EU-Domstolen har afgjort spørgsmål om databeskyttelsesretlige reglers fortolkning og anvendelse inden for rammerne af national procesret

EU-Domstolen traf den 2. marts 2023 afgørelse i sag C-268/21. Sagen var en præjudiciel forelæggelse indgivet af den svenske højesteret.

Den svenske højesteret skulle træffe afgørelse i en national sag mellem to parter angående manglende betaling. I forbindelse med et processuelt spørgsmål om edition opstod tvivl om samspillet med de EU-retlige databeskyttelsesregler.

Tvivlen drejede sig om, hvorvidt Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 6 stk. 3 og stk. 4 om lovlig behandling af personoplysninger fandt anvendelse i sagen. I bekræftende fald ønskede den svenske højesteret at vide, hvordan den nærmere skulle inddrage reglerne i vurderingen af, om der kunne træffes afgørelse om edition. I hidtidig retspraksis havde den svenske højesteret principielt ikke taget hensyn datasubjektets databeskyttelsesretlige rettigheder og interesser, når den skulle afgøre spørgsmål om edition. Den havde i stedet, som foreskrevet i den svenske retsplejelov, alene vægtet part og modparts bevismæssige interesser i editionsspørgsmålet.

EU-Domstolen kom frem til, at GDPR artikel 6, stk. 3 og stk. 4 skulle fortolkes således, at de fandt anvendelse ved behandling af personoplysninger inden for rammerne af den nationale civilretlige proces i en medlemsstat.

EU-Domstolen bemærkede herefter, at den konkrete vurdering af, om der skal ske edition, tilkommer den nationale retsinstans fra sag til sag. EU-Domstolen understregede samtidig, at vurderingen skal inddrage en vægtning af datasubjektets interesser over for hensynet til parternes interesse. Såfremt den nationale domstol kommer frem til, at der kan ske edition, vil den yderligere skulle sikre, at principperne for behandling af personoplysninger i GDPR artikel 5, stk. 1, herunder navnlig princippet om »dataminimering«, bliver overholdt. Dette kan bl.a. betyde, at den nationale retsinstans skal træffe supplerende foranstaltninger til beskyttelse af personoplysninger såsom pseudonymisering af de berørte personers navne eller begrænsning af offentlighedens adgang til sagsakterne. Anvendelsen af GDPR artikel 5 betyder også, at den nationale domstol, før den træffer afgørelse om edition, skal overveje, om bevisformålet kan forfølges på mindre databeskyttelsesretligt indgribende måder, herunder eksempelvis ved afhøring af vidner.

Afgørelsen fastslår således, at GDPR artikel 6, stk. 3 og stk. 4 finder anvendelse inden for rammerne af den nationale civilretlige proces. Dette betyder, at nationale domstole skal inddrage hensynet til datasubjekterne i hver enkelt sag og i den forbindelse sikre overholdelsen af principperne for databehandling i GDPR artikel 5, stk. 1.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=270823&pageIndex=0&doclang=da&mode=lst&dir=&occ=first&part=1&cid=943064

National lovgivning må fastsætte strengere regler for afskedigelse af databeskyttelsesrådgivere

EU-Domstolen afsagde den 9. februar 2023 dom i sag C-453/21 mellem X-FAB Dresden GmbH & Co. KG (»X-FAB«) mod FC, som var ansat som databeskyttelsesrådgiver hos X-FAB. Sagen var indgivet som en præjudiciel forelæggelse af den tyske forbundsdomstol i arbejdsretlige sager.

Sagen vedrørte en fortolkning af GDPR artikel 38, stk. 3, 2. pkt. og artikel 38, stk. 6, der omhandler forbuddet mod afskedigelse af databeskyttelsesrådgiveren og dennes mulighed for at udføre andre opgaver og have andre pligter.

FC fik den 1. juni 2015 en stilling som databeskyttelsesrådgiver hos X-FAB. Samtidig havde han siden den 1. november 1993 varetaget hvervet som formand for samarbejdsudvalget i X-FAB og næstformand for det centrale samarbejdsudvalg, som er oprettet for tre virksomheder i den koncern, som X-FAB er en del af. X-FAB valgte den 1. december 2017 at afskedige FC fra stillingen som databeskyttelsesrådgiver, da man mente, at der var en risiko for interessekonflikt, hvis FC varetog hvervet som databeskyttelsesrådgiver samtidig med, at han var formand for samarbejdsudvalget. X-FAB mente, at de to stillinger var uforenelige.

FC indbragte herefter sagen for de tyske domstole, da en databeskyttelsesrådgiver ifølge GDPR artikel 38, stk. 3, 2. pkt., ikke må afskediges eller straffes af den dataansvarlige for at udføre sine opgaver.

Den tyske forbundsdomstol ønskede oplyst, hvorvidt tysk lovgivning kan stille strengere krav til afskedigelse af en databeskyttelsesrådgiver end dem, der er fastsat i GDPR. Ifølge tysk ret skal en databeskyttelsesrådgiver således fjernes fra sin stilling, hvis der er vægtige grunde til dette, selvom afskedigelsen ikke er forbundet med databeskyttelsesrådgiverens udførelse af sine opgaver. Yderligere ønskede forbundsdomstolen oplyst, om der eksisterede en interessekonflikt som omhandlet i GDPR artikel 38, stk. 6, 2. pkt., når en databeskyttelsesrådgiver samtidig varetog hvervet som formand for den dataansvarliges samarbejdsudvalg.

EU-Domstolen fandt, at reglen i GDPR artikel 38, stk. 3, har til formål at bevare databeskyttelsesrådgiverens funktionelle uafhængighed for at sikre effektiviteten af GDPR’s bestemmelser. Hver medlemsstat kan frit fastsætte særlige beskyttelsesbestemmelser vedrørende afskedigelse af en databeskyttelsesrådgiver, så vidt lovgivningen ikke bringer formålet med GDPR i fare. Det vil eksempelvis være tilfældet, hvis den nationale regel forhindrer opsigelse af en databeskyttelsesrådgiver, som ikke er i stand til at udføre sine opgaver uafhængigt på grund af en interessekonflikt.

Det påhviler de nationale domstole at sikre sig, at dette ikke er tilfældet med den nationale lovgivning.

