Domstolen afviser minimums­grænse for erstatning efter GDPR

Domstolen traf den 4. maj 2023 afgørelse i sag C-300/21. Sagen var en præjudiciel forelæggelse indgivet af den østrigske højesteret, Oberster Gerichtshof, og vedrørte GDPR artikel 82 om retten til erstatning for enhver, der har lidt materiel eller immateriel skade som følge af en overtrædelse af GDPR.

Den østrigske højesteret skulle træffe afgørelse i en sag mellem en privatperson, UI, og Österreichische Post AG, som er et østrigsk selskab, der sælger adresseoplysninger til andre virksomheder til marketingsformål. Sagen angik Österreichische Post AG’s behandling af personoplysninger i form af oplysninger om politisk tilhørsforhold for personer med bopæl i Østrig. UI nedlagde påstand, som en af de registrerede, om erstatning for den immaterielle skade, som UI havde lidt som følge af behandlingen af UI’s personoplysninger. Den immaterielle skade, som UI gjorde gældende at have lidt, angik følelsen af stor ærgrelse, tab af tillid og ydmygelse.

Tvivlsspørgsmålet for den nationale ret drejede sig om, hvorvidt det var et krav for at få erstatning efter GDPR artikel 82 for en overtrædelse af en bestemmelse i GDPR, at sagsøger havde lidt en skade og i bekræftende fald, om ubehagelige følelser i så fald udgjorde en immateriel skade omfattet af GDPR artikel 82, eller hvorvidt erstatning var betinget af, at den skade der var lidt, overskred en vis minimumstærskel. Både den regionale domstol og den øverste regionale domstol i Østrig var forud for sagen ved den østrigske højesteret, kommet frem til, at UI ikke kunne opnå erstatning for negative følelser, som følge af Österreichische Post AG’s overtrædelse af GDPR.

Domstolen slog fast, at GDPR artikel 82, stk. 1 skal fortolkes således, at en overtrædelse af en bestemmelse i GDPR ikke i sig selv giver ret til erstatning, men at det er en betingelse for erstatning, at den registrerede tillige har lidt skade, samt at der er en årsagsforbindelse mellem overtrædelsen og skaden. Domstolen fastslog, at »skade« er et EU-retligt begreb, som skal fortolkes som et selvstændigt kriterie ved siden af en overtrædelse af GDPR.

Herefter fastslog Domstolen, at GDPR artikel 82, stk. 1 er til hinder for en national regel eller praksis, hvorefter erstatning for immateriel skade efter GDPR er betinget af, at en vis minimumstærskel er overskredet for den skade, der er lidt. Domstolen lagde vægt på, at det ikke vil være i overensstemmelse med hverken ordlyden, sammenhængen eller formålet med forordningen at opstille en sådan tærskel. Domstolen bemærkede, at der ikke ved en overtrædelse af GDPR, automatisk også vil være sket en »skade« i forordningens forstand.

Afgørelsen fastslår således, at den registrerede, hvis oplysninger er blevet behandlet i strid med GDPR, alene kan opnå erstatning, hvis denne har lidt en »skade« i EU-retlig forstand, og at dette skal vurderes selvstændigt. Afgørelsen slår imidlertid samtidig fast, at skaden ikke skal have en vis alvorsgrad eller overgå en minimumsgrænse for at kunne opfylde betingelsen om, at der er lidt en skade.

Endeligt var der stillet spørgsmål om fastlæggelsen af omfanget af erstatningen. Hertil bemærkede Domstolen, at erstatningen skal fastlægges ud fra de nationale regler, der gælder i det enkelte medlemsland om omfanget af økonomisk erstatning, så længe dette er sket i overensstemmelse med effektivitetsprincippet og ækvivalensprincippet.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=273284&pageIndex=0&doclang=DA&mode=lst&dir=&occ=first&part=1&cid=5942936

EU-Domstolen træffer afgørelse om omfanget af indsigtsretten, herunder retten til at få udleveret en kopi

EU-Domstolen traf den 4. maj 2023 afgørelse i en præjudiciel forelæggelse i sag C-487/21, som blev indgivet af den tyske forbundsdomstol (Bundesverwaltungsgericht).

Sagen handlede om en registreret, F.F., som anmodede et kreditoplysningsbureau, CRIF, om at få udleveret en kopi af de dokumenter, som indeholdt F.F.’s personoplysninger. CRIF udleverede herefter en sammenfattet liste med de personoplysninger, de havde behandlet. F.F. mente ikke det var tilstrækkeligt at fremsende en liste, men ønskede konkrete dokumenter som mails og udskrifter fra databaser fremlagt. FF klagede på denne baggrund til de østrigske databeskyttelsesmyndigheder (Österreichische Datenschutzbehörden), som gav CRIF medhold, hvorfor sagen blev påklaget til de østrigske domstole.

Den østrigske domstol udsatte sagen og forelagde denne for EU-Domstolen som et præjudicielt spørgsmål. Hovedspørgsmålet angik GDPR artikel 15, stk. 3, 1. pkt., hvorefter (d)en dataansvarlige skal udlevere en kopi af de personoplysninger, der behandles. Konkret blev spurgte om denne bestemmelser (i) også medfører en generel ret for en registreret til at få udleveret en kopi af hele dokumenter, hvori den registreredes personoplysninger behandles, eller (ii) kun giver den registrerede ret til en nøjagtig gengivelse af de personoplysninger, der skal gives adgang til?

EU-Domstolen bemærkede, at det er afgørende, at den dataansvarlige indretter sig på en måde, der gør det muligt for den registrerede effektivt at udøve sine rettigheder i henhold til GDPR. Det er ligeledes et krav, at oplysningerne bliver formidlet på en letforståelig måde. Endelig bemærkede EU-Domstolen, at GDPR artikel 15, stk. 3, 1. pkt., skal fortolkes bredt. EU-Domstolen konkluderede derfor, at den registrerede har ret til at få en kopi af uddrag af dokumenter, såvel som hele dokumenter og uddrag fra databaser, hvis udleveringen er nødvendig for at udøve forordningens øvrige rettigheder. Det er afgørende, at der indledningsvist foretages en afvejning til andres rettigheder ved udlevering af dokumenterne til den registrerede.

Endelig kom frem til EU-Domstolen, at den dataansvarlig udelukkende er pålagt at udlevere oplysninger, som er omfattet af GDPR artikel 15, stk. 3, 1. pkt. Der foreligger således ikke noget krav om at udlevere en kopi af oplysninger, der ikke er omfattet direkte af bestemmelsens ordlyd, f.eks. meta­data.

Læs hele afgørelsen her:https://curia.europa.eu/juris/document/document.jsf?text=&docid=273286&pageIndex=0&doclang=da&mode=lst&dir=&occ=first&part=1&cid=65870

EU-Domstolen om grænsefladen mellem konkurrenceretten og databeskyttelse

EU-Domstolens har den 4. juli 2023 afsagt dom i sag C-252/21 om beføjelserne for en national konkurrencemyndighed til at fastslå, om en virksomhed har handlet i strid med GDPR. Afgørelsen blev indgivet af den regionale ret i Düsseldorf som en præjudiciel forelæggelse.

Domstolen fastslog, at en konkurrencemyndighed kan undersøge om den pågældende virksomhed har brudt databeskyttelsesregler eller andre regelsæt, som led i vurderingen af, om der er sket misbrug af dominerende stilling. Dette var blandt andet under henvisning til, at sådanne brud kan være indicier på, at virksomhedens adfærd fordrejer eller kan forventes at fordreje konkurrencen på det indre marked.

I lyset heraf præciserede Domstolen kompetencefordelingen mellem henholdsvis nationale konkurrencemyndigheder og tilsynsmyndighederne efter GDPR. Navnlig følger, at hvor en konkurrencemyndighed fastlægger en virksomheds tilsidesættelse af GDPR erstatter den ikke tilsynsmyndighederne. Domstolen fandt, at medlemsstaternes loyalitetsforpligtelse efter artikel 4, stk. 3, i Traktaten om Den Europæiske Union medfører, at nationale konkurrencemyndigheder har pligt til at samarbejde loyalt med den kompetente tilsynsmyndighed.

Herudover behandlede Domstolen spørgsmålet om den indsamling og behandling af personoplysninger, herunder særlige kategorier af personoplysninger, som der foretages af sociale onlinenetværk.

