Gå til innhold

Lov&Data

4/2023: Personvern
20/12/2023

Nyt om persondataret i Danmark og EU

Av Tue Goldschmieding, partner i Gorrissen Federspiel og en av de danske redaktørene for Lov&Data.

Teksten "gorrissen federspiel" med en sollignende form foran, i grøn på hvid baggrund, digital illustration.

Hollandsk certificeringsorgan er tæt på at kunne certificere databeskyttelsesretlige behandlingsaktiviteter

Det Europæiske Databeskyttelsesråd (»EDPB«) vedtog den 20. september 2023 certificeringskriterier opstillet af det hollandske certificeringsorgan »Brand Compliance B.V.«. Certificeringsorganet er dermed snart i stand til at kunne certificere databehandlende virksomheder og myndigheders behandlingsaktiviteter.

Vedtagelsen af det hollandske organs certificeringskriterier skete som et led i en certificeringsordning, hvorefter et certificeringsorgan, på baggrund af en række af EDPB godkendte kriterier, kan attestere at virksomheder og myndigheder lever op til kriterierne.

Udover at opnå godkendelse fra EDPB vedrørende certificeringskriterierne skal certificeringsorganet opfylde nationalt opstillede krav fra det relevante datatilsyn.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/sep/edpb-vedtager-certificeringskriterier

Læs EDPB’s udtalelse om certificeringskriterierne her: https://edpb.europa.eu/our-work-tools/our-documents/opinion-board-art-64/opinion-152023-draft-decision-dutch-supervisory_en

Læs EDPB’svejledning om certificering og udarbejdelse af certificeringskriterier her: https://www.datatilsynet.dk/Media/637547600317033066/Vejledning%20om%20certificeringsordninger.pdf

EDPB udgiver ny vejledning om fortolkning og anvendelse af reglerne for overførsel af personoplysninger til tredjelande

Det Europæiske Databeskyttelsesråd (»EDPB«) vedtog den 19. september 2023 en ny vejledning for overførsel af personoplysninger til tredjelande omfattet af såkaldte fornødne garantier, der er reguleret ved artikel 37 i Europa-Parlamentets og Rådets direktiv 2016/680/EU af 27. april 2016 (»retshåndhævelsesdirektivet«). Artikel 37 giver medlemsstaterne ret til at fastsætte bestemmelser om overførsel af personoplysninger til et tredjeland, hvis der er givet de fornødne garantier for beskyttelsen af oplysningerne.

Vejledningen uddyber og beskriver begrebet »fornødne garantier«, som er centralt for artikel 37 i retshåndhævelsesdirektivet, samt kravene til disse garantier ved overførsel af personoplysninger foretaget af retshåndhævende myndigheder. EDPB afklarer desuden anvendelsen og fortolkningen af de to angivne overførselsgrundlag i retshåndhævelsesdirektivets artikel 37, stk. 1, litra a og b, samt forpligtelserne til dokumentation og underretning i artikel 37, stk. 2 og 3.

Særligt understreger vejledningen, at retshåndhævelsesdirektivets artikel 37 skal anvendes under hensyn til, at beskyttelsesniveauet inden for EU/EØS ikke må undermineres i forbindelse med overførsler af personoplysninger til tredjelande.

Vejledningen er i høring frem til den 8. november 2023.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/sep/ny-vejledning-om-overfoersel-af-personoplysninger-til-tredjelande-paa-retshaandhaevelsesomraadet

Læs EDPB’s vejledning her: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2023/guidelines-012023-article-37-law-enforcement_en

Fælles udtalelse fra europæiske databeskyttelsesorganer om forslag til nye procedureregler for grænseoverskridende sager

Den 19. september 2023 vedtog Det Europæiske Databeskyttelsesråd (»EDPB«) sammen med Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) en fælles udtalelse om EU-Kommissionens (»Kommissionen«) forslag til supplerende procedureregler for håndhævelse af Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«).

Kommissionens forslag, der blev fremsat den 4. juli 2023, sigter mod at fastsætte procedureregler for tilsynsmyndighedernes håndtering af grænseoverskridende klager og undersøgelser. Formålet er at harmonisere kravene til oplysninger i grænseoverskridende klager og afstemme visse rettigheder for de involverede parter.