Endelig gentog Domstolen, at en databeskyttelsesrådgiver i henhold til GDPR artikel 38, stk. 6, har mulighed for at varetage andre opgaver i den virksomhed, de er ansat i, såfremt dette ikke medfører en risiko for interessekonflikt. Hvorvidt dette er tilfældet, skal afgøres fra sag til sag, og det var herefter op til den nationale domstol at bedømme, hvorvidt det var tilfældet i den foreliggende sag.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=270323&pageIndex=0&doclang=da&mode=lst&dir=&occ=first&part=1&cid=943064

Den registreredes ret til indsigt i, hvem den dataansvarlige deler personoplysninger med

EU-Domstolen afsagde den 12. januar 2023 dom i en præjudiciel forelæggelse indgivet af den østrigske højesteret i sag C-154/21 om fortolkning af GDPR artikel 15, stk. 1, litra c, om den registreredes ret til at vide, hvem den dataansvarlige har videregivet personlysninger til.

Sagen blev indledt efter at en østrigsk borger anmodede en post- og logistikvirksomhed om indsigt i de personoplysninger, som virksomheden behandlede om vedkommende samt identiteten af eventuelle modtagere af disse oplysninger. Virksomheden, der var dataansvarlig, oplyste om behandlingsformål og modtagernes kategorier, men ikke om de specifikke handelspartnere, som havde modtaget personoplysningerne.

Borgeren sagsøgte virksomheden med krav om oplysning af handelspartnernes identitet. Ved første og anden instans fik den registrerede ikke medhold, da det blev anset som tilstrækkeligt at oplyse om kategorien af modtagere i overensstemmelse med GDPR artikel 15, stk. 1, litra c.

Sagen nåede den østrigske højesteret, som forelagde spørgsmålet om fortolkning af bestemmelsen for EU-Domstolen som et præjudicielt spørgsmål, da det var uklart, om der skal gives specifikke oplysninger om modtagerne, eller om det er tilstrækkeligt blot at oplyse om kategorien af modtagere.

EU-Domstolen fastslog indledningsvis, at ordlyden af artikel 15, stk. 1, litra c ikke entydigt angiver, om den registrerede har ret til at modtage specifikke oplysninger om modtagerne eller blot oplysninger om kategorien af modtagere. Derfor måtte spørgsmålet afgøres ved fortolkning af sammenhængen og formålet med bestemmelsen.

EU-Domstolen understregede, at for at sikre en effektiv udøvelse af de øvrige rettigheder i GDPR, såsom retten til sletning og retten til at gøre indsigelse mod behandlingen, er det afgørende, at den registrerede kender de konkrete modtagere af personoplysningerne. På den baggrund konkluderede EU-Domstolen, at den registrerede som udgangspunkt har ret til at få oplyst identiteten på hver modtager af sine personoplysninger.

Afslutningsvis kom EU-Domstolen frem til, at der kan afviges fra dette udgangspunkt, således at det under særlige omstændigheder kan være tilstrækkeligt at oplyse om kategorien af modtagere. For eksempel, hvis de konkrete modtagere er ukendte, eller hvis den registreredes anmodning er åbenbart grundløs eller overdreven, jf. GDPR artikel 12, stk. 5.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?docid=269146&mode=req&pageIndex=1&dir=&occ=first&part=1&text=&doclang=DA&cid=149842

EDPB iværksætter håndhævelsesaktion på tværs af EU med 26 nationale databeskyttelsesmyndigheder

Det Europæiske Databeskyttelsesråd (»EDPB«) har indledt en undersøgelse af rollen som databeskyttelsesrådgiver (»DPO«) under den koordinerede håndhævelsesramme for 2023, som omfatter 26 databeskyttelsesmyndigheder i EU/EØS, herunder EDPB.

Indsatsen fokuserer på DPO’ers udpegelse og stilling, idet de udgør en afgørende rolle i at sikre overholdelse af databeskyttelseslovgivningen og beskytte de registreredes rettigheder. En DPO er en integreret del af den dataansvarliges organisation i henhold til GDPR artikel 37-39, hvorfor vedkommende hverken er en del af databeskyttelsesmyndighederne eller fungerer som repræsentant herfor. Dog har en DPO en særlig stilling i forhold til myndighederne, da de samarbejder hermed og fungerer som kontaktled.

Databeskyttelsesmyndighederne vil anvende forskellige metoder til at vurdere, om DPO’er har den nødvendige stilling og de nødvendige ressourcer til at udføre deres opgaver efter GDPR. Dette vil omfatte udsendelse af spørgeskemaer til DPO’er, iværksættelse af formelle undersøgelser og opfølgning på igangværende undersøgelser. Resultaterne af initiativet vil efterfølgende blive analyseret og anvendt til at udvikle de nationale tilsyns- og håndhævelsesforanstaltninger samt til at opnå en dybere forståelse af DPO-rollen på EU-plan.

Dette er det andet initiativ under EDPB’s koordinerede håndhævelsesramme, som har til formål at fremme samarbejdet og håndhævelse af GDPR blandt databeskyttelsesmyndighederne. Det første initiativ i 2022 fokuserede på den offentlige sektors brug af cloud-tjenester, og resultaterne blev offentliggjort i en rapport den 18. januar 2023. EDPB vil også offentliggøre en rapport om resultatet af den koordinerede håndhævelsesaktion om DPO’ers stilling i 2023, når denne er afsluttet.

Læs EDBP’s pressemeddelelse om initiativet her: https://edpb.europa.eu/news/news/2023/launch-coordinated-enforcement-role-data-protection-officers_en

Læs om EDPB’s koordinerede håndhævelsesramme (»CEF«) her: https://edpb.europa.eu/our-work-tools/our-documents/other/edpb-document-coordinated-enforcement-framework-under-regulation_en

Trods visse forbedringer, understreger EDPB en række bekymringer i udtalelse til EU-Kommissionens udkast til en tilstrækkelighedsafgørelse

I december 2022 offentliggjorde EU-Kommissionen et udkast til en tilstrækkelighedsafgørelse vedrørende beskyttelsesniveauet for personoplysninger, der overføres fra EU til USA under det nye EU-US Data Privacy Framework (»DPF«).

Udkastet blev efterfølgende sendt i høring til Europa-Parlamentet, de europæiske medlemsstater og til EDPB med henblik på disses bemærkninger.

EDPB offentliggjorde den 28. februar en udtalelse om Kommissionens udkast, to uger efter at Europa-Parlamentets Udvalg om Borgernes Rettigheder og Retlige anliggender (»LIBE«) opfordrede Kommissionen til ikke at vedtage dens udkast til tilstrækkelighedsafgørelse, men i stedet fortsætte forhandlingerne med den amerikanske regering.

I udtalelsen fremhæver EDPB, at der med Kommissionens udkast er sket en forbedring med indførelsen af principperne om nødvendighed og proportionalitet ved amerikanske efterretningstjenesters behandling af personoplysninger i forbindelse med signalefterretninger. Derudover mener EDPB, at klageadgangen for registrerede i EU også er blevet væsentligt forbedret med oprettelsen af en »Data Protection Review Court« sammenlignet med den tidligere ombudspersonsinstitution, der blev etableret under Privacy Shield-ordningen.