Sagen havde sit udspring i en tysk konkurrencesag om det mulige misbrug af dominerende stilling af Meta Platforms Ireland (»Meta«), som udbyder de sociale netværkstjenester Facebook, Instagram og WhatsApp. Særligt fokus var forretningsmodellen, som hovedsageligt består af personlig tilpasning af indhold, baseret på oprettelsen af detaljerede profiler på Metas onlinetjenester. Profilerne bliver dels oprettet på baggrund af (i) data leveret af brugerne direkte til Meta, når de tilmelder sig Facebook, dels (ii) data om brugerne fra de øvrige sociale netværkstjenester leveret af Meta, samt tredjepartswebsteder og –apps, hvorved Meta linker sådanne data til brugernes konti. Den samlede visning af oplysningerne muliggør, at Meta kan drage detaljerede konklusioner om brugernes præferencer og interesser.

Hertil bemærkede den forelæggende ret, at denne behandling kan vedrøre særlige kategorier af personoplysninger, også selvom de pågældende oplysninger ikke var indtastet af brugeren selv, men at de kan hidrøre fra besøg og anvendelse af andre websteder og applikationer. Domstolen udtalte i den forbindelse, at hvor en social netværkstjeneste behandler personoplysninger, skal det efterprøves om dette afslører oplysninger, som omfattes af GDPR artikel 9. I bekræftende fald er behandlingen principielt forbudt, medmindre der kan identificeres en behandlingshjemmel i GDPR artikel 9, stk. 2.

Hertil præciserede Domstolen, at behandlingen af særlige kategorier af oplysninger undtagelsesvist kan være tilladt, hvor de »tydeligvis er offentliggjort af den registrerede« efter undtagelsen til forbuddet i GDPR artikel 9, stk. 2, litra e). Den blotte omstændighed, at en bruger besøger et websted eller anvender en app, er imidlertid ikke tilstrækkeligt til at konstituere, at denne tydeligvis har offentliggjort sine oplysninger. Det gælder både hvor brugeren indtaster oplysninger, trykker på valgknapper (f.eks. »synes godt om«) eller tilknytter en konti til webstedet, medmindre det på forhånd er tilkendegivet af brugeren med fuld kendskab til sagen, at denne ønsker at gøre oplysningerne offentligt tilgængelige for et ubegrænset antal personer.

For det tredje undersøgte Domstolen, om Metas behandlingsaktiviteter kunne udføres uden den registreredes samtykke, men i stedet baseres på en anden behandlingshjemmel, fx når behandlingen er nødvendig for opfyldelse af en kontrakt efter GDPR artikel 6, stk. 1, litra b).

Domstolen fandt, at behovet for at opfylde den kontrakt, som brugeren indgår med Meta, kun kan retfærdiggøre den pågældende praksis på betingelse af, at behandlingen er objektivt uundværlig. Domstolen udtrykte dertil tvivl om, hvorvidt et personaliseret indhold eller problemfri brug af Metas egne tjenester opfylder dette kriterie.

I stedet fandt Domstolen, at behandlingen kan foretages som del i Metas legitime interesse, forudsat at den foretages inden for rammerne af det strengt nødvendige – og således ikke går forud for brugernes interesser og grundlæggende rettigheder.

Afslutningsvist bemærkede Domstolen, at det forhold at en virksomhed er dominerende på et marked, ikke per se afskærer brugerne muligheden for at afgive et gyldigt samtykke. Det påhviler imidlertid operatøren at føre bevis herfor, idet dennes status af dominerende virksomhed i sig selv kan påvirke det frie valg for brugeren, og hvorfor dette dermed indgår som et element i vurderingen af, om et gyldigt, herunder særligt et frivilligt, samtykke er givet.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=275125&pageIndex=0&doclang=DA&mode=req&dir=&occ=first&part=1&cid=5978970

Domstolen afgør spørgsmål om omfanget af indsigtsretten i oplysninger i logfiler, der genereres af et behandlingssystem

Domstolen traf den 22. juni 2023 afgørelse i sag C-579/21. Sagen var en præjudiciel forelæggelse indgivet af den østfinske forvaltningsdomstol, Itä-Suomen hallinto-oikeus.

Den østfinske forvaltningsdomstol skulle træffe afgørelse i en sag mellem to parter angående retten til indsigt i information efter GDPR artikel 15, stk. 1. Den registreredes, J.M, anmodning om indsigt i information om behandlingen af dennes personoplysninger ved den bank, Pankki S, J.M. arbejdede i og samtidig var kunde ved, var i første omgang blevet afslået af den stedfortrædende repræsentant for det finske datatilsyn, Apulaistietosuojavaltuutettu.

Sagen gav for den nationale ret anledning til at genoverveje sin fortolkning af rækkevidden af GDPR artikel 15, stk. 1, og hvorvidt J.M. faktisk havde ret til indsigt i en række logfiler, der var generet ved behandlingen af den registreredes oplysninger. Disse logfiler indeholdt information om søgningerne foretaget i J.M.’s personoplysninger i en periode på cirka to måneder. Informationerne vedrørte specifikt datoerne og formålet med søgningerne, samt identiteten på de fysiske personer, der havde gennemført søgningerne.

Domstolen fandt, at oplysningerne om datoerne for- og formålet med søgninger i J.M.’s personoplysninger udgjorde informationer, som den registrerede havde ret til at få indsigt i efter GDPR artikel 15, stk. 1. Domstolen bemærkede, at retten til indsigt efter GDPR artikel 15, stk. 1 er nødvendig for, at den registrerede kan udøve sine øvrige rettigheder efter GDPR. Datoen for behandlingen er blandt andet med til at sikre, at den registrerede kan vurdere lovligheden af den behandling, der er sket af vedkommendes personoplysninger.

Domstolen fandt desuden, at identiteten på de fysiske personer, der havde gennemført søgningerne, ikke er omfattet af retten til indsigt efter GDPR artikel 15, stk. 1., da disse personer ikke kunne anses for at være »modtagere« efter GDPR artikel 15, stk. 1, litra c. Herved slog Domstolen fast, at retten til indsigt ikke omfatter information om identiteten på de ansatte, som under ledelse og instruks fra den dataansvarlige, har behandlet personoplysningerne som led i arbejde for den dataansvarlige. Afslutningsvist bemærkede Domstolen, at dette dog ikke gælder, såfremt en sådan information ville være nødvendig for, at den registrerede kan udøve sine øvrige rettigheder efter GDPR.

Endeligt afviste Domstolen, at det på nogen måde har betydning for omfanget eller påvirkede retten til indsigt, i hvilken sammenhæng der er anmodet om indsigt. Det var derfor uden betydning, at den registrerede både arbejdede for og var kunde hos banken.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=274867&pageIndex=0&doclang=da&mode=lst&dir=&occ=first&part=1&cid=65870

EDPB vedtager endelig udgave af retningslinjer om registreredes rettigheder – Indsigtsretten

EDBP har den 28. marts 2023 på baggrund af en offentlig høring, vedtaget den endelige udgave af retningslinjer om registreredes indsigtsret.

Retningslinjerne tager sigte på at udvide forståelsen og anvendelsen af indsigtsretten efter GDPR artikel 15, på baggrund af den hidtil udviklede praksis ved EU-Domstolen. GDPR artikel 15 hjemler den registreredes ret til, efter anmodning, indsigt i- og adgang til de personoplysninger, som en dataansvarlig behandler om den pågældende.

Blandt andet præciserer retningslinjerne (i) omfanget af indsigtsretten, (ii) de oplysninger, som den dataansvarlige skal give den registrerede, (iii) formatet for den registreredes anmodning om indsigt, (iv) de vigtigste måder hvorpå informationen kan udleveres til den registrerede samt (v) en uddybning af undtagelsen til indsigt, navnlig hvor anmodningen er åbenbart grundløs eller overdreven.

Læs EDBP’s pressemeddelelse her: https://edpb.europa.eu/news/news/2023/edpb-adopts-final-version-guidelines-data-subject-rights-right-access_en

Læs EDBP’s nye retningslinjer her : https://edpb.europa.eu/system/files/2023-04/edpb_guidelines_202201_data_subject_rights_access_v2_en.pdf

Det irske datatilsyn udsteder bøde på € 1,2 mia. til Meta

Den 13. april 2023 vedtog EDPB en bindende tvistbilæggelsesafgørelse efter proceduren i GDPR artikel 65 (»Bindende afgørelse 1/2023«).

