Gå til innhold

Lov&Data

2/2022: Personvern
09/09/2022

Nytt om personvern

Av Tue Goldschmieding, partner i Gorrissen Federspiel

Psykisk udviklingshæmmet, som havde udleveret sine NemID-oplysninger til en ukendt person, hæftede ikke for lån

Højesteret afsagde den 17. november 2021 kendelse i sag 61/2021 mellem sagsøgte og Ekspres Bank A/S. Sagen angik, hvorvidt sagsøgte, der var psykisk udviklingshæmmet, hæftede for et lån optaget hos Ekspres Bank A/S. Lånet var blevet optaget af en ukendt person i forbindelse med sagsøgtes udlevering af NemID-oplysninger.

Sagsøgte havde i midten af 2018 udleveret sine NemID-oplysninger til en ukendt person, hvorefter der var optaget et lån på 13.400 kr. hos Ekspres Bank A/S den 10. juli 2018. Fogedretten afsagde den 5. marts kendelse 2020 om, at sagsøgte ved sin handlemåde var klar over, at oplysningerne ikke kunne udleveres til hvem som helst. Fogedretten fandt, at sagsøgte ikke manglede evnen til at handle fornuftsmæssigt, jf. § 46 i lovbekendtgørelse nr. 1015 af 20. august 2007 med senere ændringer («den danske værgemålslov»). Låneaftalen kunne derfor ikke erklæres ugyldig, og sagen blev fremmet til udlæg. Sagsøgte kærede fogedrettens afgørelse til Østre Landsret, hvorefter landsretten stadfæstede fogedrettens afgørelse. Sagsøgte fik efterfølgende tredjeinstansbevilling fra Procesbevillingsnævnet og ankede landsrettens kendelse til Højesteret.

For Højesteret angik sagen, hvorvidt der aftaleretligt var indgået en gyldig aftale, og i forlængelse heraf om den danske værgemålslovs § 46 fandt anvendelse, så aftalen var ugyldig. Indledningsvist henviste Højesteret til tidligere retspraksis, hvor det var lagt til grund, at en person efter omstændighederne godt kan hæfte for lån ved udlevering af NemID-oplysningerne. Aftaleretligt fandt Højesteret derfor, at der var indgået en låneaftale, selvom den digitale underskrift ikke var tilføjet af indehaveren af det pågældende NemID. Sagsøgte skulle derfor som udgangspunkt hæfte for lånet. Efterfølgende tog Højesteret stilling til rækkevidden af den stærke ugyldighedsregel i den danske værgemålslovs § 46. Højesteret fandt, at sagsøgte på baggrund af lægelige oplysninger havde samme mentale niveau som en 7-årig. Endvidere kunne sagsøgte ikke selv overføre penge. På baggrund heraf lagde Højesteret til grund, at sagsøgte ikke selv besad evnen til at handle fornuftsmæssigt efter § 46 i den danske værgemålslov. Låneaftalen var derfor ikke bindende for sagsøgte, og fogedforretningen blev ikke fremmet.

Læs resumé af dommen her:
https://domstol.fe1.tangora.com/Domsoversigt-(H%C3%83%C2%B8jesteretten).31478.aspx?recordid31478=2205

Læs hele dommen her:
https://domstol.fe1.tangora.com/media/-300016/files/anomiseret-612021.pdf

Datatilsynet udtalte alvorlig kritik af Familieretshusets behandling af personoplysninger

Det danske Datatilsyn traf den 29. oktober 2021 afgørelse i en sag med journalnummer 2021-32-2143 vedrørende en klage over Familieretshusets behandling af personoplysninger.

Datatilsynet udtalte alvorlig kritik af, at Familieretshusets behandling af personoplysninger ikke var sket i overensstemmelse med reglerne i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR») artikel 32, stk. 1.

Familieretshuset havde ved en fejl givet klagerens søns biologiske far del i forældremyndigheden over sønnen. Den biologiske far havde derved i omtrent et døgn adgang til en række oplysninger om sønnen, herunder oplysninger om sønnens adresse og skole, uanset at sønnen havde navne- og adressebeskyttelse som følge af blandt andet vold og trusler fra den biologiske far mod klageren og sønnen. Det var Datatilsynets opfattelse, at der bør sikres passende uddannelse af medarbejderne og højere krav til omhyggelighed ved sager om tildeling af forældremyndighed.