Trods forbedringerne har EDPB dog stadig en række bekymringer.

For så vidt angår de amerikanske myndigheders adgang til og brug af oplysninger, der er overført til USA, omhandler bekymringerne særligt den midlertidige masseindsamling af oplysninger og hvordan Data Protection Review Court kommer til at fungere i praksis.

Angående den kommercielle del relaterer bekymringerne sig til de registreredes rettigheder, herunder behovet for at præcisere, hvordan en registreret kan udøve sin ret til at få indsigt i sine oplysninger. EDPB mener også, at der er brug for specifikke regler i DPF vedrørende automatiske individuelle afgørelser, herunder profilering.

Derudover udtrykker EDPB bekymring over den del af udkastet, der omhandler videreoverførsel af personoplysninger fra den oprindelige modtager til andre tredjelande.

EDPB ønsker, at vedtagelsen såvel som ikrafttrædelsen bliver betinget af, at alle amerikanske efterretningstjenester implementerer de opdaterede politikker og procedurer til gennemførelsen af det præsidentielle dekret, som blev udstedt i oktober 2022 (executive order 14086).

EDPB opfordrer desuden Kommissionen til at foretage revision af tilstrækkelighedsafgørelsen hvert tredje år.

Læs udtalelsen fra EDPB her: https://edpb.europa.eu/our-work-tools/our-documents/opinion-art-70/opinion-52023-european-commission-draft-implementing_en

EDPB har vedtaget tre nye retningslinjer

På plenarmødet den 14-15. februar 2023 vedtog EDPB tre retningslinjer.

De første retningslinjer vedrører forholdet mellem GDPR artikel 3 om GDPR’s territoriale anvendelsesområde og bestemmelserne om internationale overførsler i kapitel 5. Formålet med disse retningslinjer er at bistå dataansvarlige og databehandlere med at identificere, om en databehandlingsaktivitet udgør en international overførsel samt at skabe en fælles forståelse af begrebet »internationale overførsler«. Efter den offentlige høring blev retningslinjerne revideret og suppleret med yderligere afklaringer. Særligt blev der tilføjet en præcisering af dataansvarliges ansvar, når dataeksportøren er en databehandler. Herudover er der blevet indsat flere eksempler, for at belyse aspekter af direkte indsamling samt betydningen af, at dataimportøren er i et tredjeland.

Det andet sæt retningslinjer vedrører certificering som et overførselsværktøj. Det primære formål med retningslinjerne er at give yderligere afklaring på den praktiske anvendelse af dette overførselsværktøj. Retningslinjerne består af fire dele, der hver især fokuserer på specifikke aspekter vedrørende certificering som et værktøj til overførsler. Retningslinjerne supplerer EDPB’s Retningslinjer 1/2018 om certificering, som giver mere generel vejledning om certificering.

Det tredje sæt retningslinjer vedrører vildledende designmønstre på sociale medieplatforme. Retningslinjerne giver praktiske anbefalinger til designere og brugere af sociale medieplatforme om, hvordan man vurderer og undgår vildledende designmønstre i sociale mediebrugerflader, som overtræder kravene efter GDPR. Retningslinjerne giver konkrete eksempler på typer af vildledende designmønstre og indeholder specifikke anbefalinger til designere af brugergrænseflader, der letter den effektive implementering af GDPR.

Læs hele pressemeddelelsen her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/feb/edpb-vedtager-tre-vejledninger-og-arbejdsprogrammet-for-2023-2024

EDPB vedtager rapport om offentlige myndigheders brug af cloud-baserede services

På plenarmødet den 17. januar 2023 vedtog EDPB en rapport vedrørende offentlige myndigheders brug af cloud-tjenester. Rapporten er udarbejdet som led i EDPB’s koordinerede håndhævelsesramme (»Coordinated Enforcement Framework« (»CEF«)).

I 2022 gennemførte 22 af de europæiske, nationale tilsynsmyndigheder, herunder det danske Datatilsyn (»Datatilsynet«), en koordineret undersøgelse af offentlige myndigheders brug af cloud-tjenester for at opnå en harmoniseret tilgang til GDPR på dette område. Rapporten er baseret på de indledende, nationale tilsyn og de nationale tilsynsmyndigheders besvarelse af EDPB’s spørgeskema herom. En række landes besvarelse af dette spørgeskema findes som bilag til rapporten. På baggrund af disse nationale tilsyn identificerer rapporten otte (hoved)udfordringer.

De identificerede udfordringer omfatter blandt andet manglende brug af risikovurderinger, manglende individuel og skræddersyet sammensætning af kontrakter indgået med leverandører af cloud-tjenester, samt udfordringer i forbindelse med overførelser af data til udlandet samt udenlandske offentlige myndigheders adgang til data lagret inden for EU/EØS.

På baggrund af udfordringerne, oplister rapporten en række fokuspunkter samt 13 konkrete anbefalinger til løsning, som sikrer overholdelsen af GDPR for de myndigheder der benytter cloud-tjenester.

De 13 konkrete anbefalinger vedrører blandt andet, at de nationale myndigheder bør foretage en Data Protection Impact Assessment (en konsekvensanalyse vedrørende databeskyttelse (»DPIA«)) og som minimum en risikovurdering, samt at der jævnligt foretages en fornyet gennemgang og analyse heraf. Derudover indebærer anbefalingerne, at de nationale myndigheder sikrer, at kontraktparternes roller er entydigt og tydeligt fastsat i de offentlige myndigheders kontrakter med leverandørerne og at leverandører af cloud-tjenester kun arbejder ud fra dokumenterede instruktioner fra den offentlige myndighed og altid overholder GDPR. EDPB anbefaler herudover, at der sker en styrkelse af samarbejdet de offentlige myndigheder imellem, når de forhandler med leverandørerne af cloud-tjenester, da dette giver en stærkere forhandlingsposition over for leverandørerne. Herudover anbefales det, at de offentlige myndigheder analyserer, hvorvidt et tredjelands lovgivning kan føre til, at disse lande kan tilgå en EU/EØS-leverandør af cloud-tjenesters datalagre, eller om der sker overførsel af data til tredjelande i forbindelse med leverandørernes levering af rutinemæssige tjenesteydelser eller i forbindelse med opfyldelse af leverandørens egne forretningsmål.