Afgørelsen vedrørte Meta Platforms Ireland Limited (»Meta«) og dets overførsler af personoplysninger til USA på grundlag af standardkontraktbestemmelser (SCC’er) siden 16. juli 2020. Som ledende tilsynsmyndighed, havde den irske databeskyttelsesmyndighed (»DPC«) i sit udkast til afgørelse fundet, at dataoverførslerne fandt sted i strid med GDPR artikel 46, og at dataoverførslerne under disse omstændigheder burde suspenderes.

DPC blev mødt af indsigelser fra de øvrige berørte tilsynsmyndigheder vedrørende de korrigerende beføjelser, som DPC foreslog at udøve. DPC valgte imidlertid ikke at følge disse, hvorved tvistbilæggelsesproceduren blev indledt.

Med afsæt i EDPB’s Bindende afgørelse 1/2023 traf DPC sin endelige afgørelse den 12. maj 2023, hvorefter Meta bl.a. skal suspendere fremtidige overførsler af personlige data til USA inden for en periode på fem måneder. DPC udstedte derudover en bøde på € 1,2 mia. til Meta som følge af Metas overtrædelse af GDPR. Desuden blev Meta meddelt påbud om at bringe sine behandlingsaktiviteter i overensstemmelse med GDPR inden 6 måneder.

Læs Datatilsynets pressemeddelelse her: Bøde på 1,2 millarder euro til Meta Irland som følge af bindende afgørelse fra EDPB (datatilsynet.dk)

Læs det irske datatilsyns pressemeddelelse her : Data Protection Commission announces conclusion of inquiry into Meta Ireland | 22/05/2023 | Data Protection Commission

Læs EDPB’s pressemeddelelse her : 1.2 billion euro fine for Facebook as a result of EDPB binding decision | European Data Protection Board (europa.eu)

EDPB vedtager beslutning om at nedsætte en taskforce vedrørende ChatGPT

EDPB har nedsat en særlig taskforce målrettet ChatGPT.

Den 13. april 2023 afholdte EDPB møde, hvorpå det italienske datatilsyns foranstaltninger mod OpenAI i relation til ChatGPT blev drøftet. EDPB besluttede på mødet at nedsætte en taskforce for at fremme samarbejdet og udvekslingen af oplysninger imellem de europæiske databeskyttelsesmyndigheder hvad angår Open AI’s ChatGPT-tjeneste.

Læs hele EDPB’s pressemeddelelse her: https://edpb.europa.eu/news/news/2023/edpb-resolves-dispute-transfers-meta-and-creates-task-force-chat-gpt_en

EDPB vedtager retningslinjer for myndigheders brug af ansigtsgenkendelsesteknologi

EDPB offentliggjorde den 26. april 2023 retningslinjer for anvendelsen af ansigtsgenkendelsesteknologi inden for retshåndhævelse.

Retningslinjerne henvender sig til EU-lovgivere samt de nationale lovgivere og retshåndhævende myndigheder og har til formål at vejlede om, hvordan myndighederne kan implementere og anvende ansigtsgenkendelsesteknologi. Retningslinjerne gennemgår, hvordan myndighederne sikrer overholdelse af Europa-Parlamentets og Rådets direktiv (EU) 2016/680 af 27. april 2016 (»retshåndhævelsesdirektivet«) ved anvendelse af ansigtsgenkendelsesteknologi, og at anvendelsen sker i overensstemmelse med nødvendigheds- og proportionalitetskravet i Den Europæiske Unions Charter om Grundlæggende Rettigheder.

Retningslinjerne vedrører den praktiske anvendelse af en ansigtsgenkendelsesteknologi og gennemgår også en række typiske tilfældegrupper, hvor ansigtsgenkendelsesteknologi anvendes og hvilke overvejelser myndighederne bør gøre sig, såfremt de anvender teknologien i det pågældende tilfælde.

Herudover gentager EDPB en opfordring om et fuldstændigt forbud mod anvendelse af teknologien i en række nærmere bestemte situationer, herunder ansigtsgenkendelse til aflæsning af menneskelige følelser og biometrisk fjernidentifikation af personer, som bevæger sig på et offentligt tilgængeligt sted.

Læs EDPB’s pressemeddelelse her: https://edpb.europa.eu/news/news/2023/edpb-adopts-final-version-guidelines-facial-recognition-technology-area-law_da

Læs EDPB’s retningslinjer her: https://edpb.europa.eu/system/files/2023-06/edpb_guidelines_042022_calculationofadministrativefines_en.pdf

EDBP vedtager uddybende retningslinjer om udmåling af bøder til private virksomheder efter GDPR

For at sikre en mere harmoniseret tilgang til udmåling af bøder til private virksomheder, for overtrædelser af GDPR, har EDBP på et plenarmøde den 24. maj 2023 vedtaget et sæt uddybende retningslinjer.

Udmålingen af administrative bøder er som udgangspunkt underlagt den enkelte databeskyttelsesmyndigheds skøn under iagttagelse af reglerne efter GDPR. Administrative bøder udregnes i første række ud fra virksomhedens omsætning samtidig med, at de skal være effektive, afskrækkende og stå i rimeligt forhold til overtrædelsens alvorlighed.

Retningslinjerne følger således på tilsvarende vis udgangspunktet efter GDPR for bødeberegningen, og udstikker en metodisk fem-trins-model for udmålingen, herunder identifikation af behandlingsaktiviteterne,kategoriseringen af overtrædelsen og dennes grovhed samt skærpende og formildende omstændigheder.

Læs EDBP’s pressemeddelelse her : https://edpb.europa.eu/news/news/2023/edpb-adopts-final-version-guidelines-calculation-administrative-fines-following_en

Læs EDBP’s retningslinjer her: https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-042022-calculation-administrative-fines-under_en

Nordiske tilsyn øger fokus på data- og risikodrevet tilsyn gennem forstærket samarbejde

De nordiske datatilsyn mødtes den 15. og 16. maj 2023 til det årlige møde, hvor det fællesnordiske værdifællesskab blev diskuteret.

Ved dette årsmøde blev en ny erklæring, Reykjavik-erklæringen, vedtaget. Erklæringen skal ændre databeskyttelsesmyndighedernes måde at føre tilsyn på via en mere data- og risikobaseret tilgang. Med erklæringen tilstræbes ligeledes en øget vidensdeling de europæiske lande imellem ift. tilsynsstrategier og sanktionsmuligheder ved en dataansvarliges manglende efterlevelse af databeskyttelsesreglerne.

Læs Reykjavik-erklæringen her : https://www.datatilsynet.dk/Media/638199319850756338/Reykjavik%20Declaration.pdf

Den danske regering fremlægger initiativer for bedre databeskyttelse af børn

Den danske regering meddelte den 12. juni 2023, at de vil fremkomme med konkrete tiltag for bedre beskyttelse af børn i forbindelse med behandling af børns personoplysninger.

Tiltagene sker på baggrund af en række anbefalinger fra en af regeringen nedsat ekspertgruppe. Ekspertgruppen fremkom, i en rapport fra juni 2023, med en række anbefalinger målrettet de udfordringer, der relaterer sig til tech-giganters platforme og forretningsmodeller. I rapporten fremkom ekspertgruppen blandt andet med tre konkrete anbefalinger til tech-giganters ansvar over for børn og unge i forhold til aldersverificering og sikringen af, at børn ikke tilgår ikke-alderssvarende indhold på internettet.

På baggrund af ekspertgruppens anbefalinger meddelte regeringen, at de ønsker at indføre et krav om, at tech-giganterne indhenter samtykke fra børns forældre, før de kan indhente og behandle børnenes personoplysninger.

På sigt ønsker regeringen at ændre reglerne for databeskyttelse af børn og øge aldersgrænsen for, hvornår en registreret skal anses for at være barn og dermed være omfattet af de databeskyttelsesregler, som gælder særligt for dem. Herudover vil regeringen indføre et krav om en digital bekræftelse af brugerens alder, når der tilgås upassende indhold på internettet.