I deres udtalelse støttede EDPB og EDPS Kommissionens forslag. De anbefalede dog yderligere harmonisering, herunder fastsættelse af fælles forældelsesfrister. De opfordrede desuden til en styrkelse af bestemmelser vedrørende enighed blandt tilsynsmyndigheder, herunder tidligere inddragelse af berørte tilsynsmyndigheder i samarbejdsproceduren for at undgå senere uenigheder om sagsbehandlingen. Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/sep/edpb-og-edps-vedtager-faelles-udtalelse-om-forslag-til-nye-procedureregler-for-graenseoverskridende-sager

Læs EDPB’s og EDPS’ fælles udtalelse her: https://edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-012023-proposal_en

Læs EDPB’s pressemeddelelse her: https://edpb.europa.eu/news/news/2023/swift-adoption-regulation-streamline-cross-border-enforcement-needed_en

EDPB vedtager udtalelse om Europa-Kommissionens gennemgang af Japans tilstrækkelighedsafgørelse

Det Europæiske Databeskyttelsesråd (»EDPB«) vedtog på et plenarmøde den. 18. juli 2023 en udtalelse om den første gennemgang af den japanske tilstrækkelighedsafgørelse, som blev offentliggjort af EU-Kommissionen (»Kommissionen«) den 3. april 2023, og som udsprang af Kommissionens gennemførelsesafgørelse (EU) 2019/419 af 23. januar 2019.

Udtalelsen fokuserede primært på vurderingen af de kommercielle aspekter, da der i den japanske lovramme var blevet vedtaget ændringer siden den japanske tilstrækkelighedsafgørelse og frem til Kommissionens gennemgang, hvilket havde ført til yderligere overenstemmighed med GDPR. Trods den øgede konvergens mellem den japanske lovgivning og GDPR, var der fortsat nogle områder, som efter EDPB’s vurdering krævede overvågning fra Kommissionens side. Det omhandlede blandt andet den nye kategori af »pseudonymiserede« personoplysninger i japansk ret. Kommissionen havde derfor forpligtet sig til at overvåge spørgsmålene nøje.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/jul/edpb-udgiver-informationsnote-om-eu-us-data-privacy-framework

Læs EDPB’s pressemeddelelse her: https://edpb.europa.eu/news/news/2023/edpb-informs-stakeholders-about-implications-dpf-and-adopts-statement-first-review_en

Læs EDPB’s udtalelse her: Statement 1/2023 on the first review of the functioning of the adequacy decision for Japan | European Data Protection Board (europa.eu)

Ny informationsnote fra EDPB om overførsel af personoplysninger fra EU til USA

Under et møde i Det Europæiske Databeskyttelsesråd (»EDPB«) den 18. juli 2023, præsenterede EU-Kommissionen (»Kommissionen«) den såkaldte EU-U.S. Data Privacy Framework (»Tilstrækkelighedsafgørelsen«), som er vedtaget på baggrund af en aftale mellem Kommissionen og USA. I forlængelse af Kommissionens præsentation har EDPD vedtaget en informationsnote om aftalen med henblik på at afdække Tilstrækkelighedsafgørelsens betydning for datapersoner i EU og for enheder, der overfører persondata fra EU til USA.

EDPD understregede, at aftalen udgør et tilstrækkeligt og lovligt overførselsgrundlag til at overføre personoplysninger til USA. Der kan således fra Tilstrækkelighedsafgørelsens ikrafttræden den 10. juli 2023 overføres personoplysninger til USA uden at tilvejebringe et overførselsgrundlag i overensstemmelse med GDPR artikel 46.

Tilstrækkelighedsafgørelsen er dog begrænset til organisationer i USA, der er certificeret hos det amerikanske handelsministerium og fremgår af »Data Privacy Framework List«. Dette betyder, at eventuelle underdatabehandlere, til den ellers certificerede amerikanske virksomhed, tillige skal fremgå af »Data Privacy Framework List«.

Tilstrækkelighedsafgørelsen vil blive evalueret et år efter ikrafttrædelsesdatoen med henblik på at kontrollere, om alle elementer er blevet fuldt implementeret og fungerer effektivt i praksis.

Læs pressemeddelelsen her: https://edpb.europa.eu/our-work-tools/our-documents/other-guidance/information-note-data-transfers-under-gdpr-united-0_en

Irsk datatilsyn giver bøde og påbud til TikTok for brud på rimelighedsprincippet efter GDPR

Det irske datatilsyn traf den 1. september 2023 en endelig afgørelse i en sag angående det sociale medie TikTok’s behandling af 13–17 årige brugeres personoplysninger.