Læs den fulde rapport her: https://edpb.europa.eu/our-work-tools/our-documents/other/coordinated-enforcement-action-use-cloud-based-services-public_en

Læs Det Europæiske Databeskyttelsesråds pressemeddelelse her: https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en

DPC træffer afgørelse på baggrund af EDPBs bindende afgørelse over for mediet WhatsApp

Den irske databeskyttelsesmyndighed (»DPC«) har den 19. januar 2023 udstedt en bøde på € 5,5 mio. til WhatsApp Ireland Limited (»WhatsApp«) som følge af kommunikationsmediets overtrædelse af GDPR.

En tysk bruger klagede over WhatsApp-tjenesten den 25. maj 2018. Inden GDPR trådte i kraft, bad WhatsApp sine brugere om at acceptere nye servicevilkår for at fortsætte med at bruge tjenesten. WhatsApp mente, at accept af de opdaterede vilkår konstituerede en kontrakt mellem brugeren og WhatsApp, og at databehandlingen derfor var lovlig efter GDPR artikel 6, stk. 1, litra b. Klageren hævdede dog, at det reelt var et tvungent samtykke for brugerne, ved at gøre brugen af tjenesten betinget af accept af de nye vilkår, hvorfor dette var i strid med GDPR. Uenighed blandt DPC som ledende tilsynsmyndighed og de berørte tilsynsmyndigheder om dette retsgrundlag, foranledigede tvistbilæggelsesproceduren hos EDPB efter GDPR artikel 65, stk. 1, litra a.

Den irske afgørelse om WhatsApp kom i forlængelse af de tre bindende afgørelser, som EDPB vedtog tilbage i december 2022. De vedrører alle moderselskabet Meta Platforms Ireland Limited (»Meta«) og dets behandling af personoplysninger på netværksplatformene Facebook, Instagram og WhatsApp. DPC’s afgørelser for så vidt angår platformene Facebook og Instagram er behandlet i en forudgående udgave af Lov og Data, med udgivelsesnr. 150.

DPC’s endelige afgørelse vedrørende WhatsApp, afspejler EDPB’s bindende afgørelse. Følgelig fastsætter afgørelsen, at WhatsApp ikke kan benytte GDPR artikel 6, stk. 1, litra a som behandlingshjemmel i forbindelse med levering af serviceforbedringer og -sikkerhed (undtagen det, som EDPB i sin afgørelse betegnede som »IT-sikkerhed«) ved brug af WhatsApp-tjenesten. Virksomhedens forhenværende behandling af disse oplysninger i påstået tillid til dette aftalemæssige retsgrundlag, udgjorde herefter en overtrædelse af GDPR artikel 6, stk. 1. I forlængelse heraf pålagde DPC, at WhatsApp indordner sin databehandling i overensstemmelse med GDPR inden for en tidsfrist på seks måneder.

DPC’s afgørelse om WhatsApp er endvidere interessant, da den rejser mulige spørgsmål om EDPB’s kompetencer efter GDPR. Sideløbende med tolkningen af GDPR, påbød EDPB i sin bindende afgørelse DPC at foretage en fornyet og udvidet undersøgelse af WhatsApps behandling af personoplysninger. Dette har DPC dog udtalt, at man mener, overskrider EDPB’s kompetencer over for de nationale tilsynsmyndigheder, hvorfor DPC har forbeholdt sig muligheden for at anfægte dette aspekt af den bindende afgørelse.

Læs EDPB’s pressemeddelelse her: https://edpb.europa.eu/news/news/2023/edpb-publishes-binding-decision-concerning-whatsapp_en

Læs det irske datatilsyns pressemeddelelse her:https://www.dataprotection.ie/en/news-media/data-protection-commission-announces-conclusion-inquiry-whatsapp

EU-Kommissionen anmoder om input til ny GDPR-lovgivning om grænseoverskridende procedureregler

I oktober 2022 udarbejdede EDPB et brev til EU-Kommissionen, hvori EDPB præsenterede en liste over administrative procedureregler, som kan harmoniseres yderligere. I sit brev påpegede EDPB b.la., at det ikke er hensigtsmæssigt at revidere GDPR på daværende tidspunkt. I stedet appellerede rådet til at reducere forskellene i administrative procedurer og praksis på tværs af medlemslandene, da forskellige administrative procedurer kunne have negative konsekvenser for grænseoverskridende samarbejder.

EU-kommissionen har anerkendt det fremførte behov og har efterfølgende iværksat en høring og et kommende lovgivningsinitiativ, hvor det frem til den 24. marts var muligt at indgive input til den nye lovgivning om harmonisering af GDPR-procedureregler i grænseoverskridende samarbejder.

Læs hele pressemeddelelsen her:https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/mar/eu-kommissionen-har-ivaerksat-hoering

En række nationale parlamenter og internationale organisationer forbyder eller fraråder deres medarbejdere at bruge TikTok på deres arbejdstelefoner

EU-Kommissionen udstedte den 23. februar 2023 en pressemeddelelse, der forbød medarbejdere at bruge TikTok på arbejdstelefoner samt private telefoner, der havde Kommissionens IT-systemer integreret.

I slutningen af februar vedtog en række nationale parlamenter ligeledes, at deres medarbejdere skulle slette appen »TikTok«. Det danske Folketing udstedte i den forbindelse den 28. februar 2023 en pressemeddelelse om, at man fraråder medlemmer eller ansatte af Folketinget at bruge det populære medie på deres udleverede mobile enheder. Pressemeddelelsen blev udstedt på baggrund af en anbefaling fra det danske Center for Cybersikkerhed og har efterfølgende resulteret i, at det danske Medieråd har opfordret til, at børn og unge også bør genoverveje deres brug af TikTok.

Herudover har en lang række store virksomheder og internationale organisationer ligeledes meldt ud, at de forbyder deres medarbejdere at bruge mediet. I USA diskuteres det netop, om det er hensigtsmæssigt at indføre et generelt forbud mod brugen af appen.

Den styrkede opmærksomhed omkring appen skyldes, at der er risiko for, at TikTok kan få adgang til dine data. Det danske Center for Cybersikkerhed udtalte i den forbindelse, at der er risiko for spionage ved brugen af TikTok.

Læs Kommissionens pressemeddelelse her: https://ec.europa.eu/commission/presscorner/detail/en/ip_23_1161

Læs Folketingets pressemeddelelse her: https://www.ft.dk/da/aktuelt/nyheder/2023/02/tiktok

Datatilsynet har offentliggjort en opdateret vejledning om databeskyttelse i ansættelsesforhold

Datatilsynet har offentliggjort en revideret udgave af Datatilsynets vejledning om databeskyttelse i ansættelsesforhold. Datatilsynet har på baggrund af de seneste års praksis revideret vejledningen, ligesom vejledningen har gennemgået en strukturel opdatering og indeholder en række præciseringer.

