Af Tommy Olesen, advokat og partner
Haugaard | Braad Advokatpartnerselskab
For ikke så længe siden var medierne prydet med overskrifter om, at tusindvis af danskeres sundhedsoplysninger var havnet i uvedkommendes besiddelse. Andre gange har sagens genstand været kreditkortnumre, gamle lønsedler eller noget helt tredje, der pludselig florerer rundt på internettet, men budskabet er det samme. Datalæk bliver mere og mere almindelige og er efterhånden blevet fast inventar i nyhedsstrømmen. Det er lidt som med regn på en dansk sommerdag: Vi håber ikke, det rammer os, men vi ved, at risikoen er der.
Et tiltagende antal lækager og uautoriseret eksponering af personfølsomme oplysninger fører naturligvis til et øget fokus på virksomheders behandling af data samt konsekvensen i det tilfælde, hvor behandlingen er utilstrækkelig og retsstridig.
Spørgsmålet bliver i forlængelse heraf: Hvad betyder det for dig som ansat eller kunde, når dine oplysninger ender i de forkerte hænder? Og vigtigst af alt: Hvilke rettigheder har du, når uheldet er ude?
GDPR i korte træk
Databeskyttelsesforordningen (GDPR) er et EU-regelsæt, der regulerer databeskyttelse og gælder, når private virksomheder behandler personoplysninger. Det centrale er, at virksomheder og myndigheder kun må behandle dine data lovligt, sikkert og med respekt for dit privatliv, og at GDPR skal overholdes, når dine oplysninger indsamles, registreres, videregives og slettes.
Når dette forsømmes – for eksempel i tilfælde af hackerangreb, eller hvis en medarbejder fejlagtigt sender følsomme oplysninger til den forkerte – taler vi om et brud på persondatasikkerheden.
GDPR i ansættelsesforhold
Ansættelsesforholdets natur afføder en nødvendig afgivelse af oplysninger, herunder vedrørende eller i form af løn, skat, bankkonto, eventuelt sygefraværsoplysninger og i visse tilfælde helbredsdata. Disse oplysninger er særligt følsomme og kræver høj grad af beskyttelse.
Hvis virksomheden, hvor du er ansat, oplever et datalæk, skal du vide, at:
- Din arbejdsgiver har pligt til at handle hurtigt. Den dataansvarlige på din arbejdsplads skal anmelde bruddet til Datatilsynet inden 72 timer.
- Du har ret til information. Hvis lækket indebærer en høj risiko for dig, skal du personligt informeres.
- Du kan kræve indsigt. Du har ret til at vide, præcis hvilke oplysninger der er blevet kompromitteret.
- Du kan kræve erstatning. Hvis du lider et økonomisk eller ikke-økonomisk tab, kan du efter omstændighederne kræve erstatning eller godtgørelse efter databeskyttelseslovgivningen.
GDPR som onlinekunde
Når du handler på internettet, afgiver du ofte oplysninger i form af navn, adresse og betalingsoplysninger. Samtidig benytter langt de fleste hjemmesider sig af cookies, hvilket som regel indebærer behandling af personoplysninger.
Hjemmesider og webshops er i databeskyttelsesretlig forstand derfor ingen undtagelse og er ligeledes underlagt GDPR. Dette medfører krav til transparens, samtykke og til, at du som onlinekunde informeres om dataindsamling og -behandling.
Hvis webshoppen ikke har opstillet de nødvendige foranstaltninger, og dine oplysninger ender i hænderne på fremmede, bliver kendskabet til dine rettigheder som registreret særligt relevant, herunder:
- Retten til oplysning: Webshoppen skal underrette dig, hvis der er risiko for misbrug.
- Retten til indsigt: Du kan kræve at vide, hvilke data der er lækket.
- Retten til berigtigelse: Du har ret til at få berigtiget ukorrekte oplysninger om dig.
- Retten til at blive glemt: Du kan bede virksomheden om at slette dine oplysninger.
- Retten til erstatning: Også her kan du kræve kompensation, hvis du lider tab.
Datatilsynets rolle
Datatilsynet fungerer som vagthund og kan udstede påbud og bøder til den virksomhed, der har lækket data. Virksomhedens dataansvarlige skal i tilfælde af lækager og brud anmelde bruddet til Datatilsynet uden unødig forsinkelse og om muligt inden for 72 timer.
Som privatperson er du klageberettiget og kan klage til Datatilsynet over en virksomheds behandling af dine personoplysninger. Dette kan blandt andet være aktuelt, hvis virksomheden ikke vil udlevere dine oplysninger, eller hvis disse uretmæssigt er blevet videregivet.
Erstatning og godtgørelse
Et centralt spørgsmål er, om persondatabrud kan give ret til erstatning og godtgørelse. Hjemlig praksis og praksis fra EU-domstolen fastslår, at man kan kræve erstatning for både økonomiske og ikke-økonomiske tab, men at der skal være tale om en konkret skade. Det betyder, at følelsen af irritation næppe alene er nok, men at følgevirkninger, ulemper eller risiko for misbrug, herunder eksempelvis identitetstyveri, i visse tilfælde og efter en konkret vurdering kan udløse godtgørelse.
Ønsker du at gøre et krav om godtgørelse eller erstatning gældende, skal det indbringes for domstolene som en civil sag.
Tips og tricks: Hvad bør du gøre?
Hvis du som ansat eller kunde får besked om datalæk, kan du overveje følgende:
- Læs informationen grundigt. Hvad er lækket, og hvilken risiko indebærer det?
- Foretage overvågning. Tjek kreditregistreringer og hold øje med uautoriserede hævninger.
- Overvej at klage. Ret direkte henvendelse til virksomheden eller klag til Datatilsynet.
- Dokumentér dit tab. Hvis du vil kræve erstatning, er dokumentation afgørende.
Afsluttende bemærkninger
GDPR er ikke bare en mur af paragraffer, der holder advokater beskæftiget. Det er et praktisk og præventivt værn for dig, når dine personoplysninger behandles. Uanset om du er ansat eller kunde, har du blandt andet ret til at blive informeret, at få indsigt, at gøre indsigelse samt i visse tilfælde erstatning eller godtgørelse.
Opsummerende er læren således: Bliver dine oplysninger lækket, står du ikke uden midler. Tværtimod har du en række rettigheder og muligheder for at reagere, som gør, at virksomheder, der nedprioriterer datasikkerheden, risikerer at betale prisen – både økonomisk og i tillid.
Læs resten af september-avisen her