Afgørelsen blev truffet på baggrund af en bindende afgørelse fra Det Europæiske Databeskyttelsesråd (»EDPB«), hvor EDPB havde vurderet to konkrete pop-up notifikationer på TikTok, der henvendte sig til børn i alderen 13–17 år. EDPB vurderede, at denne designpraksis fra TikTok var i strid med rimelighedsprincippet i GDPR, eftersom notifikationerne ikke præsenterede brugeren for valgmuligheder på en objektiv og neutral måde. Nærmere blev de unge brugere nudgettil at gøre deres videoer offentligt tilgængelige, da der i pop-up vinduet for deling af opslag var fremhævet knappen for offentlig adgang, og genvejen til privatindstillinger var gjort længere og sværere at identificere. EDPB henstillede det irske datatilsyn til at inkludere overtrædelsen i tilsynets endelige afgørelse, og udstede påbud om at bringe TikTok’s designpraksis i overensstemmelse med GDPR.

Det irske datatilsyn fulgte EDPB’s henstilling, og udstedte et påbud samt en bøde på 345 millioner euro, svarende til ca. 2,6 milliarder kroner, til TikTok.

Læs Datatilsynets pressemeddelelse her : https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/sep/tiktok-faar-boede-og-paabud

Læs den irske pressemeddelelse her: https://www.dataprotection.ie/en/news-media/press-releases/DPC-announces-345-million-euro-fine-of-TikTok

Læs EDPB’s pressemeddelse her : https://edpb.europa.eu/news/news/2023/following-edpb-decision-tiktok-ordered-eliminate-unfair-design-practices-concerning_en

EDPS offentliggør to udtalelser i forbindelse med Europa-Kommissionens forslag

Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) offentliggjorde den 22. august 2023 to udtalelser vedrørende to forslag fra EU-Kommissionen (»Kommissionen«).

Den første udtalelse omhandlede Kommissionens forslag til Europa-Parlamentets og Rådets forordning om en ramme for adgang til finansielle data og om ændring af forordning (EU) 1093/2010 af 24. november 2010, (EU) 1094/2010 af 24. november 2010, (EU) 1095/2010 af 24. november 2010 og (EU) 2554/2022 af 14. december 2022. Den anden udtalelse omhandlede Kommissionens forslag til Europa-Parlamentets og Rådets forordning om betalingstjenester i det indre marked og om ændring af forordning (EU) 1093/2010 og et forslag til Europa-Parlamentets og Rådets direktiv om Europa-Parlamentets og Rådets direktiv om betalingstjenester og elektroniske pengetjenester i det indre marked om ændring af direktiv 98/26/EF af 19. maj 1998 og om ophævelse af direktiv 2015/2366/EU af 25. november 2015 og 2009/110/EF af 16. september 2009.

Kommissionens to forslag havde til formål at fremme deling af data for at udvide udbuddet af finansielle tjenester og produkter, samtidig med at enkeltpersoner eller organisationer kunne få kontrol over behandlingen af deres finansielle data. EDPS støttede bestræbelserne på at sikre forslagenes overensstemmelse med GDPR, men kom desuden med nogle generelle bemærkninger og anbefalinger for de enkelte forslag. EDPS fremhævede slutteligt, at de fortsat ville overvåge udviklingen af forslagene og de eventuelt yderligere planlagte gennemførelsesforanstaltninger.

Læs EDPS’ pressemeddelelse her: https://edps.europa.eu/press-publications/press-news/press-releases/2023/financial-and-payment-services-use-personal-data-should-remain-proportionate-and-fair_en

Læs den ene opinion her: https://edps.europa.eu/data-protection/our-work/publications/opinions/2023-08-22-edps-opinion-382023-regulation-framework-financial-data-access_en

Læs den anden opinion her. https://edps.europa.eu/data-protection/our-work/publications/opinions/2023-08-22-edps-opinion-392023-regulation-payment-services-internal-market-and-directive-payment-services-and-electronic-money-services-internal-market_en

EDPS offentliggør afgørelse om EU-Domstolens brug af Cisco Webex og relaterede tjenester

Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) offentliggjorde den 13. juli 2023 en afgørelse, der fastslog, at en afgørelse fra EU-domstolens om brug af Cisco Webex-videokonferencer og relaterede tjenester opfyldte databeskyttelsesstandarderne i henhold til forordning (EU) 1725/2018 af 23. oktober 2018.

Afgørelsen blev af EDPS udstedt på grundlag af en revideret aftale mellem EU-Domstolen og Cisco. Aftalen skulle sikre, at behandlingen af enkeltpersoners personoplysninger kun fandt sted i EU/EØS. EDPS støttede op om Domstolens medtagen af tekniske og organisatoriske foranstaltninger for at forhindre de risici, der var forbundet med overførsler af personoplysninger uden for EU/EØS.