Tidligere har Datatilsynet i alle sammenhænge anbefalet at indhente samtykke forud for indhentelse og afgivelse af en reference. Fremover kan et samtykke som udgangspunkt ikke længere danne grundlag for indhentelse og videregivelser af referencer. Det skyldes, at et samtykke i en ansættelsesproces ofte ikke lever op til kravet om frivillighed. Det rette grundlag for at indhente referenceoplysninger vil fremover kunne findes i interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f.

Særligt i forhold til straffeattester præciserer Datatilsynet, at det ikke er tilladt for en arbejdsgiver at have en generelt praksis for indhentning af straffeattester i forbindelse med rekrutteringsforløb. Arbejdsgiveren er fremover forpligtet til at foretage en konkret vurdering af den enkelte ansættelsessituation. Det fremgår af den reviderede vejledning, at en straffeattest med oplysninger om strafbare forhold fortsat kan behandles med hjemmel i lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«) § 8, stk. 3. Hvis straffeattesten derimod ikke indeholder oplysninger om strafbare forhold, vil grundlaget herefter udgøre interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f.

Datatilsynet har herudover også fundet anledning til at opdatere en række afsnit, herunder om arbejdsgiverens oplysningspligt og videregivelse af personoplysninger. Ifølge den opdaterede vejledning er det ikke tilladt for en arbejdsgiver at indhente kreditoplysninger om ansøgere fra Ribers Kredit Information, medmindre der er tale om ansættelse i en position, der anses for at være særligt betroet. Datatilsynet fremhæver, at bedømmelsen af, hvilke positioner der betragtes som betroede, vil afhænge af arbejdsretlige standarder. Dette kan omfatte ledende medarbejdere, eller andre stillinger, der indebærer en betydelig grad af ansvar og tillid.

Læs hele Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/mar/datatilsynets-vejledning-om-databeskyttelse-i-ansaettelsesforhold-er-revideret

Læs hele Datatilsynets vejledning her: https://www.datatilsynet.dk/Media/0/8/Vejledning%20om%20databeskyttelse%20i%20forbindelse%20med%20ans%C3%A6ttelsesforhold.pdf

Datatilsynet lancerer ny database med statistik over brud på persondatasikkerhed

Datatilsynet lancerede den 23. marts 2023 en ny side på deres hjemmeside med statistik over brud på persondatasikkerheden. Statistikken udarbejdes ud fra de anmeldelser, som Datatilsynet modtager om brud på persondatasikkerheden efter GDPR. Statistikken opdateres derfor løbende.

På siden findes en detaljeret statistik for antallet af anmeldte brud til Datatilsynet, hvilke typer af brud der anmeldes, kategoriseret som hændelsestyper, samt hvilke sektorer der anmelder brud til Datatilsynet, kategoriseret under brancher.

Databasen gør det muligt for alle interesserede at få et detaljeret indblik i statistik over brud på persondatasikkerheden i forhold til f.eks. specifikke hændelsestyper eller inden for særligt udsatte områder, samt udviklingen over tid på området. Udstillingen af data skal være med til at forebygge lignende fremtidige brud på persondatasikkerheden og sikre databeskyttelsen.

Læs nyheden her:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/mar/ny-og-mere-detaljeret-statistik-over-brud

Se databasen her: https://www.datatilsynet.dk/sikkerhedsbrud/statistik-over-brud-paa-persondatasikkerheden

Datatilsynet har truffet principielle afgørelser i sager om cookie walls og offentliggjort retningslinjer vedrørende brugen af cookie walls

Datatilsynet har i en pressemeddelelse den 20. februar 2023 oplyst, at de har truffet to principielle afgørelser vedrørende brugen af cookie walls. Afgørelserne er truffet i sager mod henholdsvis Gul og Gratis og Jysk Fynske Medier. Herudover har Datatilsynet også udstedt et sæt retningslinjer, der skal hjælpe dem, der driver hjemmesider med at overholde de databeskyttelsesretlige regler, når de vil benytte sig af cookie walls og alternativer hertil.

Offentliggørelsen af afgørelserne over for Gul og Gratis og Jysk Fynske Medier, er sket ved journalnummer 2021-31-4871 og 2021-31-5553.

En cookie wall er en funktion, der gør en adgang til en hjemmeside betinget af, at den besøgende samtykker til brug af cookies og eventuel underliggende behandling af sine personoplysninger, typisk til brug for markedsføringsformål. Brugen af cookie walls ses ofte på hjemmesider, der helt eller delvist finansieres af annonceindtægter. Indehaverne af sådanne hjemmesider supplerer sommetider brugen af en cookie wall med et alternativ, der kan give adgang til hjemmesiden, f.eks. ved at tilbyde en betalingsadgang. Brugen af såvel cookie walls som betalingsalternativer skal opfylde visse krav for at leve op til de databeskyttelsesretlige regler.

I Datatilsynets retningslinjer angående brugen af cookie walls er der opstillet 4 kriterier til at vurdere, om et samtykke kan anses for frivilligt og dermed gyldigt. For det første skal brugen af en cookie wall suppleres med et rimeligt alternativ. Her kan et betalingsalternativ til samtykket være legitimt, men det forudsætter, at tjenesten der tilbydes herigennem i vidt omfang svarer til den tjeneste, der følger med samtykket til behandling. Dernæst skal betalingsalternativet have en rimelig pris. Heri ligger, at betalingsalternativet ikke må være prissat så højt, at den hjemmesidebesøgende ikke reelt gives et frit valgt mellem adgang via samtykke og adgang via betaling. For det tredje skal den behandling af personoplysninger, der finder sted efter samtykkeløsningen være begrænset til det nødvendige. Det betyder, at alle de formål, som virksomheden anmoder om samtykke til, er en nødvendig del af alternativet til betaling. For det fjerde skal behandlingen af personoplysninger for besøgende, der har benyttet sig af betalingsalternativet begrænses til det nødvendige. Dette medfører at kun personoplysninger, som er nødvendige for at levere den pågældende tjeneste må behandles. Det gælder eksempelvis, hvis det er nødvendigt at behandle visse personoplysninger til oprettelse og administration af en brugerprofil, såfremt denne profil følger med tjeneste, der er betalt for.