Læs Erhvervsministeriets pressemeddelelse her : https://em.dk/nyhedsarkiv/2023/juni/tech-giganterne-skal-begraenses-regeringen-vil-beskytte-boern-bedre/

Læs ekspertgruppens rapport her : https://em.dk/media/19630/anbefalinger-fra-tech-ekspertgruppe.pdf

EU-Kommissionen fremsætter forslag til ny lovgivning for at sikre en stærkere håndhævelse af GDPR i grænseoverskridende sager

EU-Kommissionen har den 4. juli 2023 forelagt et forslag til en ny forordning for at strømline samarbejdet mellem databeskyttelsesmyndighederne ved håndhævelse af GDPR i grænseoverskridende sager. Reglerne har til formål at lette samarbejdet for databeskyttelsesmyndighederne og øge effektiviteten af håndhævelsen af GDPR. Den nye forordning opstiller konkrete procedureregler for myndighederne, når de anvender GDPR i sager, der berører personer, der befinder sig i mere end én medlemsstat.

I sager, hvor behandlingen af GDPR påvirker registrerede i mere end én medlemsstat, gælder GDPR’s »one-stop-shop« håndhævelsessystem, som skal hjælpe databeskyttelsesmyndighederne med at samarbejde og opnå konsensus om anvendelsen af GDPR i grænseoverskridende sager. Hvis det ikke er muligt for databeskyttelsesmyndighederne at opnå konsensus, giver GDPR mulighed for tvistbilæggelse ved EDPB.

Kommissionen bemærkede i sin 2020-rapport om anvendelsen af GDPR, at procedureforskelle anvendt af databeskyttelsesmyndighederne hindrer effektiviteten af GDPR’s samarbejds- og tvistbilæggelsesmekanismer. Forslaget fra Kommissionen tager afsæt i EDPB’s forslag til at strømline og forbedre proceduremæssige aspekter for at styrke samarbejdet mellem databeskyttelsesmyndighederne og sikre levering af hurtige retsmidler til enkeltpersoner.

Den nye forordning forsøger bl.a. at varetage klagers rettigheder ved at harmonisere kravene for, at en grænseoverskridende klage kan antages, og fjerne de nuværende hindringer, som er fremsat af databeskyttelsesmyndighederne efter forskellige nationale regler. Desuden er der i forslaget fastsat regler for, at klagerne inddrages ordentligt i de tilfælde, hvor en klage undersøges. Derudover varetager forordningen rettigheder for parter under undersøgelse, ved at give parterne ret til at blive hørt på centrale tidspunkter i proceduren samt ved at præcisere indholdet af den administrative sag og parternes ret til indsigt i sagen. Forordningen forsøger ligeledes at sikre strømliningen af samarbejde og tvistbilæggelse mellem databeskyttelsesmyndighederne ved at give myndighederne mulighed for at give deres synspunkter til kende tidligt i efterforskningen og ved at give dem mulighed for at gøre brug af alle de samarbejdsværktøjer, som GDPR giver. Forslagets specificering af reglerne og fælles frister for grænseoverskridende samarbejde og tvistbilæggelse skal lette en hurtig færdiggørelse af GDPR’s tvistbilæggelsesmekanisme og sikre en rettidig afslutning af undersøgelser.

Læs Kommissionens pressemeddelelse her: New rules to ensure stronger enforcement of the GDPR (europa.eu)

Læs lovforslaget her: Proposal for a Regulation laying down additional procedural rules relating to the enforcement of GDPR (europa.eu)

EU-Kommissionen vedtager ny og længe ventet tilstrækkelighedsafgørelse vedrørende dataoverførsler fra EU til USA

EU-Kommissionen vedtog den 10. juli 2023 en ny tilstrækkeligafgørelse for dataoverførsler mellem EU og USA under det såkaldte EU-U.S. Data Privacy Framework.

Den nye tilstrækkelighedsafgørelse erstatter sin forgænger; EU-U.S. Privacy Shield, som blev kendt ugyldig af EU-domstolen i Schrems II-afgørelsen.

Med den nye tilstrækkelighedsafgørelse udvides forpligtelserne, som virksomhederne skal overholde, når data overføres mellem EU og USA. Amerikanske virksomheder kan tilslutte sig beskyttelsesrammen ved aktivt at forpligte sig til disse regler via certificering.

Der indføres ligeledes en databeskyttelsesappelret, hvor registrerede kan påklage afgørelser, der vedrører overførsel af vedkommendes personoplysninger. Desuden sikres registrerede med den nye beskyttelsesramme en indsigtsret i de oplysninger, som den respektive virksomhed eller myndighed behandler om den pågældende.

Den nye rammeaftale imødekommer også EU’s betænkeligheder ift. de amerikanske efterretningstjenesters brug af data, som kom til udtryk i Schrems II-afgørelsen. Endeligt vil Kommissionen i samarbejde med såvel europæiske og amerikanske databeskyttelsesmyndigheder føre tilsyn med ordningen for at sikre, at den virker efter formålet.

Læs hele afgørelsen her: https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf

Datatilsynet udtaler kritik af arbejdsgiver for at orientere bredere kreds om baggrund for afskedigelse

Datatilsynet traf den 19. december 2022 afgørelse i sag 2021-31-5737 vedrørende en arbejdsgiver, der i flere orienteringsmails til samtlige kolleger havde angivet årsagen til en medarbejders afskedigelse.

Sagen blev indledt på baggrund af den afskediget medarbejders henvendelse til Datatilsynet med en klage over arbejdsgiverens videregivelse af medarbejderens oplysninger. Klager anførte, at arbejdsgiverens orienteringsmails var i strid med GDPR, og at oplysningerne om klager i de pågældende e-mails var urigtige. Arbejdsgiveren gjorde gældende, at formålet med orienteringen om årsagen til afskedigelsen var at sikre, at alle fik samme information for at undgå rygtedannelse. Arbejdsgiveren afviste endvidere, at oplysningerne om baggrunden for klagers afskedigelse var urigtige.

Datatilsynet udtalte kritik af arbejdsgiveren, idet oplysningerne om klagers fratrædelse i e-mails til hele arbejdspladsen gik ud over, hvad der var nødvendigt og, behandlingen kunne derfor ikke ske med hjemmel i interesseafvejningsreglen i GDPR artikel 6, stk.1, litra f.

Datatilsynet fandt, at arbejdsgiverens orientering om årsagen til klagers fratrædelse ikke kunne ske med henblik på at undgå rygtedannelse, da hensynet til klager gik forud herfor. Datatilsynet lagde i denne forbindelse vægt på, at det i en orienteringsmail om en medarbejders fratrædelse på en arbejdsplads, som udgangspunkt ikke vil være nødvendigt at informere om baggrunden for fratrædelsen. Det indgik i vurderingen, at orienteringen skete til en bredere kreds af personer, og at der blev videregivet detaljerede oplysninger om baggrunden for afskedigelsen.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/apr/kritik-af-arbejdsgiver-for-at-orientere-bredere-kreds-om-baggrund-for-afskedigelse

Læs hele Datatilsynets afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/kritik-af-arbejdsgiver-for-at-orientere-bredere-kreds-om-baggrund-for-afskedigelse

Securitas A/S’ videregivelse af personoplysninger lever op til GDPR

Datatilsynet traf den 22. december 2022 afgørelse i sag 2021-31-5654 vedrørende Securitas A/S’ (»Securitas«) videregivelse af personoplysninger i forbindelse med en sikkerhedsgodkendelse af en medarbejder.

Sagen blev indledt af Datatilsynet på baggrund af en klage fra en tidligere vagtmedarbejder, der klagede over, at Securitas, uden klagers samtykke og viden, havde videregivet oplysninger om vedkommendes jobtitel, fulde navn og personnummer til Politiets Efterretningstjeneste og Forsvarets Efterretningstjeneste i forbindelse med en sikkerhedsgodkendelse. Klager påpegede således, at videregivelsen skete uden klagers samtykke og viden, idet klager ikke havde udfyldt oplysningsskema 2, og dermed heller ikke samtykkeerklæringen.

