Justitsministeriet udsteder foreløbige retningslinjer for statslige myndigheders opbevaring af SMS-beskeder

I kølvandet på den danske Minkkommissions beretninger udsendte det danske Justitsministerium den 7. juli 2022 foreløbige retningslinjer for statslige myndigheders opbevaring af SMS-beskeder. Formålet med retningslinjerne er at sikre en ensartet praksis for statslige myndigheders opbevaring af SMS-beskeder, der ikke skal journaliseres.

Af hensyn til tidshorisonten for afdækning af tekniske muligheder for en central og brugeruafhængig opbevaring af SMS-beskeder, har Justitsministeriet i sine foreløbige retningslinjer anbefalet, at (i) medarbejdere og ministre instrueres i ikke at slette arbejdsrelaterede SMS-beskeder på deres tjenestetelefon, (ii) der løbende tages en lokal kopi af ministres, særlige rådgiveres og departementschefers arbejdsrelaterede SMS-beskeder og (iii) ministres, særlige rådgiveres, departementschefers og andre ansatte i chefstillingers arbejdsrelaterede SMS-beskeder fortsat opbevares efter telefonskift eller fratrædelse.

Læs nyheden her:
https://www.justitsministeriet.dk/pressemeddelelse/foreloebige-retningslinjer-for-statslige-myndigheders-opbevaring-af-sms-beskeder/

Læs de foreløbige retningslinjer her:
https://www.justitsministeriet.dk/wp-content/uploads/2022/07/Foreloebige-retningslinjer-for-statslige-myndigheders-opbevaring-af-SMS-beskeder-mv..pdf

Rigspolitiet pålægger teleudbydere at foretage målrettet logning

Fra den 28. juni 2022 pålagde det danske Rigspoliti teleudbydere at foretage målrettet geografisk logning af trafikdata.

Pålægget om målrettet logning af trafikdata opstod som følge af EU-Domstolens afgørelse af 5. april 2022 i Commissioner of An Garda Síochána m.fl. (sag C-140/20). Dommen medførte en afskæring af nationale retshåndhævende myndigheders adgang til i forbindelse med efterforskningen af grov kriminalitet at indhente trafikdata, som er logget generelt og udifferentieret af teleudbydere. Rigspolitiets pålæg er dermed en nødvendig foranstaltning for at genetablere politiets og den danske Anklagemyndigheds muligheder for at bekæmpe grov kriminalitet ved hjælp af teledata.

Pålægget indebærer, at teleudbydere skal foretage målrettet geografisk logning af trafikdata på områder, hvor der er et højt antal anmeldelser af grov kriminalitet, og på visse sikringskritiske områder. Disse trafikdata skal opbevares af teleudbyderne i et år fra registreringstidspunktet.

Muligheden for at iværksætte geografisk logning og målrettet logning af trafikdata rettet mod bestemte personer følger af de nye logningsregler, der trådte i kraft den 30. marts 2022. Den ovenfor nævnte afgørelse fra EU-Domstolen af 5. april 2022 bekræfter tillige, at en sådan målrettet logning er forenelig med EU-retten, når den foretages i tilknytning til grov kriminalitet.

Ud over konkret iværksatte pålæg om målrettet geografisk logning, er teleudbyderne fortsat forpligtet til at logge trafikdata generelt og udifferentieret for at beskytte den nationale sikkerhed, idet betingelsen om, at der skal foreligge en konkret og aktuel trussel mod den nationale sikkerhed i Danmark, fortsat anses for opfyldt.

Læs nyheden her:
https://www.justitsministeriet.dk/pressemeddelelse/nu-ivaerksaettes-maalrettet-logning/

Datatilsynet udtaler alvorlig kritik af Sports Connection for manglende behandlingssikkerhed

Den 4. juli 2022 traf det danske Datatilsyn afgørelse i en sag med journalnummer 2021-441-10210 om Sports Connection ApS (»Sports Connection«), hvori de udtalte alvorlig kritik, på baggrund af et hackerangreb mod virksomhedens webshop, der kompromitterede kundebetalingsoplysninger.

