbejde med ham.

Sagen kom for landsretten

Landsretten fandt, modsat byretten, at bortvisningen var berettiget. Dette blev begrundet i alvoren af den tidligere medarbejders udtalelser og handlinger. Og naturligvis det faktum, at flere af medarbejderens kollegaer efter festen udtrykte bekymring ved at samarbejde med den pågældende efterfølgende.

Retten lagde i den konkrete sag til grund, at bortvisningen den 1. juli 2013 ikke var bortfaldet ved passivitet. Omsorgschefen i virksomheden var først den 25. juni 2013 blevet orienteret om den pågældendes adfærd ved festen og først derefter kunne det fulde hændelsesforløb klarlægges efter flere undersøgelser.

Dommen viser, at arbejdsgiverens ret til at bortvise en medarbejder kan strækkes uden for arbejdspladsen og ud over arbejdstiden. Hvert fald når adfærden har indflydelse på arbejdspladsen.

Har du spørgsmål til en lignende sag? Kontakt en af ØENS specialister til en drøftelse af sagen.

Hvidvaskloven er implementeret som et led i den internationale bekæmpelse af hvidvask af penge, som stammer fra kriminalitet, samt af terrorfinansiering. Hvidvaskloven implementerer både EU´s 4. og 5. hvidvaskdirektiv samt en række internationale anbefalinger fra Financial Action Task Force (FATF).

Hvidvaskloven pålægger virksomheder, der erfaringsmæssigt er særligt udsatte for at blive misbrugt til hvidvaskaktiviteter, en særlig kontrol -og underretningsforpligtelse. Virksomhederne skal underrette myndighederne, hvis de bliver opmærksomme på transaktioner, der forekommer mistænkelige eller ikke umiddelbart forklarlige.

Hvem gælder undersøgelsespligten for?

Loven oplister i lovens første bestemmelse nogle forskellige professioner, der er underlagt reglerne i loven, og dermed lovens restriktive krav.

En af disse professioner er ejendomsmæglere og ejendomsmæglervirksomheder efter hvidvasklovens § 1, nr. 16. Myndighederne mener, at der kan være risiko forbundet med, at midler, der investeres i fast ejendom, kan stamme fra kriminalitet. Derfor er ejendomsmæglervirksomheder blandt flere er omfattet af pligterne.

Pligten indebærer en sikring af identiteten på mæglernes private kunder samt sikring af identiteten på dem, der reelt ejer selskabet, når de handler med virksomheder. Den registrerede daglige ledelse er i sådanne situationer de reelle ejere, og dermed dem, der skal identificeres.

Hvad indebærer undersøgelsespligten?

Undersøgelsespligten gælder dels ledelsen i det selskab, som ejendomsmægleren repræsenterer, men det kan også gælde personer i et selskab på den anden side af en transaktion. Ejendomsmæglere er som hovedregel forpligtet til både at sikre identiteten på deres egne kunder, men også kundens modpart i en transaktion, dvs. både sælger og køber.

Hvis køber dog er repræsenteret af en anden ejendomsmægler, revisor, advokat eller andre som udbyder samme ydelser, jf. hvidvasklovens § 1, stk. 1, nr. 17, skal køber ikke anses som kunde for sælgers mægler, og ejendomsmæglerens pligter omfatter således alene egen kunde.

Hvis kunden er en PEP – politisk eksponeret person, som f.eks. højesteretsdommere, parlamentsmedlemmer m.v. – har mægleren en skærpet forpligtelse til at undersøge oprindelsen af de midler, der er omfattet af transaktionen.

Ejendomsmæglere er underlagt en række forpligtelser, som kan virke fjern for det kommercielle aspekt, som ellers spiller en stor rolle i dagligdagen.

Hvidvasklovens pligter – underretning af kunder m.v.:

• Kundeorientering: Hvis ejendomsmæglerens kunder er fysiske personer, har ejendomsmægleren pligt til at informere om de regler, der gælder for behandling af personoplysninger efter hvidvaskloven. De skal videre orienteres om, at mægleren efter loven har pligt til at underrette myndighederne, hvis de ved eller har mistanke om tilknytning til hvidvask eller terrorfinansiering.