Securitas anførte, at klager på tidspunktet for videregivelsen af personoplysningerne var ansat som vagtmedarbejder ved Securitas, og at alle vagtmedarbejdere var informeret om kravet om sikkerhedsgodkendelse via kommunikationsportalen. Securitas påpegede endvidere, at klager havde udfyldt oplysningsskema 2 og samtykkeerklæringen, da ansøgningen om sikkerhedsgodkendelse ville være blevet afvist, såfremt klager ikke havde udfyldt, underskrevet og samtykket til det.

Datatilsynet fandt, at det samtykke, som klager og Securitas henviste til, ikke udgjorde et databeskyttelsesretligt samtykke, da et samtykke efter GDPR artikel 6, stk. 1, litra a, kun sjældent vil opfylde gyldighedsbetingelsen om at være afgivet frivilligt grundet det ulige forhold, der typisk består mellem arbejdsgiveren og den ansatte.

Datatilsynet fandt imidlertid, at Securitas havde hjemmel til at videregive klagers personoplysninger i medfør af interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f. Herved lagde Datatilsynet vægt på, at indhentelsen af den pågældende sikkerhedsgodkendelse var nødvendig for, at Securitas som arbejdsgiver kunne sikre sig, at klager som arbejdstager kunne varetage de opgaver, som var nødvendige i forbindelse med ansættelsen.

Afslutningsvis fandt Datatilsynet, at videregivelsen af klagers personnummer lå inden for rammerne af lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«) § 11, stk. 2, nr. 3, hvorefter videregivelse af oplysninger om personnummer bl.a. kan ske med henblik på entydig identifikation.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/apr/videregivelse-af-personoplysninger-levede-op-til-gdpr

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2022/dec/videregivelse-af-personoplysninger-levede-op-til-gdpr

Radius behandler personoplysningerne indhentet ved fjernaflæsning af elmålere i overensstemmelse med GDPR og nationale regler

Datatilsynet traf den 10. februar 2023 afgørelse i sag 2021-31-5478 vedrørende Radius Elnet A/S’s (»Radius«), en dansk distributionsnetsvirksomhed, fjernaflæsning af deres kunders elmålere. Sagen havde været behandlet i Datarådet.

Sagen blev indledt på baggrund af, at en række borgere havde klaget over Radius’ behandling af borgernes personoplysninger i forbindelse med, at Radius fjernaflæste borgernes elforbrug og indhentede andre tekniske oplysninger via deres elmålere, og herefter delte oplysningerne med Energinet.

Radius gjorde gældende, at de indhentede oplysningerne i forbindelse med deres retlige forpligtelse efter elforsyningsloven. Derudover var indhentningen af oplysninger nødvendig for afregning samt sikring af forsyning, opbygning og balancering af elmarkedet.

Datatilsynet fandt, at adgangen til måleenhederne og behandlingen af de her indhentede oplysninger var en forudsætning for, at Radius kunne efterleve deres retlige forpligtelser. Datatilsynet lagde dels vægt på, at det fremgik klart af lovgivningen, hvad Radius forpligtelser indebærer, og dels at behandlingen af oplysningerne indhentet på den omtalte måde var en forudsætning for at efterleve disse forpligtelser.

Datatilsynet fandt samtidig, at behandlingen var i overensstemmelse med proportionalitetsprincippet i GDPR.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/maj/klage-over-radius-fjernaflaesning-af-elmaalere

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/feb/klage-over-radius-fjernaflaesning-af-elmaalere

Intern deling af oplysninger mellem myndigheder underlagt skatteforvaltningen ikke i strid med GDPR

Datatilsynet traf d. 14. marts 2023 afgørelse i sagen 2021-32-2645, hvor en borger havde klaget over, at Skattestyrelsen havde delt oplysninger om vedkommende med Gældstyrelsen.

Skattestyrelsen modtog oplysninger om klagerens arv fra Skifteretten, og delte disse oplysninger med Gældstyrelsen med henblik på inddrivelse af klagers gæld til det offentlige. Spørgsmålet var således, om videregivelsen af oplysningerne var forenelige med databeskyttelsesreglerne, idet klager mente, at delingen var sket til et uvedkommende formål og dermed var i strid med reglen om formålsbegrænsning i GDPR artikel 5, stk. 1, litra b.

Datatilsynet lagde indledningsvist til grund, at både Skattestyrelsen og Gældsstyrelsen havde hjemmel til at behandle oplysningerne som led i deres almindelige myndighedsopgaver. Det var således udelukkende et spørgsmål om videregivelsens lovlighed.

Videregivelse af personoplysninger må udelukkende ske til udtrykkeligt angivne og legitime formål. I den forbindelse konkluderede Datatilsynet, at der i den konkrete sag var tale om et legitimt formål, idet der foreligger en betydelig sammenhæng mellem de udvekslende myndigheders opgaver og formålene med disse opgaver. Det blev særligt fremhævet, at begge myndigheders virke handler om statens »provenu«, og at klager måtte kunne forvente, at oplysninger om dennes indtægter (arv) vil blive anvendt i forbindelse med gældsinddrivelsen.

Datatilsynet konkluderede derfor, at videregivelsen af oplysningerne internt mellem myndighederne, der begge er en del af skatteforvaltningen, ikke var i strid med GDPR.

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/berettiget-at-skatteforvaltningen-delte-personoplysninger-internt

Datatilsynet udtaler kritik af Hovedstadens Beredskab for mangelfuld behandlingssikkerhed i deres ESDH-system

Datatilsynet traf den 22. marts 2023 afgørelse i sag 2022-442-21566. Sagen vedrørte Hovedstadens Beredskab I/S (»Hovedstadens Beredskab«), som havde haft en brud på persondatasikkerheden ved at samtlige brugere af virksomhedens elektroniske sags- og dokumenthåndteringssystem (»ESDH-system«) i perioden mellem maj 2022 og november 2022 havde haft adgang til i alt 2.029 nuværende og tidligere medarbejderes personoplysninger.

Hovedstadens Beredskab anmeldte selv bruddet til Datatilsynet i november 2022, da de blev opmærksomme på problemet. Bruddet skyldtes en manglende differentiering i de enkelte brugeres adgangsrettigheder til oplysningerne i ESDH-systemet. Dette medførte, at seks brugere af systemet i perioden havde tilgået personoplysninger for hvem oplysningerne var uvedkommende, mens alle brugere havde haft mulighed for at tilgå oplysningerne.

Datatilsynet udtalte kritik af Hovedstadens Beredskab, idet virksomheden ikke havde sikret differentieringen af brugeradgange til personoplysningerne i ESDH-systemet og Datatilsynet fandt på den baggrund, at Hovedstadens Beredskab ikke havde iagttaget sin pligt efter GDPR artikel 32, stk. 1 om en tilstrækkelig sikkerhed ved behandling af personoplysninger.

Datatilsynet tillagde det vægt, at de mere end 190 brugere af systemet alle havde haft adgang til oplysningerne i hele perioden, og at det til dels på tidspunktet for afgørelsens afsigelse fortsat var muligt at tilgå oplysninger. Derudover blev det tillagt vægt, at der var tale om fortrolige oplysninger om blandt andet beskyttede adresser og personnumre, som alene en HR-afdeling burde have haft adgang til.

Datatilsynet fastslog vedrørende kravet om tilstrækkelig behandlingssikkerhed efter GDPR artikel 32, at dette indebærer, at de enkelte brugeres adgang til systemer med personoplysninger skal være begrænset til hvad der er et nødvendigt, arbejdsbetinget behov for den enkelte bruger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/maj/kritik-af-hovedstadens-beredskabs-mangelfulde-rettighedsstyring

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/kritik-af-hovedstadens-beredskabs-mangelfulde-rettighedsstyring

Alvorlig kritik af Rigspolitiet

Datatilsynet traf den 28. marts 2023 afgørelse i sag 2022-32-2939 vedrørende Rigspolitiets videregivelse af oplysninger til Aalborg Universitet om en borger, der havde modtaget en fartbøde, men gjort indsigelse mod bødeforelægget, og afventede domstolenes behandling af sagen.

Sagen blev indledt af Datatilsynet på baggrund af en række henvendelser fra borgere, hvis oplysninger om, at de havde modtaget en fartbøde, var videregivet af Rigspolitiet til Aalborg Universitet til brug for forskningsprojektet Intervention Against Speed Offenders (EASE). Forskningsprojektet havde til formål at forebygge hastighedsovertrædelser i trafikken gennem onlinelæring om trafiksikkerhed. En af henvendelserne til Datatilsynet var fra en borger, der havde gjort indsigelse mod bødeforlægget og afventede domstolenes behandling af sagen.