Forud for hackerangrebet havde Sports Connection forsømt at sikkerhedspatche sit e-handelssystem (webshop) til seneste version, hvilket Datatilsynet fandt ville have fjernet generelle sårbarheder ved programmet.

Datatilsynet fandt herefter, at selskabet som dataansvarlig ikke havde truffet de tilstrækkelige tekniske og organisatoriske foranstaltninger til at beskytte de registreredes personoplysninger, grundet en manglende effektiv risikovurdering og løbende opdatering af deres platform. Datatilsynet henviste til, at det var en kendt risiko, at e-handelsplatforme forsøges kompromitteret gennem deres indbyggede svagheder. Der var således tale om en overtrædelse af Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 32, stk. 1 om passende behandlingssikkerhed.

Endvidere konstaterede Datatilsynet, at GDPR artikel 24, stk. 1, jf. artikel 32, stk. 1, om den dataansvarliges ansvar var overtrådt, da Sports Connection ikke kunne fremlægge fornøden dokumentation for sin behandlingssikkerhed i form af logfil over løbende opdateringer af det kompromitterede system. Virksomheden var derfor ikke i stand til at påvise, at behandlingen var udført i overensstemmelse med GDPR. Det forhold, at Sports Connection havde anvendt en ekstern partner til udvikling af deres e-handelsplatform, var uden betydning for vurderingen.

Læs afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/alvorlig-kritik-af-sports-connection-for-manglende-behandlingssikkerhed

Datatilsynet indleder undersøgelse om overvågning af medarbejdere i Aalborg Kommune

Det danske Datatilsyn udsendte den 7. juli 2022 nyhed om, at de har indledt en undersøgelse af Aalborg Kommune, efter de igennem medieomtale er blevet bekendt med, at medarbejdere efter eget udsagn er blevet overvåget gennem video og lyd.

Formålet med undersøgelsen er ifølge Datatilsynet at afklare, om overvågningen har fundet sted, og i så fald, om det er sket i overensstemmelse med databeskyttelsesreglerne. Det indebærer særligt et krav om hjemmel og sagligt formål, samt at de grundlæggende principper om lovlighed, rimelighed og gennemsigtighed er opfyldt. Derudover har medarbejderne også krav på at blive informeret om, at de bliver overvåget.

Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/jul/datatilsynet-undersoeger-sag-om-overvaagning-af-medarbejdere

Datatilsynet udtaler kritik og giver to påbud til EG Digital Welfare ApS på baggrund af IT-systemet Mediconnect

Det danske Datatilsyn offentliggjorde den 7. juli 2022 afgørelse i en sag med journalnummer 2021-431-0144 vedrørende IT-systemet Mediconnect, som udbydes af EG Digital Welfare ApS (»EG«).

EG er databehandler for IT-systemet, Mediconnect, i forbindelse med kommuner, regioner og forsikringsselskabers brug af systemet til håndteringen af følsomme og fortrolige personoplysninger. Sagen opstod på baggrund af en henvendelse, hvoraf det blandt andet fremgik, at konti blev brugt som fælleskonti af flere læger og klinikker, at systemet ikke indeholder to-faktor login, at der ikke foretages logning af hvilke medarbejdere, der tilgår hvilke oplysninger i systemet og at adgangskoderne er tilgængelige i klartekst i databaserne.

Datatilsynet udtalte kritik af, at EG som databehandler for Mediconnect, behandler personoplysninger i strid med GDPR artikel 32, stk. 1, ved ikke at have truffet passende organisatoriske og tekniske sikkerhedsforanstaltninger. Datatilsynet meddelte samtidig EG påbud om (i) at anvende en anerkendt algoritme til irreversibel kryptering af alle kodeord, så disse hverken opbevares eller gøres tilgængelige i klartekst, og (ii) at indføre en loginløsning for alle brugere af IT-systemet med adgang til oplysninger af særlige kategorier, der vil gøre det umuligt at få adgang til disse oplysninger alene ved brug af brugernavn og kodeord.