• Kundekendskabsprocedurer: Kundekendskabsprocedurerne skal foretages ved etablering af forretningsforbindelsen og indebærer en indhentelse af identitetsoplysninger på kunden, herunder navn, CPR-nummer, CVR-nummer, pas/kørekort og sygesikringsbevis. Virksomheden har pligt til at indhente og kontrolleres identitetsoplysninger på fysiske personer, herunder reelle ejere, ligesom der skal ske klarlæggelse af en juridisk persons ejer- og kontrolstruktur samt pligt til at indhente oplysninger om forretningsforbindelsens formål. Derudover er der ud fra en risikovurdering krav om løbende ajourføring, da det er en forpligtelse, der løber i hele kundeforholdet.

• Risikovurdering: Virksomheden skal efter lovens § 7 foretage en risikovurdering, som kan dokumenteres med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af de risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves.

• Skriftlige politikker, procedurer og kontroller: Virksomheden har efter lovens § 8 pligt til at tage udgangspunkt i risikovurderingen og udarbejde skriftlige retningslinjer vedrørende en række forpligtelser, blandt andet kundekendskabsprocedurer, undersøgelses-, og noterings-, og underretningspligt.

• Undersøgelse, notering og underretning: Jeres virksomhed har pligt til at undersøge usædvanlige forhold, herunder baggrunden for alle komplekse og usædvanlige aktiviteter. Det skal gøres for at fastslå eller afkræfte en eventuel mistanke. Virksomheden skal kunne afkræfte mistanken helt, hvis der ikke skal ske underretning. Kan mistanken ikke afkræftes, skal der ske underretning mht. aktiviteter og midler, der kan have eller har haft en tilknytning til hvidvask. Dette gøres også gældende ved mistanke om finansiering af terrorisme. Denne pligt gælder selvom mistanken alene drejer sig om en enkelt henvendelse.

Whistleblowerordning:

Virksomheden har derudover pligt til at udarbejde en vurdering af risikoen for, at virksomheden kan blive misbrugt til hvidvask eller terrorfinansiering og en pligt for virksomheder, der beskæftiger sig med mere end fem ansatte (ud over ejerne) til at have en whistleblowerordning.

Hvor længe skal de indhentede oplysninger opbevares?

Ejendomsmægleren er underlagt en pligt til at opbevare de indhentede oplysninger i 5 år efter den pågældende sag er afsluttet. Oplysningerne skal på anmodning udleveres til myndighederne. De må ikke bruges til andet end at opfylde pligterne efter hvidvaskloven, herunder ikke til markedsføring eller lignende.

Tilsynsmyndighed:

Erhvervsstyrelsen fører tilsyn med godkendte ejendomsmæglere efter hvidvaskloven.

Konsekvens for manglende overholdelse:

Bødeniveauet efter hvidvaskloven er løbende indskærpet. Finanstilsynet fik med virkning fra den 10. januar 2020 hjemmel til administrativt at udstede bødeforlæg til virksomheder, som overtræder hvidvasklovgivningen.

Overtrædelser af hvidvaskloven kan typisk opdeles i tre tilfælde:

1. Overtrædelse af kontantforbuddet på kr. 50.000,00 eller derover,
2. Overtrædelse af kundekendskabsprocedurerne, eller
3. Overtrædelse af pligterne til at udarbejde risikovurdering, politik, eller tilstrækkelige forretningsgange.

Overtrædelse af kontantforbuddet (pkt. 1) straffes efter fast praksis efter transaktionsprincippet med 25 % af overtrædelsen, dog minimum kr. 10.000,00.

Såfremt virksomheden ikke har et tilstrækkeligt kundekendskab (pkt. 2) eller ikke undersøger en konkret transaktion grundigt nok, hvis det er påkrævet, straffes virksomheden med bøde. Bøden fastsættes som udgangspunkt efter transaktionsprincippet med 25 % af transaktionsværdien. Hvis der er tale om flere overtrædelser, fastsættes bøden til 25 % af den samlede transaktionsværdi. Ved systematiske overtrædelser af hvidvaskloven, hvor virksomheden har opnået en økonomisk fordel i form af en besparelse, fastsættes sanktionen som udgangspunkt til et beløb svarende til det dobbelte af virksomhedens besparelse (besparelsesprincippet).

Hvis virksomheden ikke har udarbejdet skriftlige politikker eller procedurer m.v. (pkt. 3), eller hvor disse ikke er tilstrækkelige, udmåles en bøde efter retningslinjerne for minimumsbøder i intervallet kr. 50.000,00 til 400.000,00 afhængigt af virksomhedens nettoomsætning. Bøden til fysiske personer med tilknytning til virksomheden udmåles som udgangspunkt til et beløb svarende til 10 % af bøden til virksomheden.