Datatilsynet lagde vægt på karakteren af de oplysninger, som en tildeling af forældremyndighed kan give adgang til, og på at børn bør nyde en særlig beskyttelse af deres personoplysninger. Herudover lagde Datatilsynet vægt på det af Familieretshuset anførte om, at den fejlagtige tildeling af forældremyndighed skete som følge af, at klager anvendte den forkerte ansøgningsblanket samt som følge af fejl begået i Familieretshuset. Datatilsynet fandt imidlertid, at Familieretshuset bør tage højde for, at ansøgere ikke altid anvender den korrekte blanket.

Datatilsynet noterede sig, at Familieretshuset har opdateret de retningslinjer, der anvendes ved tildeling af forældremyndighed, og at der blandt andet er gennemført awareness i afdelingerne.

Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2021/okt/alvorlig-kritik-af-familieretshusets-behandling-af-personoplysninger

Kritik og påbud til Cryos for ikke at give borger indsigt i antallet af donorbørn undfanget ved borgerens sæddonation

Det danske Datatilsyn traf den 26. november 2021 afgørelse i en sag med journalnummer 2020-31-3894, og udtalte kritik af Cryos International A/S’ («Cryos») undladelse af at oplyse en borger om antallet af donorbørn undfanget ved sæddonation fra borgeren. Cryos’ undladelse af at informere borgeren var ikke i overensstemmelse med reglerne i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR») artikel 15, og Datatilsynet meddelte endvidere Cryos påbud om at udlevere oplysningerne til borgeren jf. GDPR artikel 58, stk. 2, litra c.

Ved mails af 11. og 12. maj 2020 henvendte en borger sig til Cryos for at få oplyst, hvor mange børn der var undfanget ved hjælp af hans sæd, samt hvor mange af de mødre der havde født, som var enlige. Cryos afviste begge anmodninger, hvorefter borgeren anmodede om indsigt i de personoplysninger, Cryos havde om ham jf. GDPR artikel 15 om den registreredes indsigtsret. Cryos afviste igen anmodningen med henvisning til, at udlevering af de pågældende informationer ville krænke hensynet til andres rettigheder, der vejede tungere end hensynet til borgens indsigtsret jf. GDPR artikel 15, stk. 4.

Datatilsynet tog indledningsvist stilling til hvordan personoplysninger i GDPR artikel 15 skal forstås. Tilsynet fandt med henvisning til GDPR artikel 4, stk. 1, nr. 1, at personoplysninger er enhver form for information om en identificeret eller identificerbar fysisk person. I forlængelse heraf afviste Datatilsynet først, at informationer om mødrenes civilstand udgjorde informationer om borgeren selv. Tilsynet statuerede derimod, at informationer, om hvor mange børn der var blevet undfanget med borgerens sæd, udgjorde personoplysninger om borgeren jf. GDPR artikel 15. På den baggrund udtalte Datatilsynet kritik for Cryos’ manglende oplysning af borgeren, hvorefter Datatilsynet udstedte et påbud til Cryos om at udlevere oplysningerne til borgeren, jf. GDPR artikel 58, stk. 2, litra c.

Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2021/nov/kritik-og-paabud-til-cryos-for-manglende-indsigt

Alvorlig kritik af Coop Danmark A/S’ behandling af oplysninger på virksomhedens fællesdrev

Det danske Datatilsyn traf den 4. november 2021 afgørelse i sag 2021-441-9356, hvor Datatilsynet udtalte alvorlig kritik af Coop Danmark A/S’ («Coop») behandling af personoplysninger på virksomhedens fællesdrev, der ikke levede op til kravet om fornødne sikkerhedsforanstaltninger efter artikel 32 i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR»).

Sagen vedrørte personoplysninger om 477 medarbejdere og eksterne konsulenter, der havde været tilgængelige på Coops fællesdrev. Personoplysningerne var både placeret på fællesdrevet af de registrerede selv, samt af Coop forbindelse med ansættelsen og vedrørte perioden 2013-2017. Coop opdagede bruddet i forbindelse med en scanning af drevet den 11. juni 2021 samt den 24. august 2021.

Efter GDPR artikel 32 skal den dataansvarlige træffe passende tekniske og organisatoriske foranstaltninger for at sikre et vist sikkerhedsniveau. Det var Datatilsynets opfattelse, at der skulle stilles højere krav til den dataansvarlige ved systemer med et stort antal oplysninger om et stort antal brugere.