I sine afgørelser fastslår Datatilsynet, at hverken Gul og Gratis eller Jysk Fynske Medier levede op til samtykkekravet. Over for Jysk Fynske Medier fandt Datatilsynet, at den tjeneste der blev tilbudt mod samtykke til behandling af personoplysninger, ikke i vidt omfang svarede til den tjeneste, der blev tilbudt mod betaling. Dette skyldtes, at samtykket kun gav adgang til dele af indholdet på hjemmesiden, mens betalingsalternativet (abonnementstegning), gav adgang til alt indhold. Der forelå således reelt ikke et frit valg mellem de to løsninger, hvilket er et gyldighedskrav for samtykket i medfør af GDPR. I tillæg hertil fandt Datatilsynet, at Jysk Fynske Medier ikke havde påvist, at behandling af personoplysninger til statistiske formål var en nødvendig del af samtykkeløsningen. Jysk Fynske Mediers samtykkeløsning opfyldte således ikke GDPR artikel 6, stk. 1, litra a, og artikel 4, nr. 11, jf. GDPR artikel 5, stk. 2, jf. artikel 5, stk. 1, litra a.

Over for Gul og Gratis fandt Datatilsynet, at de to løsninger i vidt omfang svarede til hinanden, og der var således ikke et problem i relation til det frie valg mellem de to løsninger. Dog fandt Datatilsynet, ligesom i sagen mod Jysk Fynske Medier, at Gul og Gratis ikke havde påvist, at behandling af personoplysninger til statiske formål var en nødvendig del af samtykkeløsningen. Kravet til samtykkets frivillighed i medfør af GDPR var således heller ikke opfyldt.

Begge virksomheder blev i konsekvens heraf meddelt påbud om at påvise, at deres samtykkeløsninger opfylder de databeskyttelsesretlige krav om et frivilligt samtykke.

Læs hele pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/feb/brug-af-cookie-walls

Læs mere om Datatilsynets retningslinjer her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/cookies/cookie-walls

Læs afgørelsen over for Gul og Gratis her:https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/feb/gul-og-gratis-brug-af-cookie-walls

Læs afgørelsen over for Jysk Fynske Medier her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/feb/jysk-fynske-mediers-brug-af-cookie-walls

Undersøgelse viser behov for øget fokus på sletning og konsekvensanalyse

Den 23. februar 2023 udsendte Datatilsynet en pressemeddelelse vedrørende et omfattende spørgeskema-baseret modenhedstilsyn af 50 kommuner og alle 5 regioner.

Modenhedstilsynet viste, at der generelt er behov for et øget fokus på sletning, rettighedsstyring og foranstaltninger ved fremsendelse af mails med personoplysninger. På baggrund af modenhedstilsynet har Datatilsynet udarbejdet en målrettet vejledning vedrørende nedslag i fem udvalgte tendenser.

For det første skal organisationer tage stilling til procedurer for sletning, herunder sikre sig, at de registrerede i et længere ikke kan identificeres i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles. For det andet skal organisationer reducere risikoen for, at personoplysninger sendes forkert. Datatilsynet anbefaler hertil, at en række forebyggende foranstaltninger implementeres, herunder scanning af alle udgående e-mails med henblik på at identificere personnumre og lignende. For det tredje anbefaler Datatilsynets at foretage en løbende kontrol af brugerens adfærd og sikre, at den dataansvarlige vurderer, om behandlingsaktiviteterne er nødvendige og står i rimeligt forhold til formålene. For at afbøde konsekvenserne ved et stort angreb eller nedbrud appellerer Datatilsynet til, at kommunerne løbende opdaterer og tester it-beredskabsplaner.

Som led i den nationale cyber- og informationssikkerhedsstrategi 2022-2024 har Datatilsynet endeligt inkorporeret 20 tekniske minimumskrav til it-sikkerhed. Kravene er obligatoriske for statslige IT-løsninger og skal sikre et ensartet højt sikkerhedsniveau i staten. Kravene relaterer sig til mailkommunikation, autentifikation, mobile enheder, logning, domæner og internetvendte tjenester. Alle minimumskrav skal være implementeret senest den 1. januar 2023.

Læs hele Datatilsynets pressemeddelelsen her:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/feb/modenhedstilsynet-i-2022-viser-behov-for-oeget-fokus-paa-bla-sletning-og-konsekvensanalyse

Præcisering af regler for sletning af personoplysninger ved afslutning af forskningsprojekter

Datatilsynet udsendte d. 14. marts 2023 en pressemeddelelse vedrørende reglerne om personoplysninger ved afslutning af forskningsprojekter.

Fra den 1. januar 2023 er der sket en revision af bekendtgørelse nr. 1509 af 12. december 2019 (»den danske videregivelsesbekendtgørelse«), som fastsætter betingelserne for videregivelse af personoplysninger i forbindelse med statistiske eller videnskabelige undersøgelser i henhold til den danske databeskyttelseslov § 10. Tidligere var det nødvendigt at slette, anonymisere eller tilbagelevere personoplysninger ved undersøgelsens afslutning, således at det ikke var muligt at identificere enkeltpersoner baseret på disse oplysninger alene eller i kombination med andre data. I lyset af, at den dataansvarlige kan være forpligtet til at opretholde dokumentationen i en periode efter undersøgelsens afslutning for at kunne bekræfte dens validitet, kan personoplysningerne fremover overføres til opbevaring i arkiv efter reglerne i den danske arkivlovgivning.

Ikke desto mindre bør den dataansvarlige altid overveje, om det er muligt at opnå formålet med behandlingen af personoplysninger efter undersøgelsens afslutning ved at behandle oplysningerne i en anden form, for eksempel ved at pseudonymisere eller anonymisere dem, i overensstemmelse med dataminimeringsprincippet.

Læs hele datatilsynet pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/feb/praecisering-af-regler-for-sletning-af-personoplysninger-ved-afslutning-af-forskningsprojekter

Aalborg Universitet havde ikke foretaget tilstrækkelig kontrol eller tests med brugeradgange

Datatilsynet traf den 10. februar 2023 afgørelse i en sag med journalnummer 2022-442-19476 vedrørende Aalborg Universitets manglende test og utilstrækkelige kontrol af brugeradgange.

Sagen vedrørte et brud på persondatasikkerheden hos Aalborg Universitet, som universitetet selv anmeldte til Datatilsynet den 5. august 2022. I en ukendt periode frem til den 3. august 2022 var det muligt for alle brugere med en AAU-brugerprofil, herunder studerende, medarbejdere og gæstemedarbejdere, at logge på universitets IT-system, Webmanageren. Det var alene hensigten, at IT-medarbejdere skulle have adgang til oplysningerne som led i deres daglige arbejde. Webmanageren manglede derfor den nødvendige adgangsbegrænsning. I sagen blev det oplyst, at bruddet formentlig var et resultat af en teknisk eller menneskelig fejl i forbindelse med migrering til en ny server og omskrivning af kode i systemet i sommeren 2020. Der blev ikke efterfølgende foretaget testning af adgangskontrol i Webmanager-systemer og interne retningslinjer var ikke blevet fulgt.