Læs afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-udtaler-kritik-og-giver-to-paabud-til-eg-digital-welfare-aps

Datatilsynet gennemfører skriftligt tilsyn med Region Syddanmarks brug af personoplysninger til forskning

Det danske Datatilsyn gennemførte den 20. juli 2022 et skriftligt tilsyn med Region Syddanmark, journalnummer 2020-422-0026, med fokus på behandling af personoplysninger til forskningsbrug.

Datatilsynet havde, som genstand for undersøgelsen, udvalgt tre forskningsprojekter inden for emnerne »behandlingsgrundlag« og »ansvar og roller«.

Datatilsynet fandt ikke anledning til at kritisere Region Syddanmarks vurdering af retsgrundlaget for behandlingen af personoplysninger i de tre projekter, nemlig GDPR artikel 9, stk. 2, litra j om behandling af særlige kategorier af personoplysninger til videnskabelige forskningsformål, GDPR artikel 6, stk. 1, litra e om behandling nødvendig af hensyn til udførelse af en opgave i samfundets interesse, mm., samt lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«) § 10, stk. 1 om behandling af oplysninger i forbindelse med videnskabelige undersøgelser.

For så vidt angik projekt nr. 1 og 3 fandt Datatilsynet imidlertid anledning til at udtale kritik af, at Region Syddanmark ikke havde påvist, at der var taget stilling til tilsynsniveauet.

Datatilsynet fremhævede, at en dataansvarlig skal føre tilsyn med sikkerheden hos sine underdatabehandlerne, da den dataansvarlige selv skal overholde ansvarlighedskravet i GDPR artikel 5 og dermed kunne dokumentere, at behandlingen af personoplysninger er i overensstemmelse med GDPR. Region Syddanmark havde som dataansvarlig ikke opfyldt ovennævnte krav ved blot at indgå en aftale med databehandlerne.

Læs afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/tilsyn-med-region-syddanmarks-brug-af-personoplysninger-til-forskning

Tv-overvågning af medarbejdere var i overensstemmelse med reglerne i GDPR

Det danske Datatilsyn traf den 8. august 2022 afgørelse i en sag med journalnummer 2020-431-0115 vedrørende træningscenteret Fitness World A/S’ (»FW«) tv-overvågning af medarbejdere.

Sagen, som Datatilsynet indledte af egen drift, handlede om, hvorvidt FW overholder databeskyttelsesreglerne i forbindelse med overvågning af ansatte i træningscentrene.

En arbejdsgiver må kun iværksætte overvågning af arbejdspladsen, hvis der er en saglig grund til dette, og overvågningen begrænses til, hvad der skønnes nødvendigt. Derudover er det vigtigt, at medarbejdere informeres om tv-overvågningen samt formålet med overvågningen. Bruges overvågningen til at føre kontrol med medarbejderens arbejde, er der skærpede krav til at informere ansatte om dette.

I sagen kom Datatilsynet frem til, at FW’s tv-overvågning skete med henblik på at forebygge kriminalitet i fitnesscentrene. Datatilsynet lagde i sagen til grund, at medarbejderne i forbindelse med ansættelse var blevet informeret om tv-overvågningen, og at overvågningen ville kunne blive brugt for at gøre et muligt retskrav gældende mod medarbejderen. På den baggrund fandt Datatilsynet, at FW’s behandling var i overensstemmelse med GDPR artikel 6, stk. 1, litra f, om legitim interesse og artikel 14 om oplysningspligten.