På denne baggrund fandt Datatilsynet, at Coop ikke havde levet op til kravet om fornødne sikkerhedsforanstaltninger i GDPR artikel 32, hvor Datatilsynet særligt lagde vægt på, at oplysningerne havde været tilgængelige fra 2013 til 2021, og at Coop burde have været opmærksom på, at medarbejdere kunne have placeret personoplysninger på drevet. Datatilsynet udtalte i den forbindelse alvorlig kritik af, at behandlingen af personoplysninger ikke var sket i overensstemmelse med artikel 32.

Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2021/nov/alvorlig-kritik-af-coop-danmark-as%e2%80%99-behandling-af-oplysninger-paa-virksomhedens-faellesdrev-

Den Katolske Kirke får kritik og påbud om behandling af indsigtsanmodning

Det danske Datatilsyn udtalte den 24. november 2021 kritik af Den Katolske Kirke i Danmarks besvarelse af en indsigtsanmodning i sag med journalnummer 2021-31-4650. Derudover meddelte Datatilsynet Den Katolske Kirke et påbud om at foretage en ny vurdering af klagers indsigtsanmodning.

Den 17. februar 2021 anmeldte klager et afslag på indsigtsanmodning til Datatilsynet. Klager var blevet nægtet adgang til indsigt i, hvad to vidner i sagen blev spurgt om, og hvad de havde svaret. Vidnerne blev overordnet spurgt ind til klager og klagers eksmands tidligere ægteskab, med henblik på at få annulleret et ægteskab i Den Katolske Kirke.

Datatilsynet fandt, at der var grundlag for at udtale kritik af, at Den Katolske Kirkes besvarelse af indsigtsanmodningen var sket i strid med reglerne i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR») artikel 15. Den Katolske Kirke havde ikke sandsynliggjort, at klagers eksmands religionsfrihed, præsternes tavshedspligt og vidnernes rettigheder, kunne føre til en afvisning om indsigtsanmodning. Endvidere havde Den Katolske Kirke ikke foretaget en konkret afvejning i forhold til de enkelte oplysninger, men generelt afvist at udlevere oplysningerne.

Datatilsynet fandt endvidere grund til at anmelde Den Katolske Kirke et påbud om (1) at tage stilling til hvorvidt betingelserne for at give klager indsigt efter GDPR artikel 15 er opfyldt, og (2) at meddele klager, om anmodningen om indsigt imødekommes eller afslås. Vurderer Den Katolske Kirke, at indsigten skal imødegås skal denne vedlægge en kopi af personoplysningerne sammen med meddelelsen. Vurderer Den Katolske Kirke omvendt, at indsigt ikke kan imødekommes, skal oplysninger herom vedlægges meddelelsen Fristen for efterlevelse af påbuddet var 6 uger.

Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2021/nov/den-katolske-kirke-faar-kritik-og-paabud-om-behandling-af-indsigtsanmodning-

Datatilsynet indstiller Kræftens Bekæmpelse til bøde

Det danske Datatilsyn anmeldte den 29. september 2021 Kræftens Bekæmpelse til politiet og indstillede dem til en bøde på 800.000 kr., fordi de ikke havde truffet passende sikkerhedsforanstaltninger til beskyttelse af borgeres helbredsoplysninger.

Sagen vedrørte fire brud på persondatasikkerheden, der skyldtes, at Kræftens Bekæmpelse havde undladt at implementere sikkerhedsforanstaltninger, som de selv havde vurderet passende efter et lignende brud i 2018. Dette resulterede i, at mindst 1.448 personers oplysninger blev kompromitteret, herunder helbredsoplysninger.

Datatilsynet lagde ved bødeindstillingen blandt andet vægt på, at de sikkerhedsforanstaltninger, som Kræftens Bekæmpelse selv vurderede passende i 2018, ikke blev implementeret, herunder at det var særlig vigtigt for en dataansvarlig at gennemføre tiltag, som de selv havde identificeret i en risikovurdering som nødvendig.

Der blev i forbindelse med bødeudmålingen bemærket, at på trods af Kræftens Bekæmpelses indsats til behandling af kræft, var det væsentligt, at dette arbejdsområde normalt behandler personlige oplysninger, hvilket medfører et ansvar som organisationen skal leve op til. Ved bødeudmålingen blev dog alene taget udgangspunkt i indtægter fra genbrug, arrangementer og salg af merchandise og andre produkter, svarende til 10 procent af den samlede indtægt, hvorved donationer ikke indgik i beregningen af indtægter.

