Hvordan undgår du bøder for data om ansatte og andre?

Alle, som ligger inde med oplysninger, der kan identificere fysiske personer, skulle fra den 25. maj 2018 leve op til nye krav, hvis oplysningerne findes på et digitalt medie eller i et systematisk papirregister.

Det kan være navn, adresse og cpr.nr. på ansatte, ansøgere, kunder, leverandører og lejere, og i nogle tilfælde eksempelvis også bankoplysninger og skatteoplysninger. 

De formelle krav til dokumentation er strammet op, og bødeniveauet er forhøjet betydeligt i forhold til de tidligere regler. Det er efterhånden almindeligt kendt, at man nu risikerer bøder på op til 4 % af ens omsætning (opgjort på koncernniveau).

Reglerne

Formålet med reglerne om beskyttelse af persondata er at sikre, at oplysninger om privatpersoner ikke spredes ukontrolleret gennem især de digitale medier. Der skal være et fornuftigt og lovligt formål med, at du har og eventuelt videregiver oplysninger om andre personer. De personer, som du har oplysninger om, har krav på at vide, at du har dem, og hvad du bruger dem til, så de kan gøre indsigelse, hvis de mener, du gør noget forkert. Altså er tanken, at man flytter ejerskabet over data tilbage til dem, som dataen vedrører.

Gode vaner

Reglerne, der står i en EU-forordning, er meget formelle: Der skal være skriftlig dokumentation for, hvor du gemmer hvilke oplysninger, hvilken lovlig grund du har til at ligge inde med oplysningerne, hvem du giver dem videre til, og hvornår du sletter oplysningerne igen. Derefter skal du leve op til de regler og procedurer, som du har lavet for din egen virksomhed.

Men det vigtigste er at få dig nogle gode vaner omkring IT-sikkerhed og om fornuftig omgang med oplysninger om andre mennesker. Få indarbejdet nogle regler og faste procedurer, så oplysninger om ansatte, ansøgere til ledige stillinger og kunder ikke ligger og flyder frit tilgængeligt på virksomhedens computere og i lokaler rundt omkring.

Det er rigtig vigtigt, at du har en god sikkerhed på din computer – f.eks. passwords, firewall, antivirus og back up. Ellers kan du ikke sikre dig mod at udenforstående får adgang til dine data.

Ingen grund til panik

Der er skrevet og snakket meget omkring GDPR, men der er faktisk ikke så meget nyt i, hvordan du skal omgås oplysninger om andre mennesker. Det nye er, at du skal kunne dokumentere, hvordan du gør.

Hvis du tænker dig om, når du har med andres personlige oplysninger at gøre, og spørger dig selv, hvordan du gerne selv ville have dine oplysninger behandlet, så er du godt på vej. Hvis du ikke er i mål, så brug en times tid til at komme i gang og lav derefter en aftale med dig selv en gang om året for at få de formelle forhold på plads.

Der er hjælp at hente

I dag, snart 2 år efter reglerne trådte i kraft, er der skudt en underskov af IT-løsninger op, som kan hjælpe dig med at få dine persondata i system og sørge for, at du overholder reglerne. Derfor har vi hos TELLUS Advokater valgt, at vi i dag kan hjælpe bedst ved at henvise til disse systemer, da de i vores øjne leverer en systematik og et overblik, som vi som advokatvirksomhed uden de tekniske systemer ikke kan matche. Vi tager dog gerne en uforpligtende snak med dig omkring valg af systemer eller lignende, hvis du har behov for dette.

Ny oplysningspligt for reelle ejere af selskaber

Den 10. januar 2020 trådte Lov nr. 554 af 7. maj 2019 om ændring af selskabsloven, lov om visse erhvervsdrivende virksomheder, lov om erhvervsdrivende fonde og forskellige andre love i kraft. Denne ændringslov har til formål at bringe reglerne om reelle ejere af selskaber i overensstemmelse med EU’s 5. hvidvaskdirektiv.

Ændringsloven betyder blandt andet, at reelle ejere af selskaber nu får pligt til at give selskabet oplysning om deres reelle ejerskab. Hidtil har det alene været legale ejere, der har været forpligtet til at give selskaber sådanne oplysninger, mens pligten for så vidt angår oplysninger om de reelle ejere alene har påhvilet selskabet.

De nye regler har dog den begrænsning, at pligten for reelle ejere til at give selskabet oplysning, der kan identificere de reelle ejere, alene gælder, såfremt selskabet har anmodet om de pågældende oplysninger.

De oplysninger, som de reelle ejere er forpligtet til at give til selskabet, forudsat at selskabet har anmodet herom, er oplysninger om ejerskab (ejerandel og tidspunkt for erhvervelse heraf), samt oplysninger der kan tjene til behørig identifikation af den pågældende reelle ejer (navn, CPR-nummer samt adresse).

Såfremt en reel ejer ikke afgiver de fornødne oplysninger efter at være blevet anmodet herom af selskabet, vil den reelle ejer kunne straffes med bøde.

