Domstolen i sag om behandling af helbredsoplysninger

Domstolen traf den 21. december 2023 afgørelse i sag C-667/21. Sagen var en præjudiciel forelæggelse indgivet af den tyske forbundsdomstol i arbejdsretlige sager, Bundesarbeitsgericht.

Den tyske forbundsdomstol i arbejdsretlige sager skulle træffe afgørelse i en national sag mellem to parter angående et erstatningsspørgsmål hvor en arbejdsgiver angiveligt havde behandlet oplysninger vedrørende en arbejdstagers helbred ulovligt. I forbindelse med behandlingen af sagen opstod tvivl om fortolkningen af de EU-retlige databeskyttelsesregler.

Tvisten drejede sig om, hvorvidt Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 9, stk. 2, litra h) om undtagelsen til behandling af helbredsoplysninger fandt anvendelse i sagen. I bekræftende fald ønskede den tyske forbundsdomstol at vide, hvilke regler om beskyttelse af helbredsoplysninger der skal overholdes i denne forbindelse, samt i tilfælde der er sket en overtrædelse af GDPR og hvilken erstatning der eventuelt skal betales i henhold til GDPR artikel 82.

Domstolen kom frem til, at GDPR artikel 9, stk. 2, litra h) ikke udelukker, at undtagelsen finder anvendelse på situationer, hvor et medicinsk kontrolorgan behandler helbredsoplysninger om en af sine ansatte i egenskab af medicinsk tjeneste med henblik på at vurdere denne ansattes erhvervsevne. Desuden kom Domstolesen frem til, at pligten til at sikre, at ingen kollega til den registrerede kan få adgang til oplysninger om dennes helbredstilstand ikke følger af GDPR artikel 9, stk. 3, men kan følge af en lovgivning vedtaget af en medlemsstat samt i henhold til princippet om integritet og princippet om fortrolighed som fastsat i forordningens artikel 5, stk. 1, litra f).

Domstolen bemærkede herefter, at en behandling af helbredsoplysninger på grundlag af GDPR artikel 9, stk. 2, litra h) for at være lovlig skal overholde mindst én af de betingelser for lovlig behandling, der er fastsat i GDPR artikel 6, stk. 1. Det er endvidere en betingelse for at den dataansvarlige kan ifalde ansvar i henhold til GDPR artikel 82, at denne har pådraget sig skyld, og at der er en formodning for dette, medmindre den dataansvarlige beviser andet, og at bestemmelse ikke kræver, at der tages hensyn til graden af skylden ved fastsættelsen af størrelsen af erstatningen.

Læs hele dommen her:

https://curia.europa.eu/juris/document/document.jsf?text=&docid=280768&pageIndex=0&doclang=DA&mode=lst&dir=&occ=first&part=1&cid=802131

Domstolen om GDPR’s principper om »lovlighed«, behandlingens nødvendighed, ret til sletning

Domstolen traf den 7. december 2023 afgørelse i sag C-26/22 og C-64/22. Sagen var en præjudiciel forelæggelse indgivet af den tyske forvaltningsdomstol, Verwaltungsgericht.

Den tyske forvaltningsdomstol skulle træffe afgørelse i en national sag mellem to parter angående sletning af opbevarede oplysninger om gældssaneringer. I forbindelse med behandlingen af sagen opstod tvivl om fortolkningen af de EU-retlige databeskyttelsesregler.

Tvisten drejede sig om, hvorvidt GDPR artikel 77, stk. 1 om ret til at indgive klage til en tilsynsmyndighed sammenholdt med artikel 78, stk. 1 om adgang til effektive retsmidler over for en tilsynsmyndighed har karakter af en afgørelse af et andragende eller en realitetsafgørelse truffet af en myndighed. Tvisten omhandlede desuden hvorvidt en opbevaring af oplysninger fra et offentligt register hos et privat kreditoplysningsbureau er foreneligt med charterets artikel 7 og 8 samt om adfærdskodekser der indeholder frister for kontrol og sletning, som går ud over opbevaringsfristerne for offentlige registre, som er godkendt af tilsynsmyndighederne i henhold til GDPR artikel 40 suspendere den afvejning, der skal finde sted i henhold til GDPR artikel 6, stk. 1, første afsnit, litra f).