Læs hele nyheden her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/sep/kraeftens-bekaempelse-indstillet-til-boede

Ny vejledende tekst fra Datatilsynet om brug af personoplysninger i testøjemed

Den 27. oktober 2021 udgav Det danske Datatilsyn en vejledende tekst om, hvilke forholdsregler man skal tage, når man bruger personoplysninger ved udvikling og test af IT-systemer. Teksten giver vejledning om, hvornår det kan være velbegrundet at bruge personoplysninger i test- og udviklingsøjemed, og om hvilke rettigheder og pligter man skal have for øje, når man bruger personoplysninger i den forbindelse.

Ved udvikling og drift af IT-systemer anvender man sædvanligvis to slags data: testdata og produktionsdata. Testdata er typisk fiktiv eller anonymiseret data, som bruges til udvikling og test, når IT-systemer (videre)udvikles eller vedligeholdes. Produktionsdata er typisk data fra et system, som allerede er i drift, for eksempel kundeoplysningerne i et kundesystem eller regnskabsoplysningerne i et økonomistyringssystem. Produktionsdata kan således indeholde uanonymiserede personoplysninger. I nogle tilfælde kan det være nødvendigt at bruge produktionsdata (med personoplysninger) i forbindelse med udvikling og test af IT-systemer.

Den vejledende tekst understreger, at der stadig er tale om behandling af personoplysninger, når personoplysninger fra produktionsmiljøet bruges i forbindelse med test, selvom de får karakter af testdata.. Behandlingen skal derfor overholde databeskyttelsesreglerne, og der gælder ikke et lavere beskyttelseshensyn til personoplysningerne, blot fordi de får karakter af testdata.

Jo tættere man som virksomhed eller myndighed kommer på produktionsfasen, des mere velbegrundet kan det være at anvende produktionsdata, herunder personoplysninger, skriver Datatilsynet. I nogle tilfælde vil det endda være forbundet med manglende sikkerhed at sætte et system i produktion uden først at have testet med personoplysninger.

Der gives tre eksempler på, hvornår det efter omstændighederne kan være velbegrundet og nødvendigt at bruge personoplysninger ved udvikling og test af IT-systemer:
1) ved afsluttende tests af integrationer til andre (eksterne) IT-systemer, 2) når det er forbundet med betydelige vanskeligheder at skabe retvisende (anonymiserede) testdata og 3) i forbindelse med fejlsøgning og fejlretning.

Til sidst i den vejledende tekst gennemgås fire områder af rettigheder og pligter, man skal sørge for at have styr på, når man bruger personoplysninger i udviklings- og testøjemed:

  1. Behandlingsgrundlag: Man skal sikre sig fornøden behandlingshjemmel, før man behandler personoplysninger i forbindelse med udvikling og test af IT-systemer. Behandlingshjemlen findes primært i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR») artikel 6. Det vil typisk være afgørende, om test og udvikling af IT-systemet er nødvendigt for, at behandlingen af personoplysninger til det oprindelige formål (eksempelvis, at man kan behandle ordrer i et kunde-/ordresystem) kan ske. Er det nødvendigt, vil behandlingsgrundlaget normalt være det samme. Er det ikke nødvendigt, er behandlingen som oftest uforenelig med det oprindelige formål, og de indsamlede oplysninger kan ikke bruges til test og udvikling af IT-systemer medmindre et nyt behandlingsgrundlag sikres.

  2. Dataminimering: Man må ikke behandle flere personoplysninger end nødvendigt for at opnå testformålet i forbindelse ved test og udvikling, og man må kun bruge personoplysninger ved udførelse af tests, hvis testene ikke kunne udføres uden brug af personoplysninger.

  3. Sletning: Det må ikke være muligt at identificere de registrerede personer i længere tid end nødvendigt for de formål, personoplysningerne behandles til. Man skal derfor tage stilling til, hvornår og hvordan personoplysningerne skal anonymiseres og sikre at sletning sker, når testen er afsluttet. Hvis testmiljøet senere bliver til produktionsmiljøet, skal man være særlig opmærksom på at slette alle personoplysninger, som kun bruges til testformålet, inden testmiljøet overgår til produktionsmiljø.