Borgeren gjorde gældende, at oplysningen ikke kunne videregives, før lovovertrædelsen var endeligt stadfæstet, uanset at videregivelsen skete til forskningsformål. Borgeren anførte, at det ikke var nødvendigt for Rigspolitiet at videregive oplysningerne til Aalborg Universitet, idet Rigspolitiet havde mulighed for at skelne mellem bilister, som havde vedtaget bøden, og bilister, som havde klaget over bøden.

Datatilsynet fandt, at oplysningerne var nødvendige for, at Aalborg Universitet kunne invitere relevante personer til at deltage i forskningsprojektet, som havde til formål at forebygge hastighedsovertrædelser i trafikken.

Datatilsynet fandt imidlertid, at Rigspolitiets videregivelse af klagers personoplysninger var sket i strid med GDPR artikel 5, stk. 1, litra b og c, da Rigspolitiets videregivelse af oplysninger om klager ikke var sket til et sagligt og relevant formål, fordi det på tidspunktet for videregivelsen fortsat måtte anses for at have haft formodningen imod sig, at klager havde overtrådt færdselsloven, indtil sagen var blevet afgjort, og at forskningsprojektets målgruppe var personer, der havde overtrådt færdselsloven. På baggrund af dette udtalte Datatilsynet alvorlig kritik af Rigspolitiet.

Afslutningsvis fandt Datatilsynet grundlag for at påbyde Rigspolitiet at ophøre med at videregive oplysninger til Aalborg Universitet om personer, der har modtaget et bødeforlæg og gjort indsigelse, førend sagen er endeligt afgjort ved domstolene.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/apr/alvorlig-kritik-af-rigspolitiet

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/alvorlig-kritik-af-rigspolitiet

Datatilsynet udtaler alvorlig kritik af Boligportalen for deres behandling af personoplysninger for besøgende på Boligportalens hjemmeside og giver et påbud

Datatilsynet traf den 20. april 2023 afgørelse i sag 2021-7329-0052. Sagen vedrørte BoligPortal.dk ApS’s (»Boligportalen«) indsamling af personoplysninger på deres hjemmeside ved brug af Facebook Business Tools.

Sagen blev indledt på baggrund af en klage over Boligportalens brug af Facebook Business Tools på deres hjemmeside. Klagen blev indsendt af nonprofit organisationen None of Your Business (»NOYB«) og blev behandlet som en del af den såkaldte »Taskforce 101«, som en af de 101 klager der blev indsendt af NOYB til en række europæiske datatilsyn i 2020.

Boligportalen anvendte de såkaldte Facebook Business Tools til at indsamle personoplysninger om besøgende på deres hjemmeside, men kunne ikke påvise, at denne indsamling blev foretaget i overensstemmelse med GDPR. Datatilsynet udtalte kritik af, at Boligportalen således ikke overholdte deres forpligtelse efter GDPR artikel 5, stk. 2, hvorefter den dataansvarlige skal være i stand til at påvise, at de behandler personoplysninger efter principperne om blandt andet lovlighed, rimelighed og gennemsigtighed efter GDPR artikel 5, stk. 1.

Udover at Boligportalen ikke kunne påvise, at de overholdte GDPR, fandt Datatilsynet det endvidere kritisabelt, at Boligportalen ikke havde en tilstrækkelig rolle- og ansvarsfordeling, som forpligtet til efter GDPR artikel 26, mellem Boligportalen og Meta Ireland, som var fælles dataansvarlige for behandlingen af personoplysninger indsamlet ved de besøgende på Boligportalens hjemmeside.

Datatilsynet kritiserede Boligportalen for ikke at have undersøgt, i samarbejde med Meta Ireland, om personoplysninger fra hjemmesiden blev behandlet uden for EU/EØS. Boligportalen havde derfor ikke sikret, at reglerne for overførsel af data til lande uden for EU/EØS blev overholdt.

Samlet udtalte Datatilsynet alvorlig kritik Boligportalen, som samtidig fik et påbud om at bringe deres behandling af personoplysninger på deres hjemmeside i overensstemmelse med GDPR artikel 5, stk. 1, litra a, artikel 5, stk. 2, artikel 24, stk. 1 og artikel 26. inden den 18. maj 2023.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jun/alvorlig-kritik-og-paabud-til-boligportal-for-brug-af-facebook-business-tools

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/apr/alvorlig-kritik-og-paabud-til-boligportal-for-brug-af-facebook-business-tools

Nyt vejledningsunivers om GDPR til mindre virksomheder

Datatilsynet offentliggjorde den 4. maj 2023 et nyt vejledningsunivers om GDPR til mindre virksomheder.

Formålet med vejledningsuniverset er at gøre databeskyttelsesreglerne mere overskuelige for mindre virksomheder, der ikke har egne juridiske afdelinger eller en ansat jurist. Vejledningsuniverset er indrettet på en måde, der har til formål at formidle reglerne på en letforståelig og tilgængelig måde. Ved hjælp af konkrete eksempler, en step-by-step guide og uddybende ekstramateriale gøres GDPR mere pædagogisk og spiseligt.

Step-by-step guiden består af syv trin og skal tjene som en huskeliste til virksomhederne og dermed medvirke til at skabe et overblik over tiltag, som måtte være relevante for den respektive virksomhed. Hvert trin beskrives i lægmandstermer og indeholder konkrete eksempler, som kunne være relevante for virksomhederne.

Ekstramaterialet består af en række relevante begrebsdefinitioner og en udførlig FAQ, hvor virksomhederne kan finde svar på nogle ofte stillede spørgsmål.

Derudover tilbyder Datatilsynet også en udvidet telefonservice, hvor virksomhederne har mulighed for at konsultere hjælp.

Læs Datatilsynets pressemeddelelse her : https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/maj/gdpr-for-smaa-virksomheder

Datatilsynet indskærper, at indsigtsretten er en personlig rettighed – også for umyndige

Datatilsynet udtalte sig i en pressemeddelelse den 8. maj 2023 om omfanget af den databeskyttelsesretlige indsigtsret angående børn.

Udtalelsen kom i forlængelse af en undersøgelse af Gribskov kommune, efter at Datatilsynet i november 2022 blev opmærksom på, at kommunen generelt afviste at give en forældremyndighedsindehaver indsigt i personoplysninger om et fælles barn, medmindre der forelå tilsagn fra begge forældremyndighedsindehavere.

Ifølge GDPR artikel 15, stk. 1, har den registrerede ret til bekræftelse på og oplysninger om behandlingen af dennes personoplysninger. Det følger herudover af GDPR artikel 12, stk. 2, at den dataansvarlige skal lette udøvelsen af den registreredes rettigheder.

Datatilsynet understregede, at indsigtsretten er en personlig rettighed, og at barnet således er selvstændig rettighedshaver. Datatilsynet bemærkede dog, at denne indsigtsret kan udøves af en forældre på barnets vegne for at understøtte muligheden for, at barnet kan nyde den fulde beskyttelse af sine rettigheder.

Datatilsynet udtalte i den forbindelse, at det er tilstrækkeligt, hvis én forældremyndighedsindehaver udøver retten, uden at der hertil kan kræves tilsagn fra en eventuel anden forældre.

Kommunens praksis om at kræve tilsagn fra begge forældremyndighedsindehavere ville således besværliggøre udøvelse af indsigtsretten og dermed være i strid med GDPR artikel 12, stk. 2.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/maj/naar-foraeldre-soeger-om-indsigt-i-barnets-oplysninger-

Læs Datatilsynets brev til Gribskov kommune her : https://www.datatilsynet.dk/Media/638188008150537548/Brev%20til%20Gribskov%20Kommune.pdf

Datatilsynet udtaler kritik af Kriminalforsorgen for at undlade undersøgelse af muligt brud på persondatasikkerhed

Datatilsynet har den 31. maj 2023 truffet afgørelse i sag 2021-816-0292 om den danske Kriminalforsorgs (»Kriminalforsorgen«) behandling af et brud på persondatasikkerheden. I sagen udtalte Datatilsynet kritik af Kriminalforsorgen, idet myndigheden ad flere omgange blev bekendt med oplysninger om et muligt brud, men trods henvendelserne undlod at undersøge forholdet før efter seks måneder fra første henvendelse.