EDPS opfordrede slutteligt alle EU’s institutioner, organer, kontorer og agenturer til at respektere databeskyttelseslovgivningen, når de benyttede sig af cloud-baserede tjenester. EDPS ville i tråd hermed stå til rådighed ved at yde relevant rådgivning og vejledning til hjælp for de databeskyttelsesansvarlige.

Læs EDPS’ pressemeddelelse her: https://edps.europa.eu/press-publications/press-news/press-releases/2023/edps-finds-cjeus-use-cloud-videoconferencing-services-complies-data-protection-law_en

Læs EDPS’ beslutning her: https://edps.europa.eu/data-protection/our-work/publications/authorisation-decisions-transfers/2023-07-13-edps-cjeus-use-cisco-webex-video-and-conferencing-tools_en

Hotelkæde idømmes bøde på 1 mio. kr. for ulovlig opbevaring af personoplysninger

Østre Landsret traf den 20. august 2023 afgørelse i sag S-494-22 vedrørende hotelkæden Arp-Hansen Hotel Group A/S (»Arp-Hansen«) manglende efterlevelse af frister for sletning af personoplysninger.

Arp-Hansen havde selv fastsat en frist, hvorefter oplysninger om hotelgæster, der ikke havde foretaget en ny booking inden for 380 dage, skulle slettes. Fristen på 380 dage var fastsat ud fra et ønske om at »kunne byde kunden velkommen tilbage«, hvis der var tale om en kunde, som inden for en periode på ca. 1 år foretog en ny booking. Hotelkæden havde dermed selv vurderet, at det ikke var nødvendigt at opbevare profiloplysningerne i længere tid end 380 dage. Landsretten fandt, på baggrund heraf, at opbevaring i længere tid end denne frist var i strid med GDPR art. 5, nr. 1, litra e. Hotelkæden var ifølge Datatilsynet i besiddelse af omkring 500.000 kundeprofiler, som burde være blevet slettet på tidspunktet for Datatilsynets tilsynsbesøg.

Landsretten fastsatte med hensyntagen til hotelkædens årsregnskab for 2018 bøden til 1 mio. kr., hvilket lå tæt på Datatilsynets forudgående bødeindstilling på 1,1 mio. kr. Sagen var tidligere behandlet ved Retten i Lyngby, hvor Arp-Hansen ligeledes blev fundet skyldig, men hvor flertallet fandt at straffen skulle bortfalde.

Direktør for Datatilsynet, Christina Angela Gulisano, udtalte efterfølgende, at afgørelsen er vigtig i den forstand, at den er med til at fastlægge praksis for bødeniveauet for private virksomheder.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/sep/landsretten-giver-boede-paa-1-mio-kr-til-hotelkaede

Læs Østre Landsrets nyhed her: https://domstol.dk/oestrelandsret/aktuelt/2023/9/hotelkaede-straffet-med-boede-paa-1-mio-kr/

Læs Østre Landsrets præmisser her: https://domstol.dk/media/lqrm43yq/praemis-s-494-22.pdf

Datatilsynet har udgivet nyt katalog om forebyggelse af snageri

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 18. september 2023 sit katalog over tiltag, organisationer kan gøre brug af til minimering af risiko for, at medarbejderne uberettiget slår op i registre. Datatilsynet fremhævede, at omfanget af misbrug kan begrænses gennem b.la. systematisk rettighedsstyring, gode kontrolprocedurer og effektiv håndhævelse.

I kataloget fremgår b.la. at myndigheder kan implementere centraliseret rettighedsstyring og anvende specialiserede systemer til automatisk oprettelse, ændring eller fjernelse af brugeradgange baseret på oplysninger fra en pålidelig kilde, herunder f.eks. gennem et lønsystem. Myndighederne kan desuden sikre kontrol med medarbejderes færden i IT-systemer. Endelig påpegede Datatilsynet, at myndighederne kan iværksætte awareness-tiltag, der sikrer, at alle medarbejdere kender organisationens afgrænsning af, hvilke opslag der er henholdsvis berettigede og uberettigede.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/sep/hvordan-kan-snageri-forebygges

Læs Datatilsynets vejledende tekst her : https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/kan-snageri-forebygges

Datatilsynet udtaler alvorlig kritik af Region Sjælland for manglende sikkerhedsforanstaltninger

Det danske Datatilsyn (»Datatilsynet«) udtalte den 13. september 2023 alvorlig kritik af, at Region Sjællands behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i GDPR artikel 32, stk. 1.