  4. Behandlingssikkerhed: Når man behandler personoplysninger i testøjemed, skal man foretage en konkret risikovurdering for de registrerede og etablere passende tekniske og organisatoriske sikkerhedsforanstaltninger i overensstemmelse hermed. Man skal navnlig tage hensyn til risici som hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysningerne. I tilfælde, hvor der vurderes at være en høj risiko, skal man skal foretage en konsekvensanalyse.

    Hvad angår sikkerhedsforanstaltningerne, er det Datatilsynets opfattelse, at man som udgangspunkt skal etablere de samme foranstaltninger i testmiljøet, som er vurderet passende i produktionsmiljøet. Det gælder især for adgangsstyring, logning, sikker overførsel af data mellem IT-miljøer og sikkerhedsopdateringer af software, servere mv. (patching). Hvilke sikkerhedsforanstaltninger, som er passende, kan dog afhænge af, hvilket netværk testmiljøet kan tilgås fra, og om det kan eller ikke kan tilgås fra internettet. Det nævnes desuden, at pseudonymisering er en særlig relevant foranstaltning i test- og udviklingsmiljøer, da viden om konkrete personer ofte ikke er afgørende for testen.

Læs hele den vejledende tekst her:
https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed-/testdata-brug-af-personoplysninger-ved-udvikling-og-test-af-it-systemer

Nye retningslinjer om samspillet mellem anvendelsen af GDPR artikel 3 om territorialt anvendelsesområde og bestemmelserne om internationale overførsler i kapitel V i GDPR

Den 18. november 2021 vedtog Det Europæiske Databeskyttelsesråd («EDPB») Retningslinjer 05/2021 om samspillet mellem anvendelsen af artikel 3 og bestemmelserne i kapitel V om internationale overførsler i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR»). Formålet med retningslinjerne er at skabe klarhed over samspillet mellem GDPR artikel 3 og kapitel V. De skal gøre det lettere at finde ud af, om en behandlingsaktivitet udgør en international overførsel, og dermed om GDPR kapitel V skal overholdes.

Kapitel V gælder for «overførsler» af personoplysninger til tredjelande eller internationale organisationer. Retningslinjerne fremhæver, at formålet med kapitel V er at sikre, at beskyttelsesniveauet efter GDPR ikke undermineres af, at personoplysninger overføres til tredjelande eller internationale organisationer. Kapitlets bestemmelser supplerer GDPRs territoriale anvendelsesområde som defineret i GDPR art. 3, når personoplysninger overføres til lande uden for EU.

GDPR indeholder ingen definition af, hvad en «overførsel» indebærer. For at skabe klarhed har EDPB i retningslinjerne opstillet tre kumulative kriterier:

  1. En dataansvarlig eller databehandler (dataeksportøren) er omfattet af GDPR (jf. GDPR artikel 3) med hensyn til den pågældende behandling,

  2. Dataeksportøren transmitterer eller stiller personoplysningerne til rådighed for en anden dataansvarlig, fælles dataansvarlig eller databehandler (dataimportøren) og

  3. Dataimportøren er et tredjeland eller en international organisation.

Hvis kriterierne er opfyldt, betragtes behandlingen som en overførsel i kapitel Vs forstand, uanset om dataimportøren allerede er omfattet af GDPR i henhold til artikel 3 i GDPR.

EDPB fremhæver, at dataansvarlige eller databehandlere, der ikke er etableret i EU, godt kan opfylde det første kriterium, hvis de er omfattet af GDPR efter GDPR artikel 3, stk. 2 om udbud af varer/tjenester til eller overvågning af registrerede i EU. Sådanne dataansvarlige og databehandlere skal således overholde kapitel V, når de overfører personoplysninger til tredjelande eller internationale organisationer.

Angående det andet kriterium fremhæver EDPB en række pointer i retningslinjerne, heriblandt:

  • Det andet kriterium anses ikke for at være opfyldt, når indsamling af personoplysninger sker direkte fra den registrerede i EU og på dennes eget initiativ. Der er ikke nogen dataeksportør i sådanne tilfælde, hvorfor indsamling ikke udgør en overførsel. I retningslinjerne gives et eksempel med en forbruger i Italien, som indsætter sine personoplysninger i en formular i forbindelse et onlinekøb af tøj.