EU-domstolen kom frem til, at GDPR artikel 78, stk. 1, skal fortolkes således, at en klageafgørelse, der er vedtaget af en tilsynsmyndighed, er underlagt en fuldstændig domstolsprøvelse. Herudover udtalte EU-domstolen, at GDPR artikel 5, stk. 1, litra a) sammenholdt med GDPR artikel 6, stk. 1, første afsnit, litra f) er til hinder for en praksis i private kreditoplysningsbureauer, der består i, at de i deres egne databaser opbevarer oplysninger fra et offentligt register om gældssanering om oplysninger vedrørende fysiske personers kreditværdighed i en periode, der er længere end den periode, hvori oplysningerne opbevares i det offentlige register.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=280428&pageIndex=0&doclang=da&mode=lst&dir=&occ=first&part=1&cid=795883

Domstolen har udtalt sig om begreberne »behandling« og »dataansvarlig« i forbindelse med udvikling af en IT-mobilapplikation

Domstolen afsagde den 5. december 2023 dom i C-863/21. Sagen angik en præjudiciel anmodning indgivet af den regionale forvaltningsdomstol i Litauen under en sag mellem det nationale folkesundhedscenter i Litauen (»CNSP«) over for den nationale tilsynsmyndighed for behandling af personoplysninger (»tilsynsmyndigheden«).

Tvisten udsprang af en bøde, som tilsynsmyndigheden havde pålagt CNSP som følge af en overtrædelse af flere bestemmelser i GDPR i tilknytning til anvendelsen af en mobilapplikation. CNSP fik i sin tid udviklet mobilapplikationen af en ekstern IT-virksomhed (»ITSS«) men der blev aldrig indgået en formel kontrakt mellem parterne og erhvervelsesprocessen blev efterfølgende afsluttet uden aftale.

Spørgsmålene for Domstolen angik herefter fortolkning af begreberne »dataansvarlig«, »fælles dataansvarlige« og »behandling« samt muligheden for planlæggelse af administrative bøder.

Domstolen udtalte for det første, at en enhed der har givet en virksomhed til opgave at udvikle en applikation og deltaget ved fastlæggelsen af formålene den heriomfattede behandling af personoplysninger, skal anses for dataansvarlig. Dette gælder uanset, at enheden ikke selv har foretaget behandling eller erhvervet applikationen.

For det andet udtalte domstolen, at to enheder kan anses for fælles dataansvarlige, uanset om der foreligger en ordning mellem dem om fastlæggelsen af formålene eller hjælpemidlerne til databehandling eller vilkår om det fælles dataansvar. Kvalificering som fælles dataansvarlig følger alene af, at flere enheder har deltaget i fastsættelsen af formålene og hjælpemidlerne til databehandling.

Domstolen udtalte for det tredje, at brug af personoplysninger til IT-testning af en applikation udgør »behandling« efter GDPR artikel 4, stk. 1, nr. 2, medmindre der er tale om anonymiserede oplysninger.

Vedrørende spørgsmålet om muligheden for pålæg af administrative bøder, udtalte Domstolen, at det kræver forsæt eller uagtsomhed for at bringe GDPR’s administrative sanktioner i anvendelse. Der gælder ingen regel om objektivt ansvar, og der er ikke ved EU-retten overladt de enkelte medlemsstater en skønsmargin i forhold til de materielle betingelser, der kræves for at bringe en bestemmelse om administrativ bøde i anvendelse.

Læs Domstolens afgørelse her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=280324&pageIndex=0&doclang=da&mode=lst&dir=&occ=first&part=1&cid=782382

Domstolen træffer afgørelse om registreredes ret til indsigt i patientjournaler

Domstolen afsagde den 26. oktober 2023 afgørelse i sag C-307/22. Sagen vedrørte en tvist mellem FT, der var tandlæge, og DW, der var patient, idet FT havde givet afslag til DW på at give en første kopi af dennes patientjournal gratis. Det gav under behandling af sagen ved Forbundsdomstolen i Tyskland udslag i fortolkningstvivl af GDPR.