Kritikken henvendte sig til Region Sjællands manglende sikkerhed, idet medarbejdere hos Region Sjælland via forsiden i Sundhedsplatformen havde adgang til patientlister på tværs af alle Region Sjællands hospitaler. Det havde betydning for Datatilsynets afgørelse, at hele 16.322 medarbejdere var blevet autoriseret adgang til listerne.

Styrelsen for Patientsikkerhed havde forinden udtalt, at der ikke forelå vægtige årsager, der kunne begrunde den brede adgang til patientlisterne.

Det følger af GDPR artikel 32, stk. 1, at dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger. Datatilsynet mente, at kravet om passende sikkerhed ikke var blevet overholdt af Region Sjælland. Kritikken var baseret på, at de som dataansvarlig ikke løbende havde kontrolleret, om brugeradgangen til systemet var begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende bruger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/sep/region-sjaelland-faar-alvorlig-kritik-for-manglende-sikkerhedsforanstaltninger-

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/sep/region-sjaelland-faar-alvorlig-kritik-for-manglende-sikkerhedsforanstaltninger-

Købmand var ikke berettiget til at videregive oplysninger om arbejdstageres strafbare forhold

Det danske Datatilsyn (»Datatilsynet«) traf den 5. september 2023 afgørelse i en sag med journalnummer 2023-832-0081, vedrørende en klage over en købmand i Meny, der havde videregivet klagerens personoplysninger, herunder oplysninger om strafbare forhold, til klagerens tidligere chef i Lagkagehuset.

Datatilsynet vurderede, at der var grundlag for at udtale alvorlig kritik af købmanden i Meny. Kritikken var begrundet i, at købmanden mundtligt havde videregivet oplysninger om klagerens involvering i en straffesag, der førte til klagerens bortvisning fra Meny-butikken.

Datatilsynet fastslog, at beskrivelsen af det pågældende strafbare forhold, der var årsag til klagerens bortvisning, ikke var nødvendigt for at beskytte virksomhedens legitime interesser. Som følge heraf kunne videregivelsen af disse oplysninger ikke retfærdiggøres i henhold til § 8 stk. 4, om videregivelse af oplysninger om strafbare forhold i lov nr. 502 af 23. maj 2018 (»Den danske databeskyttelseslov«).

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/sep/koebmand-i-meny-faar-alvorlig-kritik-for-at-videregive-oplysninger-om-strafbare-forhold

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/sep/koebmand-i-meny-faar-alvorlig-kritik-for-at-videregive-oplysninger-om-strafbare-forhold

Datatilsynet kritiserer manglende dokumentation af brud på persondatasikkerhed

Det danske Datatilsyn (»Datatilsynet«) udsendte den 25. september 2023 en pressemeddelelse om sine seneste afgørelser om kommuners og bankers håndtering af brud på persondatasikkerheden. I 2021 udførte Datatilsynet tilsyn i otte større kommuner og otte større banker. Kommunerne og bankerne blev opdelt i hver deres gruppe og oplistet fra færrest til flest anmeldte brud.

I forhold til den gruppe med flest anmeldte brud fokuserede tilsynene bl.a. på, om kommunerne og bankerne havde truffet passende sikkerhedsforanstaltninger med henblik på at reducere antallet af brud på persondatasikkerheden. For gruppen med færrest anmeldte brud fokuserede tilsynet på, om kommunerne og bankerne havde dokumenteret og anmeldt overtrædelser i overensstemmelse med kravene i GDPR. Datatilsynet kunne konkludere, at alle dataansvarlige havde indført egnede procedurer og vejledninger samt udført relevante uddannelsesaktiviteter med henblik på at støtte opfyldelsen af reglerne om databeskyttelse.

I to tilfælde blev der fremsagt alvorlig kritik af kommuner, som ikke havde dokumenteret overtrædelser af persondatasikkerheden. En kommune havde ikke dokumentation for overtrædelser i perioden fra 25. maj 2018 til september 2019, og en anden havde undladt at dokumentere overtrædelser fra 2018.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/sep/nye-afgoerelser-16-tilsyn-med-kommuners-og-bankers-haandtering-af-brud-

Læs Datatilsynets kritik af Frederikshavn Kommune her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/aug/frederikshavn-kommune-

Læs Datatilsynets kritik af Roskilde Kommune her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/aug/roskilde-kommune

Datatilsynet skærper praksis om anvendelsen af »auto-complete« i mailprogrammer

Det danske Datatilsyn (»Datatilsynet«) oplyste i en pressemeddelelse den 29. august 2023, at det nu vil skærpe praksis om organisationers anvendelse af funktionen »auto-­complete« i mailprogrammer.