Systemet indeholdte ikke-følsomme oplysninger om universitetets medarbejdere, hvoraf de fleste af oplysningerne i forvejen var offentliggjorte enten på universitetets hjemmeside eller internt i Outlook eller på intranettet, hvor alle medarbejdere har adgang.

Datatilsynet udtalte kritik af, at Aalborg Universitet ikke havde behandlet personoplysningerne i overensstemmelse med GDPR artikel 32, stk. 1.

Datatilsynet henviste i den forbindelse til, at dette normalt vil indebære, at ændringerne og opdateringer sker efter fastsatte procedurer, hvorved mulige konsekvenser og risici afdækkes. Yderligere skal der planlægges test, der kan verificere, at de fastsatte sikkerhedskrav, herunder adgangsbegrænsning, fortsat kan efterleves, når opdateringer gennemføres.

Endelig bemærkede Datatilsynet, at kravet i GDPR artikel 32 også indebærer, at den dataansvarlige løbende kontrollerer, at brugeradgange til et system med personoplysninger er begrænset til de brugere, der har et sagligt behov for adgang.

Læs hele afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/feb/kritik-af-aalborg-universitet-for-manglende-test-og-utilstraekkelig-kontrol-af-brugeradgange

Vækstfonden havde ikke indhentet gyldige samtykker og havde ikke opfyldt oplysningspligten ved brug af spy pixels i Vækstfondens nyhedsbreve

Datatilsynet traf den 20. december 2023 afgørelse i en sag med journalnummer 2022-432-0080. Sagen vedrørte Vækstfondens manglende indhentelse af gyldige samtykker samt manglende opfyldelse af oplysningspligten i forbindelse med behandling af personoplysninger indhentet ved brug af spy pixels i Vækstfondens nyhedsbreve.

I en konkret klagesag blev Datatilsynet gjort opmærksom på Vækstfondens anvendelse af spy pixels. Dette gav Datatilsynet anledning til af egen drift, den 17. januar 2022, at indlede en nærmere undersøgelse af Vækstfondens behandling af personoplysninger indhentet ved brug af spy pixels i nyhedsbreve.

Formålet for Vækstfonden med at benytte spy pixels i deres nyhedsbreve sendt ud til abonnenterne, var at analysere læsernes adfærd i forhold til nyhedsbrevet for at kunne tilrettelægge fremtidige nyhedsbreve herudfra samt at optimere selve udsendelsen af nyhedsbreve.

Vækstfonden bemærkede i sagen, at der alene var tale om behandling af almindelige personoplysninger og ikke følsomme eller fortrolige personoplysninger.

Vækstfonden blev opmærksom på problemet i maj 2021, hvorefter Vækstfondens indledte deres egen undersøgelse af sagen. Fonden oplyste i sagen, at de behandlede abonnenters data med samtykke som behandlingshjemmel, men at man grundet menneskelige fejl, ikke havde fået indhentet fornyede samtykker fra nyhedsbrevsmodtagerne i forhold til anvendelse af spy pixels, og fonden ophørte heller ikke med at anvende spy pixels i perioden september 2021 til januar 2022. Dette erkendte Vækstfonden.

Datatilsynet udtalte på den baggrund alvorlig kritik af, at Vækstfonden havde behandlet personoplysninger i strid med GDPR artikel 6, stk. 1, litra a og artikel 13.

Vækstfonden har senere oplyst, at de har skiftet leverandør til udsendelsen af nyhedsbreve samt opdateret deres privatlivspolitik, som der vil blive henvist til i samtykketeksten.

Læs hele afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/anvendelse-af-spy-pixels-i-forbindelse-med-udsendelse-af-nyhedsbrev

Datatilsynet har offentliggjort sine fokusområder i 2023

Datatilsynet har i en pressemeddelelse den 2. februar 2023 oplyst, at der i 2023 vil være fokus på at finde en bedre balance mellem målrettede tilsynsaktiviteter og klagesagsbehandling, som del af Datatilsynets strategi for at styrke sin data- og risikobaserede tilsynsindsats: »Tilsyn med effekt: Datatilsynets data- og risikobaserede tilgang 2020-2023«.

Der har været en væsentlig stigning i tilsynsaktiviteterne de seneste år, men Datatilsynet vil nu foretage en justering af kursen, så der i færre tilfælde sker en tilbundsgående undersøgelse af klagesagerne - mens der tages flere generelle sager op af egen drift. Disse sager udvælges stadig ud fra bl.a. klager, brud på persondatasikkerheden, medieomtale og tips.

Datatilsynet vil også styrke indsatsen på de områder, hvor der er tale om mange borgeres personoplysninger, særligt beskyttelsesværdige personoplysninger eller personoplysninger med en høj risiko for borgerne.

Derudover har Datatilsynet offentliggjort en oversigt over de temaer, som vil være et særligt fokus for de målrettede tilsynsaktiviteter i 2023:

• Beskyttelsen af oplysninger om børn.

• Udpegning af databeskyttelsesrådgivere og deres rolle.

• Fremstillingsvirksomheder med særligt fokus på specialfremstillede produkter med levering direkte til borgerne.

• Folketinget og Folketingets institutioner.

• Behandling af personoplysninger om hjemmesidebesøgende.

• TV-overvågning, særligt parkeringsselskabers brug af tv-overvågning i forbindelse med udstedelse af parkeringsafgifter.

• Tilladelser til at videregive oplysninger fra forskning.

• Behandling af personoplysninger i fælleseuropæiske informationssystemer.

• Retshåndhævelsesloven.

Læs hele pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/feb/datatilsynets-fokusomraader-i-2023

Se listen her: https://www.datatilsynet.dk/afgoerelser/generelt-om-tilsyn/saerlige-fokusomraader-for-datatilsynets-tilsynsaktiviteter-i-2023

Datatilsynet offentliggør vejledende tekst om påvisningskrav og dataminimering

Den 20. januar 2023 udsendte Datatilsynet en pressemeddelelse om, at de har udarbejdet en vejledende tekst om opbevaring af personoplysninger med henblik på dokumentation, nærmere bestemt opbevaring af personoplysninger med det formål at kunne påvise, at man som dataansvarlig overholder databeskyttelsesreglerne om samtykke.

Vejledningen bygger på, at GDPR artikel 7 indeholder en række betingelser, som skal være opfyldt, for at et samtykke kan anses for gyldigt. En af betingelserne er, at den dataansvarlige skal kunne påvise, at den registrerede har givet samtykke til behandling af sine personoplysninger. GDPR artikel 7 finder kun anvendelse, så længe behandlingen af personoplysningerne forløber. Personoplysninger, der behandles på baggrund af samtykke, skal derfor som udgangspunkt slettes i umiddelbar forlængelse af behandlingsaktivitetens ophør.