  • Der er kun tale om en overførsel, når dataimportøren er forskellig fra dataeksportøren. Som eksempel gives, at en ansat hos en databehandler i Polen rejser til et møde i Indien. I Indien tilgår den ansatte personoplysninger fra sin arbejdsgivers databaser for at færdiggøre et notat. I et sådant tilfælde er der ikke tale om en overførsel, da den ansatte er en del af den dataansvarlige virksomhed i Polen. Der sker dermed ingen overførsel til en anden dataansvarlig eller databehandler.

  • Juridiske personer, som er en del af den samme koncern, kan udgøre forskellige dataansvarlige eller databehandlere. Der gives et eksempel, hvor det udgør en overførsel, at et irsk datterselskab videregiver personoplysninger om sine ansatte til sit amerikanske moderselskab.

Konsekvensen af, at de tre kriterier er opfyldt, er, at der er er tale om en overførsel, og at bestemmelserne i GDPR kapitel V dermed skal overholdes. Efter GDPR kapitel V kan overførsel kun ske, hvis Kommissionen har truffet afgørelse om tilstrækkeligt beskyttelsesniveau i tredjelandet eller den internationale organisation, jf. GDPR artikel 45, hvis der afgives fornødne garantier, for eksempel Kommissionens Standard Contractual Clauses, jf. GDPR artikel 46, eller hvis en af undtagelsesbestemmelserne i GDPR artikel 49 finder anvendelse.

Når en overførsel foretages på grundlag af GDPR artikel 46, skal det vurderes, om det er nødvendigt at foretage supplerende foranstaltninger. Hvis dataimportøren allerede er omfattet af GDPR, jf. GDPR artikel 3, stk. 2, er det ikke meningen, at man skal duplikere forpligtelserne efter GDPR, men i stedet adressere de risici, som GDPR ikke allerede dækker. Det er for eksempel risici relateret til tredjelandes loves eventuelle strid med GDPR, tredjelandsregeringers (for) vidtgående adgang til personoplysninger og vanskeligheder ved at håndhæve rettigheder over for en enhed uden for EU.

Retningslinjerne understreger, at også i de tilfælde, hvor der er ikke er tale om en overførsel efter kapitel V, kan databehandling indebære risici i et sådant omfang, at der skal træffes foranstaltninger. Det kan for eksempel være tilfældet, når nationale love i tredjelandet er i strid med GDPR, eller når det er vanskeligt håndhæve rettigheder over for en enhed uden for EU. En dataansvarlig skal altid overholde GDPR, uanset hvor behandlingen finder sted. For eksempel kan en dataansvarlig med afsæt i GDPR artikel 32 om behandlingssikkerhed komme frem til, at det vil være ulovligt eller kræve vidtgående sikkerhedsforanstaltninger at foretage en behandling i et tredjeland, selvom der ikke er tale om en overførsel. Databehandleren kan da eksempelvis beslutte, at ansatte ikke må medbringe laptops mv. til særlige tredjelande.

Læs nyheden her:
https://edpb.europa.eu/news/news/2021/edpb-adopts-guidelines-interplay-between-art-3-and-chapter-v-gdpr-statement-digital_da

Læs retningslinjerne her:
https://edpb.europa.eu/system/files/2021-11/edpb_guidelinesinterplaychapterv_article3_adopted_en.pdf

WhatsApp har modtaget en bøde på 225 millioner euro fra det irske datatilsyn

Det Europæiske Databeskyttelsesråd («EDPB») vedtog den 28. juli 2021 en bindende afgørelse rettet mod det irske datatilsyn, i forbindelse med en tvist vedrørende WhatsApp Ireland Ltd. («WhatsApp»). Det irske datatilsyn skulle ændre sin afgørelse i forhold til overtrædelser af princippet om gennemsigtighed, beregningen af bøden og fristen for at efterkomme afgørelsen.

Det irske datatilsyn havde allerede konstateret overtrædelser af Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR») artikel 12-14 om oplysningspligt ved indsamling af personoplysninger. EDPB fandt i tillæg, at overtrædelsernes alvor gjorde, at der også var sket en overtrædelse af gennemsigtighedsprincippet i GDPR artikel 5, stk. 1, litra a. Det irske datatilsyn, skulle derfor i sin endelige afgørelse medtage en følgeslutning om krænkelse af det fastlagte gennemsigtighedsprincip.