Funktionen »auto-complete« kan være tidsbesparende, men den medfører en risiko for, at e-mails bliver sendt til en forkert modtager. Hvis disse mails indeholder personoplysninger, resulterer det i et brud på persondatasikkerheden, når eksempelvis kontaktoplysninger, helbredsoplysninger, personnumre og oplysninger om strafbare forhold fremsendes til en forkert modtager. Datatilsynet oplevede mere end 100 af den type brud alene i 2022.

Hidtil har organisationer i vidt omfang alene indført organisatoriske foranstaltninger såsom retningslinjer om kommunikation og øget awareness om problemstillingen. Fremadrettet skal organisationer, der sender e-mails med fortrolige/følsomme oplysninger, også indføre tekniske sikkerhedsforanstaltninger for at mindske risikoen. Denne skærpede praksis er efter Datatilsynets opfattelse i overensstemmelse med GDPR artikel 32, stk. 1, hvorefter den dataansvarlige skal træffe passende organisatoriske og tekniske sikkerhedsforanstaltninger for at sikre et sikkerhedsniveau, der svarer til de risici, der er ved behandlingen af personoplysninger.

Datatilsynet har ledsaget pressemeddelelsen med en uddybning af den skærpede praksis, som efter en overgangsperiode træder i kraft den 1. marts 2024

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/aug/datatilsynet-skaerper-praksis-i-forhold-til-anvendelsen-af-%E2%80%9Dauto-complete%E2%80%9D-i-mailprogrammer

Læs Datatilsynets uddybning af den skærpede praksis her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/auto-complete-af-e-mailadresser

Datatilsynet har ikke taget stilling til, om Google Analytics er lovligt

Det danske Datatilsyn (»Datatilsynet«) havde i en pressemeddelelse den 31. juli 2023 oplyst, at der i den seneste periode havde været flere medier, der rapporterede at Datatilsynet havde bekræftet lovligheden af at anvende Google Analytics. Dette kom i kølvandet på den såkaldte EU-U.S. Data Privacy Framework (»Tilstrækkelighedsafgørelsen«), som sikrer et lovligt beskyttelsesniveau for overførsel af personoplysninger fra EU til USA.

Datatilsynet udtalte sig imidlertid ikke om Google Analytics specifikt og tog således ikke stilling til, hvorvidt brugen af Google Analytics var lovlig. Tilsynet understregede, at selvom overførsler af personoplysninger til USA under visse omstændigheder igen var lovlige og ikke krævede et overførselsgrundlag, var der stadig mange databeskyttelsesretlige krav, der skulle opfyldes. Dette var også gældende ved eventuel brug af Google Analytics.

I lyset af Tilstrækkelighedsaftalen ville Datatilsynet i den kommende tid opdatere sine vejledninger om bl.a. brugen af Google Analytics.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jul/brug-af-google-analytics-kraever-ikke-kun-lovlige-overfoersler-til-usa

Datatilsynet udtaler kritik af Rigspolitiet for ikke at foretage den nødvendige kontrol for søgning i informationssystemer

Det danske Datatilsyn (»Datatilsynet«) traf den 14. juli 2023 afgørelse i sag 2023-421-0112 vedrørende det danske Rigspolitis manglende overholdelse af betingelserne for søgning i Visuminformationssystemet og EURODAC-systemet.

Datatilsynet havde undersøgt tre anmodninger om adgang til Visuminformationssystemet og EURODAC, som Rigspolitiet modtog igennem de sidste fire år. I alle tre sager havde Datatilsynet konstateret, at Rigspolitiet ikke havde efterlevet de lovpligtige betingelser for søgning i systemerne.

På baggrund af en anmodning fra politikredsene, havde Rigspolitiet mulighed for at søge i de pågældende systemer, hvis visse betingelser var opfyldt. Betingelserne var reguleret i henholdsvis Rådets afgørelse 2008/633/RIA af 23. juni 2008 (»VIS-afgørelsen«) og Europa-Parlamentets og Rådets forordning (EU) 603/2013 af 26. juni 2013 (»EURODAC-forordningen«).

For så vidt angår søgningerne i Visuminformationssystemet konstaterede Datatilsynet, at den påkrævede kontrol i ét tilfælde ikke var blevet foretaget, og i et andet tilfælde ikke var foretaget i tilstrækkelig grad.