De faktiske omstændigheder, som dannede ramme om sagen, var en personalegruppes oprettelse af en chatgruppe på Facebooks beskedtjeneste Messenger. Heri foregik tjenstlig kommunikation hos de ansatte i Kriminalforsorgen om såvel indsatte i Storstrøm Fængsel som de ansatte. I den forbindelse delte en medarbejder over for ledelsen i Storstrøm Fængsel den 11. november 2020, at chatgruppen eksisterede, og at medarbejderen var af den overbevisning, at der blev delt arbejdsrelaterede oplysninger. Først den 12. april 2021 rettede fængslets ledelse imidlertid henvendelse til Kriminalforsorgens databeskyttelses- og informationssikkerhedsmedarbejder, og ikke før den 4. august 2021 blev hændelsen anmeldt som et brud på persondatasikkerheden til Datatilsynet.

Datatilsynet lægger i den forbindelse til grund, at en dataansvarlig som udgangspunkt er bekendt med et brud på persondatasikkerheden, når en medarbejder hos den dataansvarlige gøres bekendt med bruddet. I den forbindelse tillagde Datatilsynet det således vægt, at medarbejderen, der indgav den oprindelige henvendelse, allerede den 11. november 2020 var bekymret for, at der i chatgruppen blev delt arbejdsrelaterede oplysninger. Sådanne indikationer på brud på persondatasikkerheden bør ifølge Datatilsynet foranledige den dataansvarlige til at foretage yderligere undersøgelser med henblik på at afklare forholdet.

På baggrund heraf udtalte Datatilsynet kritik over, at Kriminalforsorgen, ved ikke at have undersøgt hændelsen med fornøden hastighed og i forlængelse heraf indgivet rettidig anmeldelse af bruddet til Datatilsynet, ikke havde handlet i overensstemmelse med lov nr. 410 af 27. april 2017 § 28, stk. 1 (»retshåndhævelsesloven«). Efter denne bestemmelse skal den dataansvarlige myndighed uden unødig forsinkelse og om muligt, senest 72 timer efter at den dataansvarlige blevet bekendt med bruddet, indgive anmeldelse til Datatilsynet.

Læs Datatilsynets pressemeddelelse her:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jun/kritik-af-kriminalforsorgen-for-ikke-at-afklare-muligt-brud-i-tide

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/maj/kritik-af-kriminalforsorgen-for-ikke-at-afklare-muligt-brud-i-tide

Datatilsynet træffer afgørelse om Statens Serum Instituts opfyldelse af oplysningspligten

Datatilsynet traf den 2. juni 2023 afgørelse 2021-432-0070 i en tilsynssag mod Statens Serum Institut (»SSI«). Sagen, som blev behandlet i Datarådet, handlede om, hvorvidt SSI kunne undlade at opfylde sin databeskyttelsesretlige oplysningspligt med henvisning til, at denne opfyldelse ville være forbundet med en uforholdsmæssig stor indsats.

Sagen opstod, efter Datatilsynet blev bekendt med, at SSI ikke foretog underretning om behandling af personoplysninger til de registrerede i forbindelse med modtagelse af blodprøver mv. fra regionerne med henblik på analyse samt i de tilfælde, hvor SSI besluttede at gemme restmateriale i Danmarks Nationale Biobank.

Det følger af GDPR artikel 14, stk. 1-3, at den dataansvarlige, når personoplysninger ikke indsamles hos den registrerede, skal give oplysninger om behandlingen til den registrerede. Det følger dernæst af artikel 14, stk. 4, at når den dataansvarlige vil viderebehandle personoplysninger til et andet formål end oprindelige indsamlingsformål, skal den dataansvarlige give den registrerede underretning om dette formål. Der knytter sig imidlertid den undtagelse til bestemmelserne, at oplysningspligten kan undlades, såfremt det vil være forbundet med uforholdsmæssigt store vanskeligheder at give denne underretning jf. GDPR artikel 14, stk. 5, litra b.

SSI gjorde gældende, at undtagelsen fandt anvendelse, eftersom SSI modtager og gemmer et meget stort antal prøver, og at en manuel og individuel underretning til de registrerede ville kræve en uforholdsmæssigt stor administrativ og en ikke ubetydelig økonomisk byrde. Det blev i den forbindelse bemærket, at SSI’s IT-system ikke var indrettet til at kunne givet automatiseret underretning.

Datatilsynet fandt, at undtagelsen i 14, stk. 5 litra b, skal fortolkes indskrænkende, at formålet med oplysningspligten er at sikre gennemsigtighed med behandling af personoplysninger, og at den dataansvarlige derfor som udgangspunkt skal sikre dette. Dernæst udtalte Datatilsynet, at det er en betingelse for anvendelse af undtagelsesbestemmelsen, at vanskelighederne forbundet med opfyldelse af oplysningspligten skal skyldes det forhold, at oplysningerne er indsamlet hos andre end den registrerede. Dette var ikke tilfældet, eftersom vanskelighederne skyldtes indretningen af SSI’s eget system, der ikke understøttede en mulighed for på nemmere vis at underrette de registrerede.

Datatilsynet anmodede derfor SSI om en redegørelse for, hvordan instituttet fremadrettet vil opfylde sin oplysningspligt inden for en frist på 3 måneder.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/maj/afgoerelse-om-statens-serum-instituts-opfyldelse-af-oplysningspligten

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/feb/statens-serum-instituts-opfyldelse-af-oplysningspligten

Brøndby IF får lov til udvidet brug af ansigtsgenkendelse

Datatilsynet gav den 9. juni 2023 Brøndby IF tilladelse til at anvende ansigtsgenkendelse i forbindelse med kampe på andre stadions end Brøndby Stadion. Datatilsynet gav ydermere Brøndby IF lov til at anvende overvågningsbilleder fra stadion til at registrere personer, der overtræder ordensreglementet, i systemet til automatisk ansigtsgenkendelse.

Tilbage i maj 2019 gav Datatilsynet, i henhold til § 7, stk. 4, i lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«), Brøndby IF tilladelse til at behandle særlige kategorier af personoplysninger i forbindelse med Brøndby IF’s etablering af automatisk ansigtsgodkendelse som led i adgangskontrol ved indgangene til Brøndby Stadion. Efterfølgende anmodede Brøndby IF om udvidelse af denne tilladelse, således at Brøndby IF fremover også kunne anvende ansigtsgenkendelse i forbindelse med Brøndby IF’s udebanekampe, dvs. kampe på andre stadions end Brøndby Stadion. Brøndby IF anmodede endvidere om tilladelse til at anvende billeder fra overvågningskameraer på stadion som grundlag for at registrere personer, der overtræder ordensreglementet, i systemet til automatisk ansigtsgodkendelse.

Datatilsynets opfattelse var, at de forhold, der begrundede tilladelse til brug af automatisk ansigtsgenkendelse i forbindelse med adgangskontrol ved indgangene til Brøndby Stadion, ligeledes gjorde sig gældende for så vidt angik Brøndby IF’s udebanekampe. Datatilsynet vurderede også, at Brøndby IF inden for rammerne af tilladelsen kan anvende overvågningsbilleder fra kameraer på stadion som grundlag for at registrere personer, der overtræder ordensreglementet, i systemet til automatisk ansigtsgodkendelse. Brøndby IF skal dog fortsat overholde tilladelsens vilkår.

Ydermere påpegede Datatilsynet, at anvendelsen af overvågningsbilleder kan være omfattet af reglerne i § 4 c, stk. 4 og 5, i lovbekendtgørelse nr. 182 af 24. februar 2023 om tv-overvågning (»den danske tv-overvågningslov«). I den forbindelse finder Datatilsynet det nærliggende at anse Brøndby IF’s meddelelse og håndhævelse af en karantæne som behandling af en konkret tvist, hvorfor opbevaringen af overvågningsbilleder vil kunne forlænges udover den generelle slettefrist på 30 dage i den danske tv-overvågningslov.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jun/broendby-if-har-faaet-lov-til-udvidet-brug-af-ansigtsgenkendelse

Læs hele Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/tilladelser/2023/jun/2022-51-0375

Datatilsynet udtaler alvorlig kritik af utilstrækkelig sikkerhed ved MitID

Datatilsynet traf den 23. juni 2023 to afgørelser i sagerne 2022-431-0171 og 2022-432-0079 over for henholdsvis Digitaliseringsstyrelsen og Signaturgruppen.