Orientering om forrentning af indestående på klientkonto hos TELLUS Advokater ApS

Når vores kunders penge bliver indbetalt til vores kontor, indsættes de på en klientkonto, indtil sagen er så langt fremme, at pengene kan frigives. Vi fører nøje regnskab med, hvilke penge, der tilhører den enkelte. Hvis en kunde har mere end 10.000 kr. stående hos os, skal renterne tilfalde kunden. Hvis vi skal oprette en særskilt konto til kundens penge, opkræver banken et gebyr, som kunden skal betale.

Sådan står det beskrevet i klientkontobestemmelserne for advokater og i vores forretningsbetingelser.

I den nuværende situation, hvor renten for indlånskonti i bankerne er negativ, rammer dette også advokaternes klientkonti. Vi har hidtil kunnet friholde klientkonti, som ikke vedrører erhvervsforhold, for negative renter – men dette er også slut nu.

Vores bank kræver nu en negativ indlånsrente på 0,7 % på alle typer klientkonti. Når vi opbevarer penge for vores kunder, er vi nødt til at lade den negative rente gå videre til kunden. Det betyder, at hvis vi skal have 1.000.000 kr. stående for dig i et år, vil det koste dig 7.000 kr. i negativ rente.

Hvad kan du gøre?

Der er 2 fokuspunkter, du kan sætte ind på:

• Få sagen gjort færdig så hurtigt som muligt. Et langt stykke af vejen er det vores ansvar at få sagen ekspederet så hurtigt som muligt. Men i en del sager spørger vi dig om forskellige oplysninger, som vi skal bruge. Jo hurtigere, du svarer, jo hurtigere kan vi komme videre i sagen. 

• Kan du få pengene opbevaret billigere andre steder? Selv om pengene skal være bundet, f.eks. i forbindelse med en handel eller behandlingen af et dødsbo, behøver de ikke nødvendigvis at stå hos os. Hvis du kan få bedre vilkår i en anden bank, kan vi sagtens sørge for, at pengene bliver indbetalt dertil.

Du er altid velkommen til at kontakte os med spørgsmål til din sag, og de penge, vi opbevarer for dig.

Whistleblowerdirektiv vil føre til dansk lov om beskyttelse af whistleblowere

EU’s Ministerråd vedtog den 7. oktober 2019 det såkaldte whistleblowerdirektiv, der har til formål at give ansatte i såvel den private og offentlige sektor, mulighed for anonymt at indberette til deres egen ledelse, hvis de bliver opmærksomme på, at virksomheden eller myndigheden ikke overholder lovgivningen.

Den anonyme adgang til at indberette uregelmæssigheder omfatter en lang række områder, herunder bl.a. hvidvask af penge og terrorfinansiering, miljøbeskyttelse, forbrugerbeskyttelse, folkesundhed, offentlige indkøb, databeskyttelse og produktsikkerhed.

Den danske implementering af whistleblowerdirektivet skal, som det er tilfældet for de øvrige medlemsstaters vedkommende, finde sted i løbet af 2 år, og det vides derfor endnu ikke, hvorvidt Danmark vil benytte sig af muligheden for at gå videre; end de minimumsstandarder, der er fastlagt i direktivet.

Det vides dog med sikkerhed, at private virksomheder med 50 eller flere ansatte vil være omfattet af den kommende lovgivning, idet dette følger af whistleblowerdirektivets minimumsstandard.

Udsigt til bøde på £99.000.000 – DKK876.941.579 – til hotelkæden Marriott

Det britiske datatilsyn forventes at udstede en bøde på hvad der svarer til ca. 877 mio.  kr. til hotelkæden Marriott efter datatyveri af kontaktoplysninger, pas- og kreditkortinformationer for 339 millioner af hotelkædens gæster fra kædens database.

Marriotts database var svækket, efter at kæden i 2014 opkøbte hotelkæden Starwood, som på købstidspunktet havde svagheder i beskyttelsen af sin database. Dette opdagede Marriott ikke i forbindelse med sin due diligence af Starwood. Det var altså gennem Starwoods svage beskyttelse, at hackere fik adgang til data fra de 339 mio. gæster.

Afgørelsen er interessant, fordi den viser, at manglende due diligence ved opkøb af andre virksomheder i sig selv er i strid med persondataforordningens regler. I dette tilfælde er der tale om voldsomme summer – både i bøde men også i størrelsen af datalækket – men det er også relevant for mindre erhvervsdrivende, som måske opkøber andre mindre virksomheder eller fusionerer med dem. Man risikerer at hænge på de persondataretlige problemer, som findes i det andet selskab, selv hvis disse problemer er opstået før sammenlægningen.

Derudover er det interessant, at bøden pålægges moderselskabet Marriott, selvom Starwood i dag er et separat datterselskab. Dette skyldes formentlig den måde Marriott og Starwood har organiseret deres database, men det viser, at man heller ikke er sikker, bare fordi det selskab, der opkøbes, fortsætter i juridisk forstand.

Opfordringen må derfor være at man i forbindelse med opkøb, også selvom man er en lille eller mellemstor virksomhed, får lavet sin due diligence ordentligt – også i forhold til det opkøbte selskabs behandling af persondata.

Bøden er endnu ikke afgivet af det britiske datatilsyn ICO – beløbet stammer fra ICOs udkast til afgørelse fra juli 2019. ICO har indvilliget i at udskyde fristen for den endelige vedtagelse af bøden til den 31. marts 2020.