I forhold til søgningen i EURODAC fandt Datatilsynet, at Rigspolitiet ikke havde foretaget en indledende søgning i Visuminformationssystemet, inden der blev foretaget en søgning i EURODAC.

Datatilsynet udtalte på den baggrund kritik af Rigspolitiets manglende efterlevelse af de påkrævede betingelser for søgning i de to systemer.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/jul/kritik-af-rigspolitiet-for-ikke-at-overholde-betingelser-for-soegning-i-eu-informationssystemer-

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/aug/kritik-af-rigspolitiet-for-ikke-at-overholde-betingelser-for-soegning-i-eu-informationssystemer-

Datatilsynet offentliggør ny vejledning om rollefordeling i forskningsprojekter

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde en ny vejledning om den databeskyttelsesretlige rollefordeling i forskningsprojekter.

Da forskningsprojekter ofte involverer mange parter, kan der tilsvarende opstå flere forskellige databeskyttelsesmæssige roller. Fastlæggelsen af de forskellige roller er derfor ofte en udfordrende vurdering, der kan være kompleks at foretage i praksis. Formålet med vejledningen er at hjælpe med at identificere roller og ansvarsområder blandt forskere og forskningsinstitutioner og i den forbindelse skabe klarhed om håndteringen af personoplysninger i forskningsprojekter.

Vejledningen var udarbejdet på baggrund af input fra et specialudvalg og indeholder praktiske eksempler på forskellige konstruktioner af rollefordelingen i forskningsprojekter. Herudover indeholder vejledningen en række momenter, som parterne bør lægge vægt på, når det skal vurderes, hvilken databeskyttelsesretlig rolle man selv eller andre involverede parter har i forbindelse med forskning.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jul/ny-vejledning-om-rollefordeling-i-forskningsprojekter

Læs vejledningen her: https://www.datatilsynet.dk/Media/638249156623762439/Rollefordeling%20i%20forskningsprojekter.pdf

Datatilsynets vejledende tekst om sletning af personoplysninger fra søgemaskiner

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 13. juli 2023 en ny vejledende tekst om sletning fra søgemaskiner, der udbyggede den allerede eksisterende vejledning på området.

Formålet med den vejledende tekst var at imødekomme de mange borgerhenvendelser, som Datatilsynet havde modtaget, hvor flere borgere havde udtrykt deres tvivl om deres rettigheder til at få personoplysninger om sig selv slettet fra en søgemaskine.

Den vejledende tekst fremhævede som det første, at borgerne i nogle tilfælde har ret til at få personoplysninger om sig selv slettet af den dataansvarlige, der oftest vil være platforme som eksempelvis Google og Bing. Betingelserne for sletning fremgår af GDPR artikel 17, stk. 1. Vejledningen fremhævede også de undtagelser, der gælder til ovenstående bestemmelse, hvorefter man som borger ikke har ret til at få slettet personoplysninger om sig selv fra søgemaskiner. Undtagelserne fremgår af GDPR artikel 17, stk. 3.

Udover den vejledende tekst offentliggjorde Datatilsynet en video om sletning fra søgemaskiner. Videoen fremhævede samme formål; at informere borgerne om deres rettigheder på området for sletning af personoplysninger fra søgemaskiner.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/jul/hvad-gaelder-naar-du-vil-have-slettet-dine-oplysninger-fra-en-soegemaskine

Læs Datatilsynets vejledende tekst og video her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/internet-medier-og-apps-/soegemaskiner

Datatilsynet har udtalt alvorlig kritik af boligforening for at forsømme borgers indsigtsret

Det danske Datatilsyn (»Datatilsynet«) traf den 3. juli 2023 en afgørelse i sag 2022-31-6316, hvor det udtalte alvorlig kritik af en boligforening. Sagen angik den databeskyttelsesretlige indsigtsret.

Sagen opstod i forbindelse med husordenssager i en boligforening, som klageren til Datatilsynet var involveret i. Klager anmodede i forbindelse med sagerne boligforeningen om indsigt i sine personoplysninger men blev afvist. Boligforeningen begrundede afvisningen med, at den ikke var omfattet af reglerne om aktindsigt i de danske offentligheds- og forvaltningslove. Boligforeningen forbeholdt sig desuden retten til ikke at give indsigt, før Datatilsynet traf afgørelse i klagesagen.