Kontakt os endelig for at høre nærmere om, hvordan vi kan hjælpe dig.

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

En personoplysning er information, der kan henføres til en bestemt person. Dette gælder også, hvis personen kun kan identificeres, såfremt oplysningen kombineres med andre oplysninger. Behandler du mon persondata?

Uanset om du er håndværker, revisor eller andet, så modtager og opbevarer du oplysninger om dine kunder. De oplysninger kan f.eks. være navn, adresse, telefonnummer eller e-mail. Det er alle oplysninger, som er omfattet af persondataforordningen, og som for dig indebærer, at du skal overholde lovgivningen.

Hvad er persondata og personoplysninger og hvordan behandler du disse?

Personoplysninger kan for eksempel være et navn, en e-mail, personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller andet. Der er tale om personoplysninger, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Man siger, at oplysningen er “personhenførbar”.

Du er dataansvarlig

Når du registrerer disse oplysninger om dine kunder, så bliver du dataansvarlig i forordningens forstand. Persondataforordningen medfører en række krav og pligter til dig som dataansvarlig.

Som dataansvarlig skal du derfor bl.a. sikre dig, at du:

• overholder persondataforordningen, og at du kan dokumentere dette, herunder ved hjælp af inkorporering af nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i virksomheden,
• har et behandlingsgrundlag (en behandlingshjemmel), som giver dig lov til at behandle de oplysninger, som du og dine eventuelle databehandlere er i besiddelse af,
• er i stand til at imødekomme og efterleve dine kunders rettigheder som registrerede personer, som f.eks. at du kan opfylde din oplysningspligt, berigtigelsespligt eller give den registrerede indsigt i de oplysninger du opbevarer om personen,
• har gyldige aftaler med klare instruksbeføjelser til eventuelle databehandlere, som du ønsker at gøre brug af,
• får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

Ovenstående er alene eksempler på nogle af de pligter, du kan være underlagt i Persondataforordningen.

De grundlæggende principper for behandling

Udover at du som dataansvarlig er pålagt nogle krav for behandling af dine kunders personoplysninger, så indeholder databeskyttelsesreglerne videre følgende grundlæggende principper, du som dataansvarlig altid skal overholde:

• Behandlingen skal overholde databeskyttelsesreglerne om lovlighed, rimelighed og gennemsigtighed.
• Det skal ved indsamling være klart, hvilke saglige formål oplysningerne skal anvendes til og en eventuel senere behandling må ikke være uforenelig med det oprindelige formål, som personoplysningerne blev indsamlet til.
• Behandling af oplysningerne, herunder opbevaring, skal begrænses til det, der er nødvendigt for at opfylde formålet.
• Oplysninger skal ajourføres, og konstateres det, at oplysningerne er urigtige skal disse slettes eller berigtiges.
• Oplysningerne må ikke opbevares længere tid end nødvendigt for behandlingen. Når de ikke længere er nødvendige, skal de anonymiseres eller slettes.
• Oplysningerne skal passes godt på. De må ikke komme uvedkommende til kendskab, gå tabt eller blive beskadiget.

De grundlæggende principper for behandling kan findes i forordningens art. 5.

Hvad skal du gøre nu?

Det er vigtigt, at du er compliant med persondataforordningen, og dermed overholder reglerne og kravene som dataansvarlig. De mulige retsmidler, det ansvar og de sanktioner, der kan opstå som følge af manglende overholdelse af forordningen, understreger vigtigheden heraf.

Konsekvensen kan være vidtgående. I Danmark blev det første selskab i marts 2019 således indstillet til en bøde på 1,2 millioner kroner for manglende sletning af personhenførbare kundeoplysninger efter et tilsynsbesøg fra Datatilsynet. Indstillingen understreger, at Datatilsynet ikke tager let på brud med Databeskyttelsesforordningen. Alle afgørelserne kan findes på Datatilsynets hjemmeside.

Har du spørgsmål til persondatareglerne eller vil du vide, om du er compliant, er du meget velkommen til at kontakte ØENS persondataspecialist Lisa Lykke.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

Overholder din virksomhed persondatareglerne?
GDPR har til formål at fremme beskyttelsen af persondata. Hvis virksomheder ikke efterlever persondatareglerne, er der i GDPR, persondataforordningen, hjemmel til at pålægge private virksomheder store bøder på op til 20 millioner euro eller op til 4 % af virksomhedens/koncernens globale årsomsætning – afhængig af, hvad der er højest.