Forbundsdomstolen i Tyskland forelagde tre præjudicielle spørgsmål for Domstolen, der vedrørte fortolkningen af artikel 12, stk. 5, artikel 15, stk. 1 og 3, henholdsvis artikel 23, stk. 1, litra i) i GDPR.

Domstolen konkluderede, at artikel 12, stk. 5, om anmodninger fra registrerede og artikel 15, stk. 1 og 3, om retten til indsigt i GDPR skulle fortolkes således, at forpligtelsen for den dataansvarlige til vederlagsfrit at give den registrerede en første kopi af de behandlede personoplysninger om vedkommende gælder, selvom anmodningen ikke er begrundet i et af de i præambelbetragtning nr. 63 nævnte formål.

Derudover fandt Domstolen, at artikel 23, stk. 1, litra i), om begrænsninger i GDPR skulle fortolkes således, at en national lov, der af hensyn til at beskytte den dataansvarliges økonomiske interesser, ikke må pålægge den registrerede at betale udgifterne til en første kopi af de personoplysninger om vedkommende, der er genstand for behandling.

Slutteligt konkluderede Domstolen, at artikel 15, stk. 3, om retten til indsigt i GDPR skal fortolkes således, at det i et læge/patient-forhold gælder, at retten til at modtage en kopi af personoplysninger indebærer, at den registrerede skal have udleveret en nøjagtig og forståelig gengivelse af alle disse oplysninger, og at dette indebærer retten til at få udleveret en komplet kopi.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=279125&pageIndex=0&doclang=da&mode=lst&dir=&occ=first&part=1&cid=782382

Ny EU-dom om fortolkning af begrebet »behandling« af personoplysninger

Den 5. oktober 2023 afsagde Domstolen afgørelse i sag C-659/22 angående en anmodning om præjudiciel afgørelse indgivet af Tjekkiets øverste forvaltningsretlige domstol.

Anmodningen angik fortolkningen af begrebet »behandling« af personoplysninger, som omhandlet i GDPR artikel 4, nr. 2. Sagen blev indgivet i forbindelse med et nationalt søgsmål mellem RK på den ene side og det tjekkiske Sundhedsministerie på den anden side.

I det nationale søgsmål havde RK anlagt sag mod sundhedsministeriet på baggrund af en foranstaltning, som ministeriet havde opstillet i forbindelse covid-19-pandemien. Foranstaltningen krævede validering af gyldigheden af covid-19-vaccinations-, test- og restitutionscertifikater for adgang til specifikke indendørs- og udendørsområder samt deltagelse i massebegivenheder eller andre aktiviteter. Dette pålagde kunderne (tilskuerne, deltagerne) at fremlægge dokumentation for, at de opfyldte disse betingelser, og pålagde operatørerne (arrangørerne) at kontrollere betingelserne ved hjælp af ministeriets mobilapplikation.

Det præjudicielle spørgsmål vedrørte, hvorvidt kontrollen af disse oplysninger gennem den nationale mobilapplikation udgjorde en »behandling« af personoplysninger som omhandlet i GDPR artikel 4, nr. 2.

Domstolen konkluderede, at begrebet »behandling« skal fortolkes bredt, og at kontrollen af de pågældende betingelser ved hjælp af mobilapplikationen udgjorde en »behandling« i henhold til GDPR artikel 4, nr. 2. Dette blev begrundet ud fra en ordlydsfortolkning, hvor domstolen særligt lagde vægt på udtrykket »enhver aktivitet«, idet EU-lovgiver ved denne formulering har haft til hensigt at give begrebet en vid rækkevidde. Denne fortolkning er i øvrigt i overensstemmelse med GDPR’s formål om at sikre effektivitet af den grundlæggende ret til beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

Læs hele dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=278248&pageIndex=0&doclang=DA&mode=lst&dir=&occ=first&part=1&cid=782382

Cookie-løfte-initiativ skal hjælpe med at beskytte brugernes grundlæggende rettigheder og friheder

Det Europæiske Databeskyttelsesråd (»EDPB«) vedtog på sit seneste plenarmøde den 13. december 2023 et brev som svar til Europa-Kommissionen (»Kommissionen«) vedrørende det frivillige cookie-løfte-­initiativ.