Begge afgørelser angik det samme hændelsesforløb i januar 2022, hvor flere borgere fejlagtigt fik adgang til andre borgeres konti ved forsøg på login i deres netbank via MitID. Fejlen skyldtes, at flere login-anmodninger til samme netbank inden for millisekunder kunne resultere i udstedelsen af et adgangsgivende token fra MitID til en anden brugers session. Fejlen kunne være undgået ved hjælp af en valideringsteknologi kaldet Broker Security Context, som Digitaliseringsstyrelsen havde anbefalet, men ikke stillet som krav. Signaturgruppen havde ikke implementeret Broker Security Context i overensstemmelse med anbefalingens nærmere specifikationer.

Signaturgruppens rolle i sagen som såkaldt broker varat videreformidle loginoplysninger fra Digitaliseringsstyrelsen til netbanken, hvilket grundet samtidighedsfejlen i systemet medførte behandling af ukorrekte data. Signaturgruppen var i denne henseende selvstændigt dataansvarlig for behandling og videregivelse af data, mens Digitaliseringsstyrelsen var dataansvarlig for MitID.

Ifølge Datatilsynet var der i sagerne tale om en skærpet risikoprofil, da der forelå en netbank-løsning med risiko for bl.a. utilsigtet adgang til andres personoplysninger om økonomiske forhold samt dispositionsadgangen til at kunne foretage transaktioner med retskraft.

Datatilsynet fandt, at hverken Signaturgruppen eller Digitaliseringsstyrelsen havde overholdt deres forpligtelser efter GDPR artikel 32, stk. 1. Digitaliseringsstyrelsen skulle således, henset til de betydelige risici, have stillet det som et obligatorisk krav at anvende Broker Security Context i modsætning til blot at anbefale dette. Signaturgruppen skulle efter en tilsvarende risikobetragtning have fulgt anbefalingen til trods for, at den ikke var fremsat som et obligatorisk krav.

På den baggrund udtalte Datatilsynet alvorlig kritik af såvel Digitaliseringsstyrelsen som Signaturgruppen. Digitaliseringsstyrelsen gjorde efterfølgende anbefalingen til et obligatorisk krav, mens Signaturgruppen har implementeret Broker Security Context i overensstemmelse med anbefalingen og de dertilhørende specifikationer.

Læs datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jun/alvorlig-kritik-af-utilstraekkelig-sikkerhed-ved-mitid

Læs hele afgørelsen over for Digitaliseringsstyrelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/jun/alvorlig-kritik-af-digitaliseringsstyrelsen-for-utilstraekkelig-sikkerhed-ved-mitid

Læs hele afgørelsen over for Signaturgruppen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/jun/alvorlig-kritik-af-signaturgruppen-for-utilstraekkelig-sikkerhed-ved-mitid

Datatilsynet offentliggør en opdateret vejledning om adfærdskodekser

Datatilsynet offentliggjorde den 26. juni 2023 en revideret udgave af Datatilsynets vejledning om adfærdskodekser. Datatilsynet reviderede deres vejledning på baggrund af ny praksis på området som fulgte af et nyt adfærdskodeks fra Kirkeministeriet samt offentliggørelsen af en vejledning om adfærdskodekser fra EDPB.

Den reviderede vejledning uddyber processen for udarbejdelse af en adfærdskodeks med det formål at præcisere og lette processen for udarbejdelsen, for ansøgerne. Herudover er vejledningen opdateret i overensstemmelse med de krav EDPB opstiller i deres vejledning fra 2019. På baggrund heraf fastlægger Datatilsynet også i den reviderede vejledning, hvilke minimumskrav Datatilsynet selv stiller til en adfærdskodeks.

Datatilsynet har til vejledningen tillagt en ansøgningsblanket til godkendelse af adfærdskodeks ved Datatilsynet med det formål at lette processen herfor og dermed fremme flere godkendelser af adfærdskodekser. Datatilsynet har tillige inkluderet en tjekliste, som kan gennemgås inden indsigelse af et adfærdskodeks til Datatilsynet.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jun/datatilsynets-vejledning-om-adfaerdskodekser-er-revideret

Læs Datatilsynets vejledning her: https://www.datatilsynet.dk/Media/638233755631220855/Vejledning%20om%20adf%C3%A6rdskodekser.pdf

Læs Datatilsynets ansøgningsblanket her: https://view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.datatilsynet.dk%2FMedia%2F638233760790882718%2FAns%25C3%25B8gningsblanket%2520%2520til%2520godkendelse%2520af%2520adf%25C3%25A6rdskodeks.docx&wdOrigin=BROWSELINK

Datatilsynet offentliggør vejledning om brugen af tv-overvågning i private virksomheder

Datatilsynet offentliggjorde den 27. juni 2023 en ny vejledning om tv-overvågning. Denne vejledning er målrettet private virksomheder og giver et samlet overblik over, hvilke love og regler private virksomheder skal være opmærksomme på, når de anvender tv-overvågning.

Vejledningen gennemgår de krav, som virksomhederne skal opfylde, for at måtte anvende tv-overvågning, herunder hvilke behandlingsgrundlag, der skal eksistere for, at virksomhederne må anvende tv-overvågning, samt hvor og hvornår virksomhederne må tv-overvåge. Vejledningen gennemgår også en række sikkerhedsmæssige foranstaltninger, som virksomhederne skal overveje i forbindelse med brug af tv-overvågning.

Herudover vejledes der om, hvilke pligter virksomheden har i forbindelse med udførelse og opbevaring af tv-overvågningsbilleder ved en gennemgang af blandt andet pligten til at skiltning og oplysningspligten. Vejledningen præciserer også den registreredes indsigtsret i tv-overvågningsoptagelserne, og hvornår virksomheden er forpligtet til at imødekomme en sådan anmodning om indsigt fra den registrerede.

Endeligt bemærker Datatilsynet i deres pressemeddelelse, at der planlægges udgivelser af yderligere vejledninger om tv-overvågning, som vil være målrettet blandt andet offentlige myndigheder og boligorganisationer.

Læs Datatilsynets pressemeddelelse her:https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jun/ny-vejledning-om-tv-overvaagning-maalrettet-private-virksomheder

Læs Datatilsynets vejledning her: https://www.datatilsynet.dk/Media/638234600620556007/Vejledning%20om%20tv-overv%C3%A5gning%20-%20private%20virksomheder.pdf

Datatilsynet udsteder ny vejledning om direkte markedsføring

Datatilsynet offentliggjorde den 30. juni 2023 en ny vejledning om virksomheders brug af direkte markedsføringsaktiviteter.

Vejledningen har sit primære fokus på de databeskyttelsesretlige regler, der finder anvendelse i forbindelse med direkte markedsføring. Vejledningens målgruppe er rådgivere og andre, der har erfaring med databeskyttelse. Foruden de databeskyttelsesretlige regler kaster vejledningen lys over andre retsreglers relevans og samspil med databeskyttelsesretten i forskellige sammenhænge, herunder navnlig markedsføringsretten og forbrugeraftaleretten.

Vejledningen beskriver, hvordan man som dataansvarlig skal indtænke de databeskyttelsesretlige regler allerede inden markedsføringsaktiviteten igangsættes, særligt princippet om »privacy by design and default« i GDPR artikel 25 og de grundlæggende principper i GDPR artikel 5.

Vejledningen giver herudover eksempler på nogle af de mest udbredte markedsføringsaktiviteter, såsom telefonisk markedsføring, brevpost, elektroniske henvendelser på e-mail og sms, sociale medier, og deres forenelighed med de databeskyttelsesretlige regler. Endelig forklarer vejledningen, hvordan de databeskyttelsesretlige regler skal overholdes, når der udføres segmentering, profilering og automatiske afgørelser.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jun/ny-vejledning-om-direkte-markedsfoering

Læs Datatilsynets vejledninge her: https://www.datatilsynet.dk/Media/638237218449834564/Vejledning%20om%20direkte%20markedsf%C3%B8ring.pdf