Forpligtelsen skal læses i sammenhæng med GDPR’s øvrige regler og principper, blandt andet artikel 5, som stiller krav om f.eks. dataminimering og opbevaringsbegrænsning. Yderligere bestemmer GDPR artikel 24, at den dataansvarlige har ansvar for gennemførelsen af passende tekniske og organisatoriske foranstaltninger, der skal sikre og gøre den dataansvarlige i stand til at påvise, at behandling er sket i overensstemmelse med GDPR.

Påvisningskravene i artikel 5, stk. 2, og artikel 24 bør efter vejledningen opfyldes ved såkaldt systemdokumentation, der betegner dokumentation for procedurerne omkring indhentelsen af samtykket. Som eksempler herpå nævnes hvilke oplysninger den registrerede fik forelagt på tidspunktet for samtykkets afgivelse, og dokumentation for at fremgangsmåden opfyldte alle kriterier for et gyldigt samtykke.

Vejledningsteksten nævner, at en undtagelse til udgangspunktet om, at personoplysningerne skal slettes i umiddelbar forlængelse af behandlingsaktivitetens ophør er, hvis den fortsatte behandling af personoplysninger, herunder et afgivet samtykke, er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. GDPR artikel 17, stk. 3, litra e. Der er imidlertid tale om en streng og konkret fortolkning af, hvad der kan anses for at være »nødvendigt«.

Den vejledende tekst har sit udspring i sagen om SmartResponse, hvor Datatilsynet blandt andet fastslog, at en opbevaringsperiode på fem år for at kunne dokumentere gyldigheden af et indhentet samtykke, ikke stemmer overens med princippet om opbevaringsbegrænsning i GDPR.

Sagen om SmartResponse er omtalt i Lov & Data 1. kvartal 2023, udgivelsesnr. 153.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jan/opbevaring-af-personoplysninger-med-henblik-paa-dokumentation

Læs vejledningsteksten her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/samtykke/paavisningskrav-og-dataminimering

Datatilsynet gør status efter et år med whistleblowerordningen

Datatilsynet fremlagde den 12. januar 2023 en beretning om det første år med whistleblowerordningen. Det fremgik af beretningen, at Datatilsynets eksterne whistleblowerordning nu har skiftet navn til »Den Nationale Whistleblowerordning«. Navneændringen skyldes, at man vil tydeliggøre, at ordningen kan anvendes til andre forhold end indberetninger vedrørende databeskyttelse, idet hele 66 % af de indberettede sager handlede om databeskyttelse.

Den danske whistleblowerordning i Datatilsynet trådte i kraft i december 2021. Ordningen er etableret i henhold til lov nr. 1436 af 29. juni 2021 om beskyttelse af whistleblowere (»den danske whistleblowerlov«, der gennemfører Europa-Parlamentets og Rådets direktiv (EU) 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (»whistleblowerdirektivet«).

Whistleblowerordningen er designet til at modtage og behandle anmeldelser vedrørende overtrædelser af EU-lovgivningen inden for områder som offentligt udbud, produktsikkerhed, miljøbeskyttelse, fødevaresikkerhed og lignende. Desuden vil ordningen også håndtere indberetninger om alvorlige lovovertrædelser og andre alvorlige forhold, herunder chikane.

I tillæg til den danske whistleblowerordning i Datatilsynet, stiller den danske whistleblowerlov bl.a. også krav om, at der skal etableres interne whistleblowerordninger på alle private og offentlige arbejdspladser med 50 eller flere ansatte.

I beretningen kan du læse nærmere om, hvor mange sager der er indberettet, hvem der blev indberettet om, og hvad udfaldet af indberetningerne blev.

Læs hele beretningen her: https://whistleblower.dk/om-ordningen/whistleblowerordningen-i-tal

Datatilsynet udtalte alvorlig kritik over for hjemmesides samtykkeløsning, som ikke levede op til kravene i GDPR

Datatilsynet udtalte den 23. december 2022 alvorlig kritik af virksomheden Leadwise A/S’ (»Leadwise«) samtykkeløsning til placering af cookies på letfinans.dk, en hjemmeside til oprettelse og formidling af låneansøgninger. Sagen blev indledt på baggrund af en klage fra en registeret, som kunne konstatere, at cookies blev placeret på vedkommendes computer, allerede inden klager havde taget stilling til hjemmesidens samtykkeløsning. Samtykkeløsningen gav besøgende mulighed for en række afkrydsningsmuligheder samt mulighed for ’Accepter alle’, ’Afvis alle’ og ’Vis detaljer’.

Datatilsynet fandt at både den initiale placering af cookies inden interaktion med samtykkeløsningen og samtykkeløsningen i sig selv udgjorde overtrædelser af GDPR; navnlig artikel 6, stk. 1, litra a, og artikel 7.

Særligt vedrørende samtykkeløsningen udtalte Datatilsynet, at samtykket leveret herigennem var utilstrækkeligt informeret, bl.a. ved at hjemmesidebesøgende ikke blev informeret om retten til at trække samtykket tilbage.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/feb/alvorlig-kritik-af-leadwises-samtykkeloesning-paa-letfinansdk

Læs hele afgørelsen her:https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/alvorlig-kritik-af-leadwises-samtykkeloesning-paa-letfinansdk

Datatilsynet strammer adgangen til personregistre på arbejdspladsen

Datatilsynet udsendte den 16. marts 2023 en pressemeddelelse vedrørende arbejdstageres adgang til at søge efter personoplysninger i registre.

Pressemeddelelsen blev udgivet som en reaktion på adskillige pressehistorier om sundhedspersonale, der uden saglig grund havde foretaget opslag i den elektroniske patientjournal.

Datatilsynet fremhæver, at man kun må behandle personoplysninger, herunder f.eks. lave journalopslag, kundekartoteker osv., hvis det er nødvendigt for at kunne udføre sit arbejde. Datatilsynet understreger også, at arbejdsgiveren bærer ansvaret for eventuelle personopslag, som udføres af arbejdstagere. Det påhviler derfor arbejdsgiveren at sikre, at de ansatte er informeret om retningslinjerne for anvendelse af tilgængelige registre, samt at føre kontrol med arbejdstagernes opslag i disse. Desuden skal arbejdsgiveren sikre, at registrene er sat op og konfigureret på en tilstrækkelig sikker måde, som forhindrer uautoriseret adgang til registrene.

Læs hele pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/mar/taenk-dig-om-foer-du-slaar-op