EDPB besluttede endvidere, at en virksomheds omsætning ikke kun er relevant for størrelsen af det maksimale bødebeløb, men også ved beregningen af selve bøden, for at sikre at den er effektiv, forholdsmæssig og har afskrækkende virkning. Derfor skulle moderselskabet Facebook Inc.’s omsætning medregnes ved beregningen af bøden. Desuden præciserede EDPB, at alle overtrædelser i forbindelse med samme eller tilknyttede behandlingsaktiviteter skal tages i betragtning ved beregningen af bødens størrelse. Det er første gang EDPB præciserer fortolkningen af artikel 83, stk. 3 i databeskyttelsesforordningen. Til sidst anmodede EDPB det irske datatilsyn om at ændre fristen i sin afgørelse, for at WhatsApp skulle bringe sine aktiviteter i overensstemmelse med reglerne, fra 6 til 3 måneder.

EDPB pålagde det irske datatilsyn at revurdere sin påtænkte administrative bøde i overensstemmelse med EDPBs konklusioner, heriblandt at (1) den relevante omsætning er den globale årlige omsætning for alle komponentselskaberne i virksomheden, (2) den relevante omsætning er den, der svarer til regnskabsåret forud for datoen for den endelige beslutning truffet af den ledende tilsynsmyndighed, (3) den relevante omsætning er relevant for fastsættelse af bøden således at den er effektiv og forholdsmæssig, og (4) bødens størrelse skal afspejle skærpende faktorer. Det irske datatilsyn skulle endvidere kommunikere den endelige beslutning til Det Europæiske Databeskyttelsesråd inden 1 måned efter modtagelse af rådets bindende beslutning.

Det irske datatilsyn har ændret sin nationale afgørelse i overensstemmelse med EDPBs bindende afgørelse.

Læs pressemeddelelsen her:
https://edpb.europa.eu/news/news/2021/edpb-requests-irish-sa-amends-whatsapp-decision-clarifications-transparency-and_en

Læs den bindende afgørelse her:
https://edpb.europa.eu/our-work-tools/our-documents/binding-decision-board-art-65/binding-decision-12021-dispute-arisen_en

Sydkorea anerkendes som et sikkert tredjeland

Den 17. december 2021 godkendte EU-Kommissionen Sydkorea som et sikkert tredjeland i relation til Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR»). Det skete ved en udstedelse af en tilstrækkelighedsafgørelse, hvoraf Sydkorea anses for et sikkert tredjeland. Dermed kan man fremover overføre personoplysninger til Sydkorea uden et overførelsesgrundlag.

EU domstolen klargjorde, at det ikke kræver et EU-identisk niveau af beskyttelse, før et land kan anerkendes som et sikkert tredjeland. Ved tilstrækkelighedskonstateringen vurderes det, om systemet i sin helhed understøtter det nødvendige niveau af beskyttelse. Der kigges her især på selve beskyttelsen, implementeringen og håndhævelsen af systemet. Det er ud fra denne vurdering, at Kommissionen har vurderet, at Sydkorea har et tilstrækkeligt beskyttelsesniveau af personoplysninger.

For at sikre et tilstrækkeligt niveau af datasikkerhed, har Sydkorea implementeret en række love, herunder «The Personal Infor mation Protection Act (PIPA)«, «The Act on the Use and Protection of Credit Information» og «The Communications Privacy Protection Act». Disse tre love sikrer alle individers datasikkerhed, uafhængigt af deres nationalitet. Nærmere gennemgang af lovene, findes i linket til nyheden.

EU-Kommissionens tilstrækkelighedsafgørelse omfatter ikke behandling af personoplysninger for missionere aktiviteter af religiøse organisationer, for nominering af kandidater af politiske partier, eller af behandling af personlige kreditoplysninger i henhold til kreditoplysningsloven af dataansvarlige, der er underlagt tilsyn af finanstilsynet.

EU-Kommissionens afgørelse har den retsvirkning, at der fremover er mulighed for, at overføre personoplysninger til registreringsansvarlige og databehandlere i Sydkorea, uden yderligere tilladelse.

Læs nyheden her:
https://ec.europa.eu/info/sites/default/files/1_1_180366_dec_ade_kor_new_en.pdf

Frederiksberg Kommune indstilles til bøde

Det danske datatilsyn anmeldte den 16. december 2021 Frederiksberg Kommune til politiet, da Datatilsynet vurderede, at kommunen ikke levede op til et passende sikkerhedsniveau i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR»).

Den 1. marts 2021 anmeldte Frederiksberg Kommune et brud på persondatasikkerheden til Datatilsynet. Det fremgik af sagen, at kommunen havde udvidet den kommunale tandplejes selvbetjeningsløsning fra at omfatte bopælsforældres adgang til tandplejens breve, til også at omfatte samværsforældre med fælles myndigheds adgang til breve. Det indebar, at forældre fik oplysninger om bopælsforælderens og barnets adresse, uagtet at disse var registreret med navne- og adressebeskyttelse. Dette ville have stor betydning i sager, hvor barnet var navne- og adressebeskyttet med henblik på, at den anden forælder ikke fik adgang til oplysninger om barnet.

På baggrund af sagens grovhed valgte Datatilsynet, efter en vurdering efter GDPR artikel 83, stk. 2, at politianmelde Frederiksberg Kommune samt indstille, at der nedlagdes påstand om en bøde på 100.000 kr.

Læs nyheden her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2021/dec/frederiksberg-kommune-indstilles-til-boede

Udtalelse fra EDPB om tilsynsmyndigheds påbud om sletning (ex officio)

Den 14. december 2021 vedtog Det Europæiske Databeskyttelsesråd udtalelse 39/2021 om, hvorvidt artikel 58, stk. 2, litra g i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 («GDPR») kunne udgøre hjemmel for, at en tilsynsmyndighed kunne pålægge ex officio sletning af personoplysninger i en situation, hvor en sådan anmodning ikke blev indgivet af den registrerede. Det Europæiske Databeskyttelsesråd tog stilling til denne problemstilling på baggrund af en anmodning fra det ungarske datatilsyn fremlagt den 6. oktober 2021.

Hver medlemsstats tilsynsmyndighed er ansvarlig for at overvåge anvendelsen af GDPR for at beskytte fysiske personers grundlæggende rettigheder og frihedsrettigheder i forhold til databehandling og for at lette den frie strøm af personoplysninger inden for Det Europæiske Økonomiske Samarbejde («EØS»). Tilsynsmyndigheden har efter GDPR artikel 58, stk. 2 en række korrigerende beføjelser til brug for at sikre overholdelsen af GDPR, herunder faktisk stærk håndhævelse, konsekvent og homogen anvendelse af reglerne og ækvivalente sanktioner for overtrædelser. Det ungarske datatilsyn satte derfor spørgsmålstegn ved, om dette giver tilsynsmyndigheden mulighed for at handle uden opfordring fra den registrerede.

Det Europæiske Databeskyttelsesråd tog først stilling til, om GDPR artikel 17 udelukkende pålægger den dataansvarlige en forpligtelse til at slette personoplysninger efter anmodning fra den registrerede. Artikel 17 fastslår på den ene side den registreredes ret til at anmode om sletning af deres personoplysninger og på den anden side den dataansvarliges forpligtelse til at slette disse data, hvor en af de oplistede grunde i artiklen finder anvendelse. Det Europæiske Databeskyttelsesråd undersøgte herefter, om denne forpligtelse er betinget af, at en registreret udøver retten, eller den eksisterer uafhængigt af enhver anmodning fra den registrerede. Det der talte for, at retten eksisterede uafhængigt af anmodning, var, at den dataansvarlige har en forpligtelse til at slette oplysninger, der ikke længere er relevante.

Det Europæiske Databeskyttelsesråd fandt herefter, at GDPR artikel 17 beskyttede både situationer, hvor den registrerede anmoder om sletning af data, samt situationer hvor databehandleren har en selvstændig forpligtelse til at slette data.

På baggrund af ovenstående fandt Det Europæiske Databeskyttelsesråd, at GDPR artikel 58, stk. 2, litra g udgjorde et gyldigt retsgrundlag for, at en tilsynsmyndighed ex officio kan påbyde sletning af ulovligt behandlede personoplysninger i en situation, hvor en sådan anmodning ikke er blevet indgivet af den registrerede.

Læs nyheden her:
https://edpb.europa.eu/system/files/2022-01/edpb_opinion_202139_article_582g_gdpr_en.pdf

Tue Goldschmieding
Tue Goldschmieding, portrett