Datatilsynet tog også stilling til, hvorvidt behandlingssikkerheden i centrene var i overensstemmelse med GDPR artikel 32, stk. 1. FW opbevarede i den forbindelse følsomme oplysninger om en række medarbejdere, herunder lægeerklæringer, opsigelser, kontrakter og skriftlige advarsler samt tv-overvågningsbilleder på en fælles computer. Oplysningerne var endvidere gemt på et forkert drev, og var følgelig tilgængelige for andre medarbejdere end ledelsen.

Datatilsynet udtalte alvorlig kritik på baggrund heraf, da opbevaringen udgjorde en nærliggende risiko for medarbejdernes databeskyttelsesretlige rettigheder. FW valgte efterfølgende at udlevere personlige computere med tilhørende personligt login til centrenes ledere samt at videreuddanne medarbejdere, særligt ved målrettet uddannelse til de lokale ledere.

Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/aug/tv-overvaagning-af-medarbejdere-levede-op-til-gdpr

Datatilsynet udtaler alvorlig kritik af KMD A/S efter utilsigtet adgang til oplysninger om børn

Det danske Datatilsyn traf den 25. august 2022 afgørelse i en sag med journalnummer 2021-431-0126 om KMD A/S (»KMD«), der ved implementeringen af en ny funktion i sit system, ikke havde testet systemet tilstrækkeligt, hvilket førte til, at plejeforældre fik uberettiget adgang til oplysninger om plejebørnene via folkeskolernes kommunikationsplatform, AULA. Datatilsynet fandt ikke, at KMD’s behandling af oplysninger var i overensstemmelse med GDPR artikel 32 om behandlingssikkerhed, og udtalte følgelig alvorlig kritik.

Datatilsynet fik kendskab til bruddet på baggrund af anmeldelser fra seks kommuner i perioden fra den 19. januar 2021 til den 21. januar 2021. Anmeldelserne gik på, at en systemfejl i januar 2021 hos de pågældende kommuners databehandler, KMD, havde medført, at plejeforældre uberettiget havde haft adgang til AULA.

Datatilsynet vurderede, at KMD, ved ikke at have udført passende tests af den nye funktion, herunder hvordan funktionaliteten fungerede sammen med AULA, ikke havde truffet passende organisatoriske og tekniske foranstaltninger for derigennem at sikre et sikkerhedsniveau, der passer til de risici, der er forbundet med KMD’s behandling af personoplysninger. Det blev endvidere tillagt vægt, som en skærpende omstændighed, at Datatilsynet tidligere i november 2020 havde behandlet en hændelse vedrørende de samme systemer, som leverer data til AULA, omend hændelsen ikke var identisk med den foreliggende.

Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/aug/alvorlig-kritik-utilsigtet-adgang-til-oplysninger-om-boern

Datatilsynet udtaler alvorlig kritik af Familieretshusets utilsigtede videregivelser af beskyttede navne- og adresseoplysninger

Det danske Datatilsyn har den 6. september 2022 truffet afgørelse i en sag med journalnummer 2021-432-0063 om det danske Familieretshus og fandt på baggrund af sagen anledning til at udtale alvorlig kritik samt påbud om fornyet risikovurdering, i henhold til GDPR artikel 32, stk. 1, og artikel 58, stk. 2, litra d.

I efteråret 2021 indledte Datatilsynet af egen drift en undersøgelse af Familieretshusets utilsigtede videregivelse af bl.a. beskyttede navne- og adresseoplysninger til uvedkommende.

Personoplysningerne var bl.a. videregivet ved aktindsigtsanmodninger, fremsendelser af afgørelser, orienteringsskrivelser og partshøringer. De utilsigtede videregivelser skyldes hovedsageligt menneskelige fejl. Herudover er videregivelserne i vidt omfang sket til modparter, som de registrerede havde navne- og adressebeskyttelse for at beskytte sig mod.

Datatilsynet har tidligere, den 4. marts 2021, i en sag med journalnummer 2020-432-0037, truffet afgørelse i en lignende sag om Familieretshusets uberettigede videregivelse af personoplysninger. Hertil kommer, at Datatilsynet i perioden op til og mens sagen blev oplyst, fra 27. maj 2021 til 16. august 2022, modtog 37 anmeldelser om brud på persondatasikkerheden, som alle omhandlede Familieretshusets uberettigede videregivelse af den ene parts beskyttede adresse.

Datatilsynet har kunnet konstatere, at Familieretshuset har foretaget betydelige organisatoriske foranstaltninger for at undgå yderligere utilsigtede videregivelser, siden afgørelsen af 4. marts 2021. Alligevel fandt Datatilsynet, at de gentagne konstateringer af ligeartede brud på persondatasikkerheden burde have givet Familieretshuset anledning til at reflektere over de allerede foretagne risikovurderinger, idet gentagne episoder antyder behov for yderligere kontrolforanstaltninger og/eller opdateret teknisk understøttelse af eksisterende foranstaltninger.

Familieretshuset havde derfor, ved ikke at træffe passende organisatoriske og tekniske foranstaltninger for at sikre et sikkerhedsniveau, forsømt at iagttage sin pligt til at etablere passende behandlingssikkerhed i henhold til GDPR artikel 32, stk. 1.

Af betydning for denne vurdering er der særligt lagt vægt på, at Familieretshuset ikke i tilstrækkeligt omfang havde haft de fornødne procedurer for regelmæssig efterprøvning, vurdering og evaluering af effektiviteten af de allerede etablerede foranstaltninger.

Datatilsynet har ved valg af reaktion lagt særlig vægt på, at det kan være forbundet med store konsekvenser for de registrerede, når deres beskyttede adresse eller opholdssted utilsigtet videregives til den person, de forsøger at skjule sig for.

Læs afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/alvorlig-kritik-af-familieretshuset

Datatilsynet fandt, at det Konservative Folkeparti havde lovligt grundlag for advokatundersøgelse

Det danske Datatilsyn har den 6. september 2022 truffet afgørelse i en sag med journalnummer 2021-31-5542, hvor klager klagede over behandlingen af oplysninger i en advokatundersøgelse.

Undersøgelsen blev, på vegne af det danske Konservative Folkeparti (»Konservative Folkeparti«), indledt af advokatfirmaet Plesner Advokatpartnerselskab (»Plesner«) med henblik på en faktuel undersøgelse af de i dagspressen, mod klager, fremsatte beskyldninger om seksuelle krænkelser og overgreb.

Datatilsynet fandt, at behandlingen af oplysninger, herunder oplysninger om mulige strafbare handlinger og seksuelle forhold, var inden for rammerne af GDPR artikel 6, stk. 1, litra f om legitim interesse, artikel 9, stk. 2, litra d om behandling af særlige kategorier af personoplysninger i en politisk organisation samt den danske databeskyttelseslov § 8, stk. 3, 2.pkt. om behandling af oplysninger om strafbare forhold, hvis det er nødvendigt til varetagelse af en berettiget interesse.

Datatilsynet fandt imidlertid anledning til at udtale kritik af det Konservative Folkeparti samt Plesner, for ikke at have givet klager tilstrækkelige oplysninger om behandlingen, og dermed forsøgt at iagttage oplysningspligten i henhold til GDPR artikel 14.

Læs afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/det-konservative-folkeparti-havde-et-lovligt-grundlag-for-at-gennemfoere-advokatundersoegelse

Chromebooks: Datatilsynet suspenderer forbud mod Helsingør Kommunes brug af Google Workspace og giver påbud om lovliggørelse

Den 8. september 2022 offentliggjorde det danske Datatilsyn sin fjerde afgørelse under journalnummer 2020-431-0061 i sagen angående Helsingør Kommunes behandling af personoplysninger i folkeskolen ved brug af Chromebooks og Google Workspace.

Tilbage i september 2021 udtalte Datatilsynet alvorlig kritik samt påbud om udarbejdelse af en risikovurdering i sin første afgørelse under samme journalnummer. I den konkrete sag havde Helsingør Kommune undladt at foretage de fornødne vurderinger af risikoen for de registreredes rettigheder ved brugeroprettelsen til Chromebook og brugen af Google G-suite for Education (nu Google Workspace), som er en pakke af værktøjer til cloudcomputing, produktivitet og samarbejde. Kommunen havde endvidere undladt at foretage tilstrækkelig sikring mod uautoriseret brug af computerne.

Den 14. juli 2022, fandt Datatilsynet igen anledning til at udtale alvorlig kritik af Helsingør Kommunes behandling af personoplysninger i folkeskolen ved brug af Google Workspace i den næste Chromebook-sag under samme journalnummer. Afgørelsen gav herudover Datatilsynet anledning til at nedlægge forbud mod Helsingør Kommunes behandling af personoplysninger ved brug af Google Chromebooks og Google Workspace, indtil brugen blev bragt i overensstemmelse med GDPR. I tillæg til ovenstående, suspenderede Datatilsynet også enhver overførsel af personoplysninger til USA, som Helsingør Kommune havde instrueret Google Cloud EMEA Limited i at foretage, som databehandler for kommunen, indtil Helsingør Kommune kunne påvise iagttagelse af reglerne i GDPR kap. V.

Datatilsynet fandt, at Helsingør Kommunes risikovurdering var mangelfuld, fordi nogle helt konkrete risici i forhold til databehandlerkonstruktionen ikke var tilstrækkeligt afdækket. Det fremgik desuden af databehandleraftalen, at der kunne overføres oplysninger til tredjelande i supportsituationer uden det fornødne sikkerhedsniveau.

Den 18. august 2022 meddelte Datatilsynet i den tredje sag under samme journalnummer, at man fastholdt forbuddet udstedt i juli, idet Datatilsynet vurderede, at Helsingør Kommune ikke kunne nedbringe risikoen til et acceptabelt niveau uden ændringer i kontraktgrundlaget og teknologien.

Den 8. september 2022 suspenderede Datatilsynet imidlertid dette forbud. I stedet meddelte Datatilsynet Helsingør Kommune et påbud om lovliggørelse, i sin fjerde sag under samme journalnummer. Helsingør Kommune måtte således genoptage brugen af Google Workspace, men på betingelse af at bringe aftalen med Google som databehandler i overensstemmelse med GDPR senest den 5. november 2022. Herudover skulle Helsingør Kommune også udarbejde en opdateret konsekvensanalyse baseret på alle de risici, som kommunen under dokumentationsprocessen har identificeret, såfremt det måtte være relevant.

Kommunernes Landsforening har orienteret Datatilsynet om, at de forventer at fremsende lignende henvendelser om lovliggørelse af brugen af Google Workspace i andre kommuner. Datatilsynet har meldt ud, at de forventer at stille de samme krav til andre kommuner, der foretager lignende behandlinger.

Læs Datatilsynets afgørelse af 8. september 2022 her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/chromebooks-datatilsynet-suspenderer-forbud-og-giver-paabud-om-lovliggoerelse

Læs Datatilsynets afgørelse af 18. august 2022 her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/aug/datatilsynet-fastholder-forbud-i-chromebook-sag

Læs Datatilsynets afgørelse af 14. juli 2022 her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-i-chromebook-sag-

Læs Datatilsynets afgørelse af 10. september 2021 her: https://admin.datatilsynet.dk/afgoerelser/afgoerelser/2021/sep/afgoerelse-vedroerende-brud-paa-persondatasikkerheden

Datatilsynet meddeler Aarhus Kommune påbud om ændring af databehandleraftale indgået med Google Workspace

Det danske Datatilsyn meddelte den 8. september 2022 Aarhus Kommune et påbud om at ændre den indgåede aftale med databehandleren, Google Workspace, på en sådan måde, at den bringes i overensstemmelse med GDPR.

Datatilsynet henviste i sin afgørelse til den tilsvarende sag vedrørende Helsingør Kommunes brug af Google Chromebooks og Workspace (gengivet ovenfor). Datatilsynet fandt, at Aarhus Kommune, på samme måde som Helsingør Kommune, skal opdatere sin databehandleraftale med Google Workspace, herunder f.eks. ved at tydeliggøre, hvornår databehandleren agerer som selvstændig dataansvarlig, samt til hvilke formål, de supportsituationer, som Aarhus Kommune ikke benytter længere, og sikre, at alle tilsigtede overførsler til usikre tredjelande overholder GDPR, samt udarbejde fornøden dokumentation herfor.

Ydermere blev Aarhus Kommune påbudt at beskrive de datastrømme, der finder sted, og identificere de personoplysninger, der videregives til leverandøren, og at tydeliggøre, hvornår leverandøren agerer som selvstændig eller fællesdataansvarlig.

Læs afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/vedroerende-aarhus-kommunes-behandling-af-personoplysninger

Datatilsynet konkluderer, at Google Analytics ikke kan anvendes lovligt uden videre. Lovlighed forudsætter implementering af supplerende foranstaltninger udover de indstillinger, Google stiller til rådighed

Det danske Datatilsyn har den 21. september 2022, efter nærmere gennemgang af værktøjet Google Analytics, konkluderet, at Google Analytics, på baggrund af dets indstillinger og vilkår, ikke uden videre kan bruges lovligt.

Værktøjet Google Analytics anvendes til indsamling af data om besøgende på hjemmesider og apps, for derigennem at udarbejde statistiske rapporter, som hjemmesideindehaverne kan bruge til f.eks. at optimere design, funktioner, webshop, mm. Datatilsynet har på baggrund af en fælleseuropæisk analyse vurderet, at værktøjet, der medfører overførsel af personoplysninger til USA, ikke er foreneligt med GDPR, idet de amerikanske regler ikke yder samme beskyttelse som databeskyttelsesreglerne.

Virksomhederne står herefter med et valg om enten at træffe effektive supplerende foranstaltninger, såsom pseudonymisering, for derigennem at overholde databeskyttelsesreglerne eller helt ophøre med deres brug af værktøjet og finde alternativer herfor.

Datatilsynet har i tilknytning til de mange spørgsmål, som der er opstået i kølvandet på diverse afgørelser fra europæiske datatilsyn, oprettet en FAQ, hvor de besvarer en række af de mest stillede spørgsmål vedrørende Google Analytics.

Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/sep/brug-af-google-analytics-til-webstatistik

Læs Datatilsynets FAQ om Google Analytics her:
https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/google-analytics

Datatilsynet nedsætter nyt specialudvalg

Den 28. september 2022 nedsatte det danske Datatilsyn et specialudvalg med fokus på behandling af personoplysninger i forbindelse med forskning.

Datatilsynet lancerede i 2020 et nyt strategisk grundlag med ny vision, mission og værdigrundlag, hvorefter tilsynet ønsker et øget fokus på konkret vejledning, information, tilgængelige afgørelser og et målrettet tilsyn. Datatilsynet har arbejdet med at skabe en endnu tættere dialog med omverdenen og sigtet på en bred interesseinddragelse, for at sikre efterlevelse af GDPR, med et særligt fokus på at skabe mere klarhed omkring omfanget og betydningen af databeskyttelsesreglerne, hos de dataansvarlige.

Interesseinddragelsen indebærer bl.a., at specialudvalget er nedsat ved en bred invitation til både relevante interesseorganisationer, ministerier og styrelser. Planen er, at specialudvalget skal mødes to gange årligt, hvoraf det første møde blev afholdt den 29. september 2022. Her vil medlemmerne blive orienteret om Datatilsynets aktuelle arbejde på forskningsområdet, herunder det internationale område, ligesom de vil have anledning til at komme med input.

Læs nyheden her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/sep/specialudvalg-om-forskning

Datatilsynet udgiver ny vejledning om valgkampagner

Det danske Datatilsyn udgav den 4. oktober 2022 en ny vejledning om databeskyttelsesreglerne i forbindelse med valgkampagner.

Valgkampagner føres ikke længere kun på plakater og med valgbrochurer, men er også rykket ind på sociale medier og andre digitale platforme. Kampagnerne kan ved hjælp af dataindsamling og algoritmebaseret teknologi målrettes specifikke befolkningsgrupper. Det er i den forbindelse vigtigt, at databeskyttelsesreglerne fortsat overholdes, særligt når kampagnerne ofte behandler oplysninger om personers politiske overbevisning, der kategoriseres som en følsom personoplysning i GDPR artikel 9.

Vejledningen er opdelt i fire punkter. Indledningsvist behandles spørgsmålet om GDPR’s anvendelsesområde, med særligt fokus på undtagelsen med hensyn til ytrings- og informationsfrihed. Datatilsynet er af den opfattelse, at undtagelsen omfatter meningsdannere og politiske partier i de tilfælde, hvor der udbredes information, meninger eller idéer til offentligheden. Undtagelsen skal fortolkes bredt, og gælder også, selvom der er tale om informationer, der kan opfattes som chokerende eller forstyrrende. Herudover kan formidling af et politisk budskab, der indeholder personoplysninger, også være omfattet af undtagelsen.

Undtagelsen omfatter som udgangspunkt ikke rent private oplysninger. Hvad der udgør »rent private oplysninger«, varierer dog afhængigt af den konkrete person og kontekst, f.eks. skal der differentieres mellem tilfælde, hvor der er tale om en privatperson eller et folketingsmedlem. Behandling forud for spredning af politisk budskab, f.eks. via profilering på sociale medier, kan ligeledes ikke undtages. Det omfatter for eksempel den situation, hvor et politisk parti ønsker at sende sit partiprogram ud via SMS, og derfor indhenter telefonnumre via offentligt tilgængelige kilder.

Det næste punkt i vejledningen handler om ansvarsfordelingen i valgkampagner. Begreberne »dataansvarlig«, »databehandler« og »fælles dataansvarlig« introduceres, med henblik på at udpege, hvem der har ansvaret for iagttagelse af databeskyttelsesreglerne, bevisbyrden for, at reglerne er overholdt, samt hvilke forpligtelser der alene påhviler databehandleren. Der gives flere tænkte eksempler på, hvordan rollerne fordeler sig i forbindelse med valgkampagner, da fordelingen afhængig af det politiske partis opbygning kan være meget forskellig.

De fleste politiske partier og organisationer vil være dataansvarlige i forskellige situationer, enten alene eller sammen med andre. Som dataansvarlig påhviler det partiet eller organisationen at sikre, at databeskyttelsesreglerne overholdes, også af den anvendte databehandler.

EU-domstolen har flere gange fastslået, at kommercielt brug af sociale medieplatforme giver et fælles dataansvar med det sociale medie, også selvom det sociale medie tilbyder en standardiseret ydelse. Vejledningen fremhæver, at der i en sådan situation skal etableres en »fælles ordning«, hvorefter det politiske parti og det sociale medie på en gennemsigtig måde fastlægger, hvordan de påtænker at iagttage deres respektive ansvar.

Vejledningen indeholder afslutningsvist en tjekliste, der i otte punkter opridser, hvad man som politisk aktør skal huske under en valgkampagne i forbindelse med GDPR.

Læs hele vejledningen her: https://www.datatilsynet.dk/Media/638004710562663269/Databeskyttelsesreglerne i forbindelse med valgkampagner.pdf