Cookie-initiativet havde til formål at beskytte brugernes grundlæggende rettigheder og friheder samt give dem mulighed for at træffe effektive valg og øge gennemsigtighed. Initiativet blev udviklet af Kommissionen og bestod af et frivilligt virksomhedsløfte om at forenkle håndteringen af cookies og brugernes valg af personaliserede reklamer. Kommissionen havde den 10. oktober 2023 bedt EDPB om at overveje, om nogle af principperne i udkastet ville være i konflikt med GDPR samt Europa-Parlamentets og Rådets direktiv 2002/58/EF af 12. juli 2002 (»ePrivacy«).

EDPB gjorde i sit svar opmærksom på, at organisationers overholdelse af principperne i cookie-løftet ikke ville være ensbetydende med overholdelse af GDPR eller ePrivacy. Udkastet ville sikre, at brugerne havde større kontrol over behandling af deres data, herunder at der ikke spørges om samtykke igen i et år efter, at dette har været nægtet fra brugerens side. Databeskyttelsesmyndighederne vil fortsat være kompetente til at udøve deres beføjelser, når dette vil være nødvendigt.

Læs pressemeddelelsen her: https://edpb.europa.eu/news/news/2023/edpb-cookie-pledge-initiative-should-help-protect-fundamental-rights-and-freedoms_en

Læs vedtagelsen her: https://edpb.europa.eu/our-work-tools/our-documents/letters/edpb-reply-commissions-initiative-voluntary-business-pledge_en

EDPB tager stilling til Metas brug af personoplysninger til adfærdsbaseret markedsføring

Det Europæiske Databeskyttelsesråd (»EDPB«) vedtog den 27. oktober 2023 en såkaldt »hurtig bindende afgørelse« vedrørende Meta Ireland Limiteds (»Meta«) brug af brugeres personoplysninger til adfærdsbaseret markedsføring. Det skete efter anmodning fra det norske Datatilsyn.

Det norske Datatilsyn udstedte den 14. juli 2023 i medfør af artikel 66, stk. 1, i GDPR om hasteprocedure et forbud mod Meta og Facebook Norway AS mod behandling af personoplysninger om norske datasubjekter med henblik på adfærdsbaseret annoncering med hjemmel i kontrakter eller legitime interesser. Eftersom forbuddet var tidsmæssigt og geografisk begrænset, anmodede det norske Datatilsyn EDPB om en »hurtig bindende afgørelse« med henblik på en vedtagelse af endelige foranstaltninger med virkning i alle EØS-lande.

EDPB fandt, at Meta løbende overtrådte artikel 6, stk. 1, i GDPR om behandling af personoplysninger. Eftersom det irske Datatilsyn efter anmodning fra det norske Datatilsyn ikke efterkom de almindelige samarbejds- og sammenhængsmekanismer i GDPR, pålagde EDPB derfor det irske Datatilsyn at indføre et forbud mod at anvende kontrakter og legitime interesser som retsgrundlag for behandling af personoplysninger til brug for adfærdsbaseret markedsføring.

Det irske Datatilsyn traf den 10. november 2023 endelig afgørelse vedrørende Metas brug af brugeres personoplysninger til adfærdsbaseret markedsføring.

Det Europæiske Databeskyttelsesråd vedtager retningslinjer, der skal skabe klarhed over sporingsteknikker omfattet af ePrivacy-direktivet

Det Europæiske Databeskyttelsesråd (»EDPB«) vedtog den 15. november 2023 retningslinjer for det tekniske anvendelsesområde for direktiv 2009/136/EC af 25. november 2009 (»ePrivacy-direktivet«) artikel 5, stk. 3. Retningslinjerne har til formål at præcisere, hvilke tekniske indgreb, navnlig nye sporingsteknikker, der er omfattet af direktivet, og at skabe større retssikkerhed for registeransvarlige og enkeltpersoner.

For at præcisere artiklens anvendelsesområde, analyseres der i retningslinjerne centrale begreber, som fremgår af direktivets artikel 5, stk. 3, såsom »information«, »abonnents eller brugers terminaludstyr«, »elektronisk kommunikationsnet«, »adgang« og »lagret information/lagring«. Retningslinjerne omfatter også praktiske eksempler på fælles sporingsteknikker.