Hvad er persondata?
Håndtering af persondata gælder både følsomme og ikke-følsomme personoplysninger. Eksempler på følsomme oplysninger er personnummer, helbredsoplysninger, politisk tilhørsforhold og strafbare forhold, mens data som navn, adresse og telefonnummer betragtes som ikke-følsomme oplysninger.

Overordnet om persondataforordningen:

• Persondataforordningen giver en række rettigheder til de personer, hvis personoplysninger behandles (de registrerede), herunder en oplysningspligt om indsamling samt behandling af data.
• Persondataforordningen stiller krav til skriftlige databehandleraftaler mellem virksomheder og leverandører, som opbevarer eller behandler data på vegne af virksomheden.
• Virksomheder, hvis forretningsområde er at være databehandler, har udvidede forpligtelser og ansvar for overtrædelser. Den dataansvarlige, der har bestilt databehandlingen, skal dog stadig opfylde forpligtelserne over for de registrerede, herunder en oplysningspligt om enhver indsamling og behandling af data om den pågældende.
• Virksomheden skal have IT-systemer og applikationer, der kan anvendes til behandling af persondata, og de skal opfylde et krav om “Privacy by Design”. Det betyder, at de som standardindstilling skal sikre størst mulig beskyttelse af persondata.
• Kravene til den registreredes gyldige samtykke er skærpet og er eksplicit fastsat i lovgivningen.
• I har en selvanmeldelsespligt ved databrud, f.eks. ved hackerangreb, hvor persondata kompromitteres. Anmeldelse skal ske inden 72 timer til Datatilsynet.

Det er ikke nok, at I overholder reglerne i persondataforordningen. I skal ligeledes kunne dokumentere denne overholdelse. Kravene til dokumentation for at I overholder persondataforordningen (compliance) er blevet skærpet væsentligt og skal kunne vises til Datatilsynet, hvis de kommer på uanmeldt besøg.

Hvordan kommer I i gang?

Vi anbefaler at I udpeger relevante nøglepersoner i virksomheden, og afsætter tid og økonomi til arbejdet.
Dernæst skal I få kortlagt persondata i virksomheden, herunder:

• Hvilke persondata behandles?
• Hvem behandler vi persondata om?
• Hvad er formålet med databehandlingen?
• Er der samtykke eller andet lovligt grundlag for databehandlingen?
• Hvor gemmes data og hvem har adgang hertil?
• Deles data med tredjemand?
• Hvor længe gemmes data?

Når I har kortlagt persondata i virksomheden, bør I:

• Få skriftlige databehandleraftaler på plads i det omfang, det er nødvendigt.
• Få udarbejdet persondatapolitikker for de relevante funktioner, f.eks. HR, salg/marketing samt jeres egen personalehåndbog mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav.
• Implementere de nødvendige tekniske og organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata.
• Få udviklet processer, der sikrer, at medarbejdere, kunders mv. (de registrerede) rettigheder bliver overholdt. F.eks. oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke.
• Vær klar til et eventuelt databrud. I skal have udarbejdet en procedure og et beredskab til håndtering heraf.
• Sørg for uddannelse af medarbejdere.
• Udpeg en persondataansvarlig, som følger op og sikrer fortsat compliance i virksomheden.

Få vores hjælp til GDPR

ØENS Advokatkontor kan hjælpe jer videre i forbindelse med persondatatjek og overholdelse af persondataforordningen. Vi vil sikre:

• Persondatatjek af jeres virksomhed.
• Persondatainstruks til HR-medarbejdere eller andre nøglepersoner.
• Persondatapolitik til rekruttering.
• Opdatering/udarbejdelse af intern personalehåndbog vedr. persondata.
• Persondatapolitik til virksomhedens hjemmeside og dermed jeres kunder.
• Persondatainstruks ift. it-sikkerhedspolitik.
• Procedure for håndtering af databrud.
• Udarbejdelse/gennemgang af databehandleraftaler.
• Tekstforslag og procedure for samtykkeerklæringer.
• Løbende uddannelse af medarbejdere, der håndterer.

Der er meget at tage fat på. Brug ØENS persondataspecialist Lisa Lykke til at afdække jeres behov og til prioritering af jeres opgaver.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling: