Nytt om personvern
Mulighed for sletning af visning ved søgeresultater, hvis informationerne om den registrerede er åbenbart fejlagtige
Domstolen afsagde den 8. december 2022 dom i en præjudiciel forelæggelse indgivet af forbundsdomstolen i Tyskland i sag C-460/20 om retten til at blive glemt i henhold til Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 17 samt artikel 12 og 14 i Europa-Parlaments og Rådets direktiv 95/46/EF af 24. oktober 1995 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger.
Sagen angik den afvejning af Charterets grundrettigheder, som efter GDPR artikel 17, stk. 3, litra a, skal foretages ved vurderingen af, om den registreredes ret til privatliv og sine personoplysninger, det vil sige retten til sletning, skal vige under henvisning til et mere tungtvejende hensyn til ytrings- og informationsfriheden. Sagen angik også, hvilken part der bærer bevisbyrden for at godtgøre urigtigheden af de personoplysninger, der bliver linket til i en søgemaskines søgeresultat, som begæres slettet.
Sagen udsprang af en anmodning fra to registrerede til søgemaskinen Google LLC (»Google«) om sletning af links til tre artikler fra Googles søgeresultater, idet artiklerne ifølge de registrerede indeholdte urigtige oplysninger. Derudover fremsatte de ønske om sletning af de til artiklerne tilhørende fotografier, fremvist som miniaturebilleder, såkaldte »thumbnails«, på Googles søgeresultater. Artiklerne handlede om, og kom frem ved en søgning på, de registrerede. Google afviste anmodningen om sletning af de pågældende links fra søgeresultaterne, bl.a. under henvisning til, at Google ikke havde kendskab til den påståede urigtighed af oplysningerne på det linkede websted.
Domstolen fandt i spørgsmålet om bevisbyrde, at det påhviler den registrerede at godtgøre, at oplysningerne, eller i det mindste en ikke uvæsentlig del af disse, i det link, der begæres slettet, er åbenbart urigtige. For at sikre den effektive virkning af retten til sletning, og derved undgå at pålægge denne person en urimelig byrde, indebærer dette dog ikke et definitivt krav om forudgående retsafgørelse over for udgiveren af det omhandlede websted. Bevisspørgsmålet afhænger derfor af en konkret vurdering af, hvad der med rimelighed kan kræves fremlagt af personen.
Dog blev det understreget, at en søgemaskineudbyder ikke ved en anmodning om sletning af links pålægges en aktiv pligt til selv at forestå undersøgelser, der ikke underbygges af anmodningen om sletning. Er der indledt en administrativ eller retslig procedure mod indholdsudbyderen, og gøres udbyderen af søgemaskinen bekendt med dette forhold, består der dog ifølge Domstolen en pligt til at flage oplysningernes omtvistede rigtighed i søgeresultatslisten.
For så vidt angår afvejningen mellem Charterets grundrettigheder, fandt Domstolen, at der skulle foretages en særskilt afvejning for henholdsvis visningen af artiklerne og miniaturebillederne, henset til de to medieformers divergerende indgriben i individets ret til privatliv og sine personoplysninger. Herudover fandt Domstolen, at afvejningen der skulle foretages i relation til en anmodning om sletning hos en indholdsudbyder og en søgemaskineudbyder ikke er den samme, idet sidstnævnte varetager en funktion som katalysator for informationers eksponering til en større kontaktflade og dermed muliggør større spredning af informationen.
Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=268429&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=91694
Præjudiciel forelæggelse om fortolkning af principperne om »formålsbegrænsning« og »opbevaringsbegrænsning« i forbindelse med oprettelse af database med henblik på test og fejlrettelser
Domstolen traf den 20. oktober 2022 afgørelse i sag C-77/21, hvor Domstolen udtalte sig om fortolkningen af de databeskyttelsesretlige principper om »formålsbegrænsning« og »opbevaringsbegrænsning«, som følger af GDPR artikel 5, stk. 1, litra b og e.
Den præjudicielle forelæggelse var foranlediget af en påklaget afgørelse fra det ungarske datatilsyn, der havde udstedt en bøde til den ungarske leverandør af internet og TV (»Digi«), for overtrædelse af principperne om formålsbegrænsning henholdsvis opbevaringsbegrænsning. Digi havde oprettet en testdatabase til korrigering af fejl, hvori selskabet havde kopieret ca. 1/3 af sine abonnenters personoplysninger over. De havde dog forsømt at slette databasen efter de nødvendige tests var udført. Domstolen gentog i den forbindelse, at en behandling af oplysninger, der oprindeligt var lovlig, med tiden kan blive uforenelig med GDPR, når oplysningerne ikke længere er nødvendige af hensyn til de formål, hvortil de er blevet indsamlet.
Domstolen fastslog i den forbindelse, at oprettelsen af testdatabasen udgjorde viderebehandling som fastlagt i GDPR artikel 5, stk. 1, litra b, og følgelig skulle behandles på en måde forenelig med de formål, der lå til grund for den oprindelige indsamling. Her fandt Domstolen, at bestemmelsen ikke hindrer, at den dataansvarlige opbevarer personoplysningerne på ny i en testdatabase oprettet med henblik på fejlretning, forudsat at behandlingen var forenelig med de oprindelige formål, afgjort på grundlag af de kriterier, som følger af GDPR artikel 6, stk. 4.
Hvad angår princippet om opbevaringsbegrænsning efter artikel 5, stk. 1, litra e, følger det, at opbevaring som engang var lovlig, med tiden kan blive i strid med GDPR, såfremt formålet ikke længere nødvendiggør opbevaringen. Heraf følger, at bestemmelsen er til hinder for, at en dataansvarlig opbevarer personoplysninger i en testdatabase, oprettet for at udføre tests og korrigere fejl, i et længere tidsrum end hvad der er nødvendigt for at gennemføre sådanne test og rette lokaliserede fejl.
Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=267405&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=91694
Retten afviser WhatsApp’s annullationssøgsmål
Den Europæiske Unions Ret (»Retten«) afsagde den 7. december 2022 kendelse i sag T-709/21 vedrørende et annullationssøgsmål anlagt af WhatsApp Ireland (»WhatsApp«) mod Det Europæiske Databeskyttelsesråd (»EDPB«). WhatsApp nedlagde i sagen påstand om annullation af EDPB’s bindende afgørelse 1/2021 af 28. juli 2021 (»den anfægtede afgørelse«) vedrørende en tvist mellem berørte tilsynsmyndigheder, som var opstået i forbindelse med udkastet til afgørelse om WhatsApp, som var udarbejdet af den irske tilsynsmyndighed
Den irske databeskyttelsesmyndighed indledte på baggrund af flere forbrugerklager en undersøgelse af WhatsApp’s overholdelse af reglerne om oplysningspligt i GDPR artikel 12-14. I den forbindelse fremsendte den irske databeskyttelsesmyndighed et udkast til afgørelse til tilsynsmyndigheder i de øvrige medlemsstater, der også var berørt af sagen. Da de berørte medlemsstater ikke nåede til enighed om udkastet, henviste den irske databeskyttelsesmyndighed sagen til EDPB, der traf afgørelse i den anfægtede afgørelse.
På baggrund af den anfægtede afgørelse fastslog den irske databeskyttelsesmyndighed, at WhatsApp havde overtrådt visse bestemmelser i GDPR og forhøjede bødeforlægget til € 225 mio.
WhatsApp appellerede både den anfægtede afgørelse og afgørelsen truffet af den irske databeskyttelsesmyndighed. Retten kom frem til, at appelsagen skulle afvises, og begrundede dette med, at WhatsApp ikke var direkte berørt af EDPB’s afgørelse. Den omstændighed, at EDPB’s afgørelse indeholdt en analyse af visse aspekter med betydning for den irske databeskyttelsesmyndigheds endelige afgørelse, betød ikke, at den i sig selv medførte en klar ændring af WhatsApp’s retsstilling. Ifølge Retten var betingelserne for, at en foranstaltning kan berøre andre personer end adressaterne, ikke opfyldt i denne sag.
Der er endnu ikke truffet afgørelse i den irske appelsag.
Læs kendelsen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=268419&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=306033
Læs den anfægtede afgørelse her:
https://edpb.europa.eu/system/files/2021-09/edpb_bindingdecision_202101_ie_sa_whatsapp_redacted_en.pdf
EDPB vedtager erklæring om konsekvenserne af Domstolens dom om brugen af PNR-oplysninger i medlemsstaterne
Det Europæiske Databeskyttelsesråd (»EDPB«) udstedte den 15. december 2022 en pressemeddelelse om vedtagelsen af en erklæring om konsekvenserne af Domstolens dom i sag C-817/19 om implementering af direktiv 2016/681 af 27. april 2016 om anvendelse af passagerlisteoplysninger (PNR-oplysninger) til at forebygge, opdage, efterforske og retsforfølge terrorhandlinger og grov kriminalitet (»PNR-direktivet«).
Domstolens afgørelse påvirkede ikke PNR-direktivets gyldighed, men Domstolen fandt dog, at der ved anvendelsen af direktivet skal tages hensyn til en række vigtige begrænsninger i forbindelse med behandlingen af personoplysninger for at direktivet er i overensstemmelse med Den Europæiske Unions Charter om grundlæggende rettigheder, særligt dennes artikel 7 og 8 om henholdsvis respekt for privatliv og familieliv og beskyttelse af personoplysninger.
Nogle af begrænsningerne vedrører bl.a., at PNR-systemet alene må anvendes i forbindelse med terrorhandlinger eller grov kriminalitet, ligesom anvendelsen af oplysningerne skal have en objektiv forbindelse med befragtningen af passagerer og den generelle opbevaringsperiode af passagerernes personoplysninger på fem år skal anvendes på en ikke-vilkårlig måde.
Det er EDPB’s opfattelse, at flere, hvis ikke de fleste, medlemsstater ikke lever op til Domstolens fortolkning af PNR-direktivet i forbindelse med deres nationale implementeringer af direktivet og pålagde dem følgelig at rette op herpå.
Læs pressemeddelelsen her:
https://edpb.europa.eu/news/news/2022/edpb-adopts-statement-cjeu-pnr-judgment_en
Læs EDPB’s erklæring her:
https://edpb.europa.eu/system/files/2022-12/edpb_statement_20221213_on_the_pnr_judgement_en.pdf
Det irske datatilsyn udsteder bøde på € 390 mio. til Meta
Den 5. december vedtog Det Europæiske Databeskyttelsesråd (»EDPB«) tre bindende afgørelser vedrørende tvistbilæggelsessager efter proceduren i GDPR artikel 65.
Afgørelserne vedrørte Meta Platforms Ireland (»Meta«) og dets behandling af personoplysninger på henholdsvis Facebook, Instagram og WhatsApp. Det irske datatilsyn, som er ledende (tilsyns)myndighed, havde i udkastet til afgørelserne fundet, at Meta havde overtrådt princippet om gennemsigtighed kodificeret i GDPR artikel 5 om principper for behandling af personoplysninger ved behandling af adfærdsbaseret annoncering.
Afgørelserne blev mødt af indsigelser fra øvrige berørte tilsynsmyndigheder. Den irske tilsynsmyndighed valgte imidlertid ikke at følge disse, hvorved tvistbilæggelsesproceduren blev indledt.
Med afsæt i EDPB’s afgørelser fastslog den irske tilsynsmyndighed bl.a., at opfyldelse af en kontrakt ikke udgør en passende lovlig behandlingshjemmel, når formålet med behandlingen er adfærdsbaseret markedsføring. Med afsæt heri, udstedte tilsynet derfor en bøde på € 210 mio. til Facebook og en bøde på € 180 mio. til Instagram. Herudover udstedte det irske tilsyn et påbud til Meta om at bringe sine behandlingsaktiviteter i overensstemmelse med GDPR.
Læs pressemeddelelsen af 6. januar 2023 her:
https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/jan/det-irske-datatilsyn-udsteder-endnu-en-boede-til-meta-paa-390-millioner-euro
Læs pressemeddelelsen af 6. december 2022 her:https://www.datatilsynet.dk/internationalt/internationalt-nyt/2022/dec/edpb-traeffer-afgoerelse-i-tre-sager-vedroerende-facebook-instagram-og-whatsapp
EDPB sender anbefalinger om bindende virksomhedsregler (»BCR«) i høring
Den 14. november 2022 vedtog Det Europæiske Databeskyttelsesråd (»EDPB«) anbefaling 1/2022 om nye anbefalinger om bindende virksomhedsregler, jf. GDPR artikel 47 (»Anbefalingerne«).
Anbefalingerne bygger på aftaler, som databeskyttelsesmyndighederne har indgået i forbindelse med godkendelsesprocedurer for konkrete BCR-ansøgninger efter GDPR artikel 47 og skal også bringe den eksisterende vejledning i overensstemmelse med kravene i Domstolens Schrems II-dom. Anbefalingerne er sendt i høring indtil den 10. januar 2023.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/internationalt/internationalt-nyt/2022/nov/nye-edpb-anbefalinger-om-bindende-virksomhedsregler-i-hoering
EDPB vedtager liste over administrative procedureregler i brev til Kommissionen med henblik på harmonisering
På et plenarmøde den 10. oktober 2022 vedtog Det Europæiske Databeskyttelsesråd (»EDPB«) en liste over administrative procedureregler, som skal være med til at sikre en mere effektiv anvendelse af GDPR. Listen er sendt i et brev til Kommissionen.
Brevet er et resultat af et af de konkrete tiltag, som EDBP blev enige om på EDPB-topmødet i Wien i april 2022. Tiltaget skal forbedre og styrke det europæiske samarbejde og sikre en ansvarlig anvendelse af europæeres personoplysninger i fremtiden.
Blandt de ting som brevet adresserede, var de forskelle, som kan variere fra medlemsstat til medlemsstat, herunder partsstatus og rettigheder, proceduremæssige frister, formelle krav til klager og tilsynsmyndighedernes efterforskningsmæssige beføjelser.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/internationalt/internationalt-nyt/2022/okt/edpb-vedtager-brev-til-europa-kommissionen-om-harmonisering-af-administrative-procedureregler
Tilsyn med bobestyrers overholdelse af databeskyttelsesreglerne henhørte under Datatilsynet og ikke skifteretten
Vestre Landsret afsagde den 5. oktober 2022 kendelse i kæresagen B-0254-22 anlagt af arvingerne i et bobestyrerbo.
Arvingerne havde i sin klage til skifteretten redegjort for seks nærmere beskrevne klagepunkter vedrørende bobestyrers arbejde med boet, herunder at bobestyreren ikke overholdt det danske Datatilsyns krav om datasikkerhed. I sit svar på klagen videresendte bobestyreren sin IT-leverandørs bekræftelse på, at de afsendte mails ikke kunne åbnes af uvedkommende. Skifteretten fandt på den baggrund, at bobestyreren overholdt databeskyttelsesreglerne, hvorfor arvingerne ikke fik medhold i dette klagepunkt.
Vestre Landsret afviste skifterettens kendelse med henvisning til, at tilsyn med bobestyrerens overholdelse af databeskyttelsesloven og databeskyttelsesforordningen henhører under Datatilsynet, jf. lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«) § 27.
Dommen kan findes bag betalingsmur her: https://pro.karnovgroup.dk/document/7000916856/1?frt=databeskyttelse+&hide_flash=1&page=1&rank=3
Vestre Landsret kan kontaktes for udlevering af kendelsen her: https://www.domstol.dk/vestrelandsret/kontakt/
Yderligere materiale i sagen om Google Workspace og Chromebooks medfører udsættelse for sagens afgørelse
Det danske Datatilsyn har den 13. december 2022 valgt at udsætte afgørelsen i sagen om i alt 50 kommuners brug af applikationen Google Workspace i folkeskolen og fastsat en frist for indlevering af yderligere materiale i sagen til den 23. januar 2023.
Tilbage i september 2022 traf Datatilsynet sin fjerde afgørelse med journalnummer 2020-431-0061, der angik Helsingør Kommunes behandling af personoplysninger i folkeskolen ved brug af applikationen Google Workspace for Education på Chromebooks. Datatilsynet nedlagde dengang påbud om, at anvendelsen af undervisningsprogrammet skulle bringes i overensstemmelse med reglerne i GDPR for samtidig at suspendere et tidligere nedlagt forbud.
De pågældende kommuner indleverede i november 2022 i samarbejde med Kommunernes Landsforening (KL), IT-leverandøren KOMBIT A/S, og Styrelsen for IT og Læring (STIL), betydeligt materiale, der havde til formål at godtgøre, at kommunernes brug af Google Workspace kan ske lovligt. Datatilsynet valgte herefter at forlænge suspensionen af deres forbud, hvorefter kommunerne fortsat kan bruge Google Workspace, så længe Datatilsynet gennemgår materialet.
I december 2022 oplyste KL, at de vil fremsende yderligere materiale i sagen. Fristen for at indlevere yderligere materiale i sagen blev herefter forlænget til den 23. januar 2023.
Datatilsynet forventer, at en afgørelse i sagen vil falde i 2023. Sagerne er tidligere omtalt i Lov & Data 4. kvartal 2022 med udgivelsesnr. 152.
Læs pressemeddelelsen af 13. december 2022 her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/dec/yderligere-materiale-udsaetter-afgoerelse-om-chromebooks
Læs pressemeddelelsen af 4. november 2022 her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/nov/datatilsynet-undersoeger-kommuners-materiale-om-google-workspace
Læs Datatilsynets afgørelse af 8. september 2022 her:https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/chromebooks-datatilsynet-suspenderer-forbud-og-giver-paabud-om-lovliggoerelse
Læs Datatilsynets afgørelse af 18. august 2022 her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/aug/datatilsynet-fastholder-forbud-i-chromebook-sag
Læs Datatilsynets afgørelse af 14. juli 2022 her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/jul/datatilsynet-nedlaegger-behandlingsforbud-i-chromebook-sag-
Læs Datatilsynets afgørelse af 10. september 2021 her:https://admin.datatilsynet.dk/afgoerelser/afgoerelser/2021/sep/afgoerelse-vedroerende-brud-paa-persondatasikkerheden
Danske Shoppingcentre politianmeldes og indstilles til bøde for tv-overvågning af toiletområde i indkøbscenteret City2
Illustrasjonsfoto: Colourbox.com
Den 8. december 2022 meddelte det danske Datatilsyn, at Danske Shoppingcentre P/S (»Danske Shoppingcentre«) var blevet anmeldt til politiet og indstillet til en bøde på 350.000 kr. for ikke i tilstrækkeligt omfang at have begrænset tv-overvågningen på i hvert fald ét toiletområde i indkøbscenteret City2.
Politianmeldelsen og bødeindstillingen skete på baggrund af, at Datatilsynet i forbindelse med en klage blev opmærksom på, at der var opsat tv-overvågning på flere toiletområder i indkøbscenteret. Danske Shoppingcentre forklarede over for Datatilsynet, at formålet med opsætningen af tv-overvågningen var at forhindre hærværk og tyveri og sikre tryghed for kunderne.
Danske Shoppingcentre havde implementeret en teknisk løsning med en sort markering på kameraet hen over det sted, hvor der var opsat et urinal på et af herretoiletområderne. Datatilsynet fandt, at denne tekniske løsning ikke i tilstrækkelig grad sikrede, at gæsterne ikke blev filmet i forbindelse med benyttelse af urinalet, og at dette var i strid med det grundlæggende princip om dataminimering efter GDPR artikel 5, stk. 1, litra c.
Tilsynet har ved vurderingen af, at der bør idømmes en bøde, lagt vægt på, at (i) der var tale om en overtrædelse af et grundlæggende princip for behandling af personoplysninger, (ii) der var tale om overvågning af et potentielt meget stort antal personer, (iii) overvågningen foregik over en længere tidsperiode og (iv) benyttelse af et urinal er en yderst privat situation.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/danske-shoppingcentre-indstilles-til-boede
Privat virksomhed indstillet til bøde på 150.000 kr. efter udsendelse af en række e-mails om en medarbejders strafbare forhold
Det danske Datatilsyn har den 2. december 2022 indstillet en privat virksomhed til en bøde på 150.000 kr., efter at virksomheden ved e-mails uberettiget havde videregivet oplysninger om strafbare forhold begået af en medarbejder til en række af virksomhedens kunder. Navnet på den private virksomhed er ikke offentliggjort.
Oplysningerne blev anset for at vedrøre strafbare forhold, fordi virksomheden videregav konkrete oplysninger om strafbare forhold begået af den tidligere medarbejder i forbindelse med ansættelsen. Den nærmere beskrivelse af det strafbare forhold medførte, at oplysningerne fremstod sande.
En videregivelse af oplysninger om strafbare forhold forudsætter hjemmel i den danske databeskyttelseslov § 8, stk. 4, jf. stk. 3, der giver adgang til videregivelse, uden den registreredes samtykke, som sker til varetagelse af offentlige eller private interesser, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.
Efter at have gennemgået sagen, fastslog Datatilsynet, at virksomheden havde en legitim interesse i at videregive oplysninger om afskedigelsen af den tidligere medarbejder, da forholdet medfører, at medarbejderen ikke kan indgå aftaler på vegne af virksomheden længere. Mere detaljerede beskrivelser af anklagerne mod den tidligere medarbejder var derimod ikke nødvendige for at opfylde den legitime interesse i at oplyse kunder om afskedigelsen.
Det blev ved vurderingen af bødestørrelse også tillagt vægt, at virksomheden ikke havde godtgjort, at det alene var kunder, som den tidligere ansatte havde haft kontakt med, som blev informeret.
Datatilsynet indstillede herefter virksomheden til en bøde på 150.000 kr. ved en politianmeldelse.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/privat-virksomhed-indstillet-til-boede
Kirkeministeriet har iværksat en række initiativer på baggrund af præsters deling af personoplysninger
Det danske Datatilsyn gav i en pressemeddelelse den. 29. november 2022 en opfølgning på sagen om Facebook-grupper for præster.
Datatilsynet blev i forbindelse med en artikel bragt af TV2 i september 2022 opmærksom på, at flere præster delte facebookopslag i en form, hvor personer kunne identificeres. Datatilsynet så med stor alvor på sagen og anmodede Kirkeministeriet om at forholde sig til de oplysninger, som fremgik af artiklen. I et brev til Datatilsynet har Kirkeministeriet efterfølgende oplyst, at det har iværksat en række initiativer, og at Facebookgrupperne ikke er oprettet på Kirkeministeriets foranledning. Med henblik på at sikre, at tavshedspligten og databeskyttelsesreglerne overholdes, har Kirkeministeriet pålagt præster at gennemgå egne delinger. Kirkeministeriet har også bedt provster og biskopper om at iværksætte tilsyn med, at præsterne udviser en sikker adfærd, herunder, at de får gennemgået diverse delinger samt aflagt månedlig rapport om, hvordan disse tilsyn skrider frem.
Datatilsynet ser positivt på ministeriets initiativer og har på nuværende tidspunkt ikke planer om at foretage sig yderligere, medmindre de planlagte aktiviteter ikke viser sig tilstrækkeligt effektive eller der fremkommer nye oplysninger.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/nov/opfoelgning-paa-sag-om-facebookgruppe-for-praester
Læs Datatilsynets brev til Kirkeministeriet her: https://www.datatilsynet.dk/Media/638053265451505581/Brev%20fra%20Datatilsynet.pdf
Læs pressemeddelelsen om iværksættelse af undersøgelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/sep/datatilsynet-undersoeger-facebookgruppe-for-praester
Datatilsynet udtaler kritik af Københavns Kommunes og advokatvirksomheds behandling af personoplysninger i forbindelse med advokatundersøgelse
Det danske Datatilsyn offentliggjorde den 29. november 2022 to afgørelser med journalnumrene 2021-32-246 og 2021-31-5307 vedrørende samme advokatundersøgelse, hvor en person klagede over, at Københavns Kommune og Bech-Bruun Advokatpartnerselskab behandlede personoplysninger om ham i en advokatundersøgelse.
Klager gjorde i klagen over Københavns Kommunes gældende, at han ikke havde givet samtykke til, at der kunne behandles personoplysninger om ham, og at de øvrige behandlingsgrundlag i GDPR artikel 6, stk. 1, litra b-f ikke kunne danne grundlag for behandling af personoplysningerne.
Datatilsynet fandt i sagen vedrørende Københavns Kommunes behandling af klagers personoplysninger i forbindelse med advokatundersøgelsens iværksættelse, at Københavns kommunes behandling af personoplysningerne skete inden for rammerne af GDPR artikel 6, stk. 1, litra e. Ved vurderingen lagde Datatilsynet vægt på, at Københavns Kommune (og Sankt Annæ Gymnasium) efter reglerne om uddannelsesinstitutionens virke har en generel forpligtelse til at sikre et godt undervisningsmiljø. Datatilsynet fandt imidlertid grundlag for at kritisere, at Københavns Kommune ikke i tilstrækkelig grad opfyldte oplysningspligten efter GDPR artikel 14, jf. artikel 12, stk. 1, idet klager i et orienteringsbrev modtog utilstrækkelige og uklare oplysninger om retsgrundlaget, som lå til grund for Københavns Kommunes behandling af personoplysninger om ham.
Klager gjorde i klagen over Bech-Bruuns behandling af hans personoplysninger i forbindelse med selve advokatundersøgelsen gældende, at behandlingen var i strid med de generelle principper i GDPR artikel 5, og at der ikke har været hjemmel til at behandle oplysninger om klager i GDPR artikel 6, artikel 9, eller lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«) § 8. Klager gjorde endvidere gældende, at han ikke havde modtaget oplysninger om Bech-Bruuns behandling af personoplysninger om ham i overensstemmelse med GDPR artikel 14, og at han i forbindelse med sin anmodning om indsigt ikke fik udleveret en kopi af oplysningerne om ham i strid med GDPR artikel 15, stk. 3.
Datatilsynet fandt for det første, at Bech-Bruuns behandling af personoplysninger om klager var sket inden for rammerne af GDPR artikel 6, stk. 1, litra e, idet Københavns Kommune (og Sankt Annæ Gymnasium), som Bech-Bruun forestod undersøgelsen på vegne af, efter reglerne om uddannelsesinstitutionens virke har en forpligtelse til at sikre et godt undervisningsmiljø. Datatilsynet fandt for det andet, at behandlingen var sket inden for rammerne af GDPR artikel 9, stk. 2, litra f, idet Bech-Bruuns behandling af oplysninger om klagers seksuelle forhold skete med henblik på at vurdere, om Københavns Kommune kunne blive mødt med krav fra tidligere elever om godtgørelse og/eller erstatning efter lovbekendtgørelse nr. 1238 af 9. november 2015 (»den danske forældelseslov«) § 3, stk. 5. Datatilsynet fandt for det tredje, at behandlingen skete inden for rammerne af databeskyttelseslovens § 8, stk. 3 og 4, da det var nødvendigt for Bech-Bruun at behandle oplysninger om mulige strafbare forhold om klager for at varetage den berettigede interesse i at undersøge arbejds- og undervisningsmiljøet på gymnasiet.
Datatilsynet fandt imidlertid grundlag for at kritisere, at Bech-Bruun undlod at opfylde oplysningspligten i GDPR artikel 14, ligesom Datatilsynet udtalte alvorlig kritik af, at Bech-Bruun ikke havde håndteret klagers indsigtsanmodning i overensstemmelse med GDPR artikel 15, stk. 3, ved ikke at udlevere en kopi af oplysninger om klager. Datatilsynet meddelte herefter Bech-Bruun påbud om på ny at tage stilling til klagers indsigtsanmodning.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/dec/behandling-af-personoplysninger-i-forbindelse-med-advokatundersoegelse
Læs afgørelsen om Københavns Kommunes behandling her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/nov/koebenhavns-kommunes-behandling-af-personoplysninger-i-forbindelse-med-advokatundersoegelse
Læs afgørelsen om Bech-Bruuns behandling her:https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/nov/bech-bruuns-behandling-af-personoplysninger-i-forbindelse-med-advokatundersoegelse
Rollefordelingen af dataansvaret ved outsourcing af whistleblowerordning
Det danske Datatilsyn har den 23. november 2022 offentliggjort sit svar på en forespørgsel om, hvem der er dataansvarlig, når arbejdsgivere anvender eksterne leverandører til administration af deres whistleblowerordning.
I december 2021 trådte lov nr. 1436 af 29. juni 2021 om beskyttelse af whistleblowere (»den danske whistleblowerlov«) i kraft. Loven er en national implementering af Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (»whistleblowerdirektivet«). Loven pålægger visse virksomheder at oprette en whistleblowerordning til sine ansatte. Det er tilladt at outsource sin whistleblowerordning til tredjepart, f.eks. en advokatvirksomhed, men hverken direktivet eller den danske implementeringslov tager konkret stilling til det praktiske spørgsmål om, hvorvidt en leverandør er databehandler eller selvstændigt dataansvarlig for behandlingen af personoplysninger indeholdt i indberetninger.
Forespørgslen tager afsæt i tre scenarier, hvor rollefordelingen i forbindelse med dataansvaret ønskes klarlagt; (i)ved den eksterne leverandørs håndtering af indberetninger gennem direkte kontakt, (ii) hvor leverandøren håndterer indberetninger ved direkte kontakt, men også stiller en IT-platform til rådighed og (iii) hvor leverandøren udelukkende stiller en IT-platform til rådighed for arbejdsgiveren.
For så vidt angår de to første scenarier, udtaler Datatilsynet, at det er deres opfattelse at der i et sådant tilfælde er tale om, at såvel arbejdsgiver og leverandør som udgangspunkt er selvstændigt dataansvarlige, men at det kan afhænge af graden af skøn ved håndtering af indberetningerne, som leverandøren tilkendes af arbejdsgiveren. Det selvstændige dataansvar knyttes op på, at behandlingen sker til to formål, henholdsvis arbejdsgivers opfyldelse af en retlig forpligtelse og leverandørens levering af ydelsen.
Hvad angår det tredje scenarie, afhænger den databeskyttelsesretlige rollefordeling imidlertid af karakteren af ydelsen; leverandørens drift kan være som databehandler, hvor arbejdsgiverens egen behandling af indberetningerne fortsætter på platformen. I et sådan tilfælde agerer leverandøren som databehandler, da ydelsen udelukkende stilles til rådighed. Heraf følger ligeledes svaret på det tredje scenarie, navnlig, at det ved situationer, hvor der alene stilles en IT-platform til rådighed for arbejdsgiverens oprettelse af en whistleblowerordning, er leverandøren at anse for databehandler.
Det skal dog bemærkes, at svaret er en vejledende udtalelse i den konkrete henvendelse og dermed ikke kan anses som generel vejledning for andre situationer.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/nov/hvem-er-dataansvarlig-ved-outsourcing-af-en-intern-whistleblowerordning
Datarådet træffer afgørelse i sag om advokaters videregivelse og efterfølgende brug af fortrolige oplysninger
Det danske Dataråd traf den 16. november 2022 afgørelse i to sager med journalnumrene 2020-31-2882 og 2022-31-3066 vedrørende to advokaters udveksling og brug af fortrolige oplysninger om en klient.
Begge sager blev anlagt af samme klager og er tæt forbundet med hinanden. Den første sag handlede om, at advokat A havde videregivet fortrolige oplysninger til advokat B. Den anden sag handlede om, hvorvidt advokat B måtte bruge disse oplysninger i en verserende sag. Advokat A repræsenterede klagers tidligere ægtefælle og advokat B repræsenterede en veninde til klagers tidligere ægtefælle.
Det centrale i begge klagesager var, hvorvidt databehandlingen var lovlig og legitim i medfør af GDPR artikel 6, stk. 1, litra f.
Fordi det danske Datatilsyn ikke tidligere havde behandlet en lignende problemstilling, er afgørelserne truffet af Datarådet.
I den første sag kom Datarådet frem til, at advokat A’s videregivelsen af klagers fortrolige oplysninger til advokat B ikke var i overensstemmelse med GDPR artikel 6, stk. 1, litra f. Datarådet lagde særligt vægt på, at klagerens interesse i at oplysninger om ham ikke blev videregivet, vejede tungere end hensynet til Advokat A’s klients interesse i, at oplysningerne blev videregivet, dvs. klagers tidligere ægtefælles interesse i at oplysningerne blev videregivet. Yderligere fandt Datarådet, at hensynet til klagers interesse i, at oplysningerne om ham ikke blev videregivet, vejede tungere end advokat B’s klients interesse i at anvende oplysningerne i forbindelse med en verserende injuriesag anlagt af klager mod advokat B’s klient, dvs. klagers tidligere ægtefælles veninde.
Datatilsynet udtalte herefter kritik af advokat A’s videregivelse i forbindelse med den første sag.
I den anden sag kom Datarådet derimod frem til, at advokat B’s brug af oplysningerne ikke var i strid med GDPR, idet behandlingen af personoplysningerne var sket inden for rammerne af interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f.
Datarådet udtalte i den forbindelse, at behandlingen af personoplysningerne var sket som led i vedkommendes egenskab som advokat og dermed var nødvendig i forbindelse med varetagelsen af klientens interesser. Det ville endvidere være i strid med god advokatskik, hvis advokaten ikke brugte oplysningerne i sagen.
Læs begge afgørelser her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/nov/klage-over-advokats-videregivelse-af-oplysninger
Nye retningslinjer for lokalarkivers behandling af personoplysninger
Det danske Datatilsyn udgav den 7. november 2022 nye retningslinjer for lokalarkivers behandling af personoplysninger.
Retningslinjerne er udarbejdet med inddragelse af foreningen Sammenslutningen af Lokalarkiver og kortlægger databeskyttelsesreglernes betydning for lokalarkivernes virke samt fire konkrete retningslinjer, som Datatilsynet anbefaler, at lokalarkiverne følger.
Et lokalarkiv indsamler, registrerer, opbevarer, og i visse tilfælde offentliggør, privat arkivmateriale, der typisk er skabt af virksomheder, foreninger eller privatpersoner fra et afgrænset lokalområde. Det kan f.eks. være gamle holdfotos, skolebilleder eller avisudklip. Lokalarkiver er underlagt de almindelige databeskyttelsesregler, herunder GDPR og lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«).
Indholdet af de fire retningslinjer kan opsummeres således:
Materiale, som indeholder almindelige personoplysninger, kan uden videre behandles og indsamles, men bør ikke offentliggøres før materialet er mindst 20 år gammelt.
Lokalarkiver bør ikke behandle eller indsamle følsomme personoplysninger, førend vedkommende, som oplysningerne drejer sig om, har været død i mindst 10 år, eller oplysningerne er 75 år gamle. Dersom lokalarkivet ønsker at behandle andre særligt beskyttelsesværdige personoplysninger, bør dette alene ske med registreredes samtykke. Det er dog med undtagelse af tilfælde, hvor der er tale om oplysninger, der er offentliggjort af registrerede, hvis registrerede har været død i mindst 10 år, eller hvis oplysningerne er 75 år gamle.
Lokalarkivets offentliggjorte materiale, der indeholder personoplysninger og registrerede metadata, bør ikke indekseres af søgemaskiner.
Lokalarkiverne bør slette personoplysninger fra internettet, hvis den registrerede anmoder om dette.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/nov/lokalarkivers-behandling-af-personoplysninger
Læs retningslinjerne her: https://www.datatilsynet.dk/Media/638034275844404942/Retningslinjer%20for%20lokalarkivers%20behandling%20af%20personoplysninger.pdf
Datatilsynet har opdateret sin vejledning om advarselsregistre
Det danske Datatilsyn oplyste i en pressemeddelelse den 31. oktober 2022, at der er udarbejdet en opdateret vejledning om advarselsregistre.
Ved et advarselsregister forstås et register oprettet af en dataansvarlig, som indeholder oplysninger med henblik på at advare andre mod forretningsforbindelser med eller ansættelsesforhold til en registreret. Afgørende for, at der er tale om et advarselsregister, er, at registeret er oprettet med henblik på videregivelse af oplysninger om den registreredes adfærd og ikke kun til intern behandling i virksomheden. Den nye version af vejledningen indeholder nye eksempler, som har til formål at konkretisere vejledningen og gøre denne mere tilgængelig for den dataansvarlige, der enten driver et advarselsregister eller ønsker at oprette et sådant register.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/okt/opdateret-vejledning-om-advarselsregistre
Datatilsynet udtaler alvorlig kritik af JP/Politiken på baggrund af mangelfuld samtykkeløsning på www.eb.dk
Det danske Datatilsyn traf den 27. oktober 2022 afgørelse i en sag med journalnummer 2021-41-0149, hvori de udtalte alvorlig kritik af JP/Politikens samtykkeløsning, som blev anvendt på hjemmesiden for det danske tabloidmedie Ekstra Bladet, www.eb.dk.
Afgørelsen faldt på baggrund af et af Datatilsynet gennemført skriftligt tilsyn, hvorved tilsynet undersøgte JP/Politikens samtykkeløsning. Samtykkeløsningen gav de besøgende på hjemmesiden tre valgmuligheder: Kun nødvendige, Tilpas Indstillinger og Acceptér alle.
Samtykkeløsningens »første lag« gav de besøgende information om, at JP/Politiken behandlede personoplysninger til statistik- og markedsføringsformål. I det »andet lag«, som kunne tilgås ved valgmuligheden Tilpas Indstillinger, fik den besøgende mulighed for at tilvælge behandlingsformålene præferencer, statistik og markedsføring. Eftersom de besøgende, som klikkede på valgmuligheden Acceptér alle, ikke modtog information om alle behandlingsformål, vurderede Datatilsynet, at der ikke var tale om et informeret samtykke, da information om præferenceformålet først fremgik af det »andet lag«. Datatilsynet fandt herefter, at valgmuligheden Acceptér alle førte til et mangelfuldt samtykke, i strid med kravene til samtykke efter GDPR artikel 6, jf. artikel 4, nr. 11.
I tillæg hertil, var det Datatilsynets generelle opfattelse, at brugen af farver ved valget af responsknapper, kunne påvirke de besøgende adfærd til at foretage bestemte valg (nudging), hvilket er uforeneligt med princippet om lovlig, rimelig og gennemsigtig behandling af personoplysninger i GDPR artikel 5, stk. 1, litra a. Datatilsynet fandt konkret, at samtykkeløsningens farveindeksering: Kun nødvendige i et rødt felt, Tilpas Indstillinger i et gråt felt og Acceptér alle i et grønt felt, medførte, at den registreredes mulighed for at udøve et informeret valg blev påvirket, hvorfor det udgjorde en overtrædelse af GDPR artikel 5, stk. 1, litra a.
Med afsæt i ovenstående fandt Datatilsynet grundlag for at udtale alvorlig kritik af JP/Politikens behandling af personoplysninger på www.eb.dk.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/nov/alvorlig-kritik-af-jppolitikens-samtykkeloesning-paa-wwwebdk
Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/okt/alvorlig-kritik-af-jppolitikens-samtykkeloesning-paa-wwwebdk
Region Hovedstaden havde ikke overholdt sin oplysningspligt i forbindelse med forskningsmæssig brug af blodprøverester
Det danske Datatilsyn traf den 21. oktober 2022 afgørelse i en sag med journalnummer 2021-432-0059 vedrørende Region Hovedstadens overtrædelse af GDPR artikel 12 og 13, der pålægger den dataansvarlige at oplyse om, hvilke personoplysninger der indsamles og behandles om den registrerede på en gennemsigtig og letforståelig måde.
En række borgere havde henvendt sig til Datatilsynet, fordi de mente, at de ikke var blevet informeret om, at deres blodprøverester efterfølgende blev anvendt til forskning. Region Hovedstaden bestred dette og forklarede, at der i forbindelse med blodprøvetagningen sendes en standardtekst til patienten. Teksten indeholdt en henvisning til Regionens privatlivspolitik, som med en beskrivelse redegjorde for regionens behandling af personoplysninger til brug for (fremtidig) forskning.
Det var således ubestridt, at Region Hovedstaden grundlæggende overholdte oplysningspligten i GDPR artikel 13. Spørgsmålet var derimod, hvorvidt kravet om at oplysningerne skal være letforståelige i GDPR artikel 12 var opfyldt.
Datatilsynet vurderede, at Region Hovedstadens privatlivspolitik var af general karakter og henvendte sig til både patienter, borgere og personale. Derudover fremstod oplysningen om den forskningsmæssige brug af personoplysningerne uden videre kontekst, hvorfor det forekom vanskeligt for patienterne at gennemskue, hvorvidt informationen om forskningen henvendte sig til vedkommende eller om det alene var tilfældet, hvis man aktivt havde tilvalgt den forskningsmæssige behandling.
Sammenfattende konkluderede Datatilsynet, at oplysningerne om forskningen ikke var beskrevet på en tilstrækkelig gennemsigtig og letforståelig måde og dermed var i strid med GDPR artikel 12 og 13.
Datatilsynet udtalte kritik af Region Hovedstaden og henstiller til, at regionen overvejer, hvordan oplysningspligten kan overholdes over for patienter fremadrettet.
Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/okt/datatilsynet-udtaler-kritik-af-region-hovedstaden
Datatilsynet tager stilling til en række forhold om behandling af personoplysninger i forbindelse med markedsføring og internetkonkurrencer
Det danske Datatilsyn traf den 30. september 2022 afgørelse i en sag med journalnummer 2020-431-0075 vedrørende en dataansvarligs behandling af personoplysninger i forbindelse med markedsføring.
Datatilsynet indledte sagen på baggrund af en henvendelse fra den danske Forbrugerombudsmand. Virksomheden, SmartResponse A/S (»SmartResponse«), havde udbudt konkurrencer på internettet. For at deltage skulle de registrerede samtykke til, at SmartResponse kunne behandle personoplysninger om dem i forbindelse med selve konkurrencedeltagelsen, samt til at modtage direkte markedsføring fra virksomheden og samarbejdspartnere, som ligeledes ville modtage oplysningerne. I tillæg hertil kunne man som deltager vælge at oplyse yderligere personoplysninger i et spørgeskema, som virksomheden behandlede med henblik på at tilpasse markedsføring til den enkeltes personlige behov. Oplysningerne i spørgeskemaet blev også videregivet til samarbejdspartnere, dog på baggrund af en interesseafvejning foretaget af virksomheden.
Datatilsynet fandt, at samtykket til konkurrencedeltagelse levede op til reglerne i GDPR. I forhold til videregivelsen af spørgeskemaoplysningernefandt Datatilsynet imidlertid, at oplysningerne var for detaljerede til at kunne videregives efter interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f, og at oplysningernes videregivelse derfor forudsatte et særskilt samtykke.
Herudover tog Datatilsynet stilling til, hvorvidt SmartResponses opbevaring af personoplysningerne var i strid med GDPR. Virksomheden oplyste, at de opbevarede personoplysningerne indsamlet i forbindelse med konkurrencer for at kunne dokumentere gyldigheden af de indhentede samtykker. Når et samtykke blev trukket tilbage, blev den pågældende persons telefonnummer og e-mailadresse registreret på en »Nej-tak-liste« og opbevaret i en periode på 5 år under henvisning til de danske forældelsesregler.
Datatilsynet kom frem til, at opbevaringen af personoplysningerne i forbindelse med »Nej-tak-listen« var unødvendig og i strid med princippet om dataminimering og princippet om opbevaringsbegrænsning i GDPR artikel 5, stk. 1, litra c og e. Datatilsynet fandt derfor grundlag for at udtale alvorlig kritik henset til, at behandlingen af »Nej-tak-listen« ikke var sket inden for rammerne af principperne i GDPR artikel 5, stk. 1 litra c og e samt interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f. Datatilsynet meddelte herefter et påbud til SmartResponses om at slette personoplysningerne som fremgik af »Nej-tak-listen«.
Afslutningsvis udtalte Datatilsynet også kritik af virksomhedens måde at iagttage sin oplysningspligt. SmartResponse henviste til sin privatlivspolitik i et link, der fremgik af internetkonkurrencen, hvilket Datatilsynet ikke mente kunne anses som tilstrækkelig iagttagelse af oplysningspligten i GDPR artikel 13, fordi deltagerne ikke modtog fyldestgørende information om den fortsatte opbevaring, efter et samtykke var trukket tilbage.
Det skal bemærkes, at Datatilsynet alene vurderede sagen i henhold til reglerne i GDPR, fordi det efter Tilsynets opfattelse var tvivlsomt, hvorvidt lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«) § 13 om videregivelse af personoplysninger til brug for markedsføring lå inden for det nationale råderum, som GDPR artikel 6, stk. 2-3, tillader.
Læs hele afgørelsen her:
https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/sep/smartresponses-behandling-af-personoplysninger-i-forbindelse-med-udbud-af-internetkonkurrencer
Det franske datatilsyn udsteder bøde for omfattende indsamling af offentligt tilgængelige billeder
Det franske datatilsyn, CNIL, har i afgørelse SAN-2022-019 af 17. oktober 2022 udstedt en bøde til det amerikanske selskab Clearview AI for selskabets overtrædelse af GDPR.
Clearview AI udbyder en billeddatabase med en tilhørende ansigtsgenkendelsessoftware, der gør det muligt at søge efter personer på baggrund af et billede. Clearview AI har skabt sin billeddatabase med over 20 mia. billeder, ved at scrape internettet, herunder indhold tilgængeligt på sociale medier før login samt billeder ekstraheret fra videoer offentliggjort på internettet. Størstedelen af billederne er derved indsamlet uden de portrætterede personers kendskab. Med billederne har Clearview AI skabt en »biometrisk template« af den portrætterede persons ansigt, dvs. en digital repræsentation af personens fysiske karaktertræk, som gør det muligt at identificere personen via andre billeder. Virksomheden leverer tjenesten til retshåndhævende myndigheder med henblik på identifikation af potentielle gerningspersoner.
CNIL fandt flere overtrædelser af GDPR, herunder manglende behandlingshjemmel efter GDPR artikel 6. Tilsynet udtalte, at billederne udgør personoplysninger, selvom de er indsamlet på frit tilgængelige medier, hvorfor Clearview AI skulle have sikret en behandlingshjemmel til selve indsamlingen. Allerede fordi indsamlingen af billederne var ulovlig, tog Tilsynet ikke stilling til, hvorvidt Clearview AI’s efterfølgende behandling af biometriske data var lovlig efter GDPR artikel 9.
Derudover havde Clearview AI forsømt at overholde de registreredes rettigheder reguleret i GDPR artikel 12, 15 og 17, idet virksomheden ikke havde efterkommet en registrerets anmodning om indsigt i og sletning af personoplysninger om vedkommende. Herudover havde virksomheden også forsømt sin samarbejdspligt i henhold til GDPR artikel 31, fordi Clearview AI havde negligeret henvendelser fra CNIL i forbindelse med Tilsynets undersøgelser.
Bøden blev fastsat til € 20 mio., hvilket understreger overtrædelsens alvorlige karakter. I tillæg til bøden har Clearview AI fået pålæg om at stoppe al behandling af data om registrerede på fransk territorie, som foretages uden fornøden hjemmel samt at slette sådanne allerede indsamlede data inden for to måneder, med en dagbod på € 100.000 ved forsinkelse.
Afgørelsen er interessant set i lyset af den foreslåede forordning om kunstig intelligens, COM (2021) 206, der pålægger brugere af kunstig intelligens til biometrisk kategorisering, såsom ansigtsgenkendelse, visse gennemsigtighedsforpligtelser, bl.a. ved et krav om, at eksponerede personer skal underrettes om anvendelsen.
Læs afgørelsen her:
https://www.cnil.fr/en/facial-recognition-20-million-euros-penalty-against-clearview-ai
De nordiske datatilsyn vedtager erklæring med fokus på samarbejde og beskyttelse af oplysninger om børn
Den 13. og 14. oktober har de nordiske datatilsyn, bestående af Danmark, Færøerne, Finland, Island, Norge, Sverige og Åland vedtaget en erklæring, som har til formål at fremme arbejdet med at gøre det digitale miljø mere sikkert og ansvarligt.
Helsinki-erklæringen sætter blandt andet fokus på beskyttelsen af oplysninger om børn, herunder ved at nedsætte en uformel arbejdsgruppe vedrørende børn og onlinespil, som skal udveksle oplysninger og på sigt skabe mulighed for fælles vejledning og håndhævelsesforanstaltninger.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/okt/nordiske-tilsyn-styrker-samarbejde-om-bla-beskyttelsen-af-boern
Nyt præsidentielt dekret sætter skub i særlig procedure for tilstrækkelighedsvurdering af tredjelandsoverførsler mellem EU og USA
Den amerikanske præsident Joe Biden udstedte den 7. oktober 2022 et præsidentielt dekret om udveksling af personoplysninger mellem EU og USA.
Dekretet udgør ikke i sig selv et overførselsgrundlag, men kan ses som et skridt på vejen mod en tilstrækkelighedsvurdering, også kendt under sit engelske navn adequacy decision.
EU-Kommissionen offentliggjorde første udkast til en amerikansk tilstrækkelighedsafgørelse den 13. december 2022, hvori Kommissionen har vurderet, at USA nu har etableret et tilstrækkeligt beskyttelsesniveau og dermed kan leve op til parametre som at indsamling af personoplysninger er proportional og begrænset til det strengt nødvendige og at EU-borgere vil have adgang til effektive retsmidler, herunder en uafhængig klageinstans, såfremt deres personoplysninger behandles af de amerikanske efterretningstjenester.
Udkastet til den nye tilstrækkelighedsafgørelse, EU U.S Data Privacy Framework, er overgivet til Det Europæiske Databeskyttelsesråd, som vil gennemgå materialet og afgive en udtalelse, hvorefter Kommissionen skal søge godkendelse hos en komité bestående af repræsentanter for medlemsstaterne. Endelig er EU-Parlamentet tillagt en indsigelsesret, før tiltrækkelighedsvurderingen kan vedtages endeligt ved en gennemførselsretsakt.
Læs pressemeddelelsen her:
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2022/okt/nyt-om-transatlantiske-overfoersler-af-personoplysninger
Læs om Kommissionens udkast her:
https://ec.europa.eu/commission/presscorner/detail/en/ip_22_7631