Det følger af GDPR artikel 15, stk. 1 og stk. 3, at den registrerede har ret til indsigt i sine personoplysninger samt ret til at få en kopi heraf. Det forhold, at boligforeningen ikke havde taget stilling til GDPR artikel 15, men alene de danske offentligheds- og forvaltningslove, var i strid med artikel 15. Yderligere var der det forhold, at boligforeningen forbeholdt sig retten til at vente med at give indsigt, indtil Datatilsynet havde truffet afgørelse. Datatilsynet udtalte, at der ikke gælder nogen ret for den dataansvarlige til at tillægge en klage til Datatilsynet opsættende virkning for udøvelse af den databeskyttelsesretlige indsigtsret, og på den baggrund udtalte datatilsynet grov kritik.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/jul/boligforening-faar-alvorlig-kritik-for-at-naegte-borger-indsigt-

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/sep/boligforening-faar-alvorlig-kritik-for-at-naegte-borger-indsigt-

Datatilsynet har udtalt kritik af OrderYOYOs håndtering af anmodning om indsigt og sletning

Det danske Datatilsyn (»Datatilsynet«) traf den 27. marts 2023 afgørelse i sag 2021-31-5667, hvor det udtalte kritik af OrderYOYO. Sagen drejede sig om GDPR’s regler om håndtering af anmodninger om indsigt i og sletning af personoplysninger.

Efter at klager benyttede OrderYOYOs bestillingsplatform til at bestille mad, men efterfølgende afbrød købet før betaling, modtog vedkommende markedsføringsmails fra OrderYOYO. Dette fik klager til at anmode OrderYOYO om indsigt i og sletning af sine personoplysninger. Det skete først 5 måneder efter i forbindelse med, at Datatilsynet henvendte sig på grund af klagen. Den manglende besvarelse viste sig at skyldes en menneskelig fejl.

Det følger af GPDR artikel 15, stk. 1, at den registrerede har ret til at få bekræftet om vedkommendes personoplysninger bliver behandlet samt at få adgang til disse. GDPR artikel 17 giver den registrerede ret til sletning uden unødig forsinkelse. Af GDPR artikel 12, stk. 3, følger det, at den dataansvarlige senest en måned efter anmodningen oplyser om foranstaltningerne er truffet.

Som følge af den menneskelige fejl, og på baggrund af de 5 måneders ventetid, udtalte Datatilsynet kritik af OrderYOYOs manglende efterlevelse af GDPR artikel 12, stk. 3 jf. stk. 15 og 17.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/kritik-af-orderyoyos-haandtering-af-anmodning-om-indsigt-og-sletning

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/sep/kritik-af-orderyoyos-haandtering-af-anmodning-om-indsigt-og-sletning-

Datatilsynet har udtalt sig om, hvorvidt leverandøren af colocation skal anses som databehandler

Det danske Datatilsyn (»Datatilsynet«) forholdt sig den 17. marts 2023 i en udtalelse med journalnummer 2022-212-3470 til, hvorvidt leverandøren af colocation faciliteter skal anses for databehandler for den behandling af personoplysninger, som serverne i leverandørens colocation facilitet benyttes til.

Ved »colocation« forstås som regel et datacenter, hvor en It-virksomhed (leverandøren) mod betaling stiller en fysisk placering, strømforsyning, internet samt dertilhørende sikkerhed til rådighed for andre virksomheders servere.

Det fremgår af GDPR artikel 4, nr. 8, at en databehandler, er en fysisk eller juridisk person, der behandler personoplysninger på en dataansvarliges vegne. Datatilsynet tog i sagen stilling til, om leverandøren af colocation anses som databehandler for de virksomheder hvis servere, de opbevarer.

Datatilsynet kom frem til, at leverandøren som udgangspunkt ikke skal anses som databehandler, eftersom colocation ydelsen er af ren praktisk karakter i form af fysiske faciliteter mv., og at leverandøren sædvanligvis ikke skal behandle personoplysninger på vegne af den dataansvarlige.

Datatilsynet understregede dog også, at der kun var tale om et udgangspunkt, og at en række omstændigheder kan føre til, at leverandøren i visse situationer alligevel må anses som databehandler. Det kan eksempelvis være tilfældet, hvis leverandøren faktisk har adgang til eller skal håndtereserverne, eller hvis de skal levere tillægsydelser som »firewall, backup« mv., der indebærer behandling af personoplysninger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/okt/skal-leverandoeren-af-colocation-anses-som-databehandler

Læs Datatilsynets fulde besvarelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/mar/skal-leverandoeren-af-colocation-anses-som-databehandler

Tue Goldschmieding
Tue Goldschmieding, portrett