Retningslinjerne vedrører kun anvendelsesområdet for ePrivacy-direktivets artikel 5, stk. 3. De omhandler ikke, hvordan samtykke skal indsamles, eller de undtagelser, der er fastsat i artiklen.

Retningslinjerne vil blive sendt i offentlig høring frem til den 18. januar 2024.

Læs pressemeddelelsen her: https://edpb.europa.eu/news/news/2023/edpb-provides-clarity-tracking-techniques-covered-eprivacy-directive_en

Læs vejledningen her: https://edpb.europa.eu/our-work-tools/documents/public-consultations/2023/guidelines-22023-technical-scope-art-53-eprivacy_en

EDPB vælger emne for sit årlige koordinerede fokuspunkt for 2024

Det Europæiske Databeskyttelsesråd (»EDPB«) offentliggjorde den 17. oktober 2023 en pressemeddelelse om valget af emne for dets tredje koordinerede fokuspunkt-. Fokuspunktet omhandlede implementeringen af dataansvarliges ret til adgang til data og vil endeligt blive lanceret i løbet af 2024.

Ved at vælge et koordineret fokuspunkt, kan EDPB prioritere et særligt emne, som de enkelte medlemslandes databeskyttelsesmyndigheder skal behandle på nationalt niveau. Hensigten er, at de enkelte resultater fra hvert medlemsland kan samles og analyseres således, at der opnås en større indsigt omkring emnet.

Valget af koordineret fokuspunkt for 2024 skal ses i sammenhæng med EDPB’s oprettelse af en koordineret håndhævelsesramme (»CEF«) og oprettelse af en støttepulje af eksperter (»SPE«). Ovenstående har samlet til formål at strømline håndhævelse og samarbejde mellem de enkelte medlemslandes databeskyttelsesmyndigheder.

Læs pressemeddelelsen her: https://edpb.europa.eu/news/news/2023/edpb-picks-topic-2024-coordinated-action_en

Den Europæiske Tilsynsførende for Databeskyttelse offentliggør anbefalinger for ny retsakt om kunstig intelligens

Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) offentliggjorde den 23. oktober 2023 sin holdning til AI-forordningen. Forordningen sigter mod at regulere udviklingen og brugen af kunstig intelligens (AI) i EU, herunder i EU-institutioner og -organer. EDPS fokuserede på deres fremtidige opgaver som tilsynsmyndighed for AI-systemer i EU›s institutioner.

EDPS understregede vigtigheden af tydeligt definerede opgaver og pligter for EDPS som den kommende AI-tilsynsførende for EU’s institutioner. EDPS krævede forbud mod AI-systemer, der udgør uacceptable risici for enkeltpersoner. Desuden støttede EDPS behovet for passende ressourcer og finansiering til at udføre deres rolle som AI-tilsynsførende. Derudover insisterede EDPS på retten til at modtage klager over overtrædelser af forordningen.

EDPS fastslog, at berørte personer bør have ret til at indgive klage over overtrædelser af AI-forordningen. De anbefalede, at databeskyttelsesmyndigheder udpeges som nationale tilsynsmyndigheder under forordningen for at sikre pålidelighed. EDPS bifaldt etableringen af det Europæiske Kunstige Intelligenskontor og ønskedeat deltage aktivt i dets arbejde, og appellerer til medlovgiverne om at give EDPS stemmeret som fuldgyldigt medlem af kontorets bestyrelse.

Læs pressemeddelelsen her: https://edps.europa.eu/data-protection/our-work/publications/papers/2023-11-08-study-essence-fundamental-rights-privacy-and-protection-personal-data_en

Læs anbefalingerne her:Title (europa.eu)

Den Europæiske Tilsynsførende for Databeskyttelse offentliggør udtalelse vedrørende erstatningsansvar for AI-systemer

Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) offentliggjorde den 11. oktober 2023 på eget initiativ en udtalelse vedrørende EU-Kommissionens (»Kommissionen«) to forslag til direktiver om erstatningsansvar for kunstig intelligens, som blev fremsat af Kommissionen den 28. september 2022.

Det ene forslag til direktiv, COM/2022/495, vedrører produktansvar for defekte produkter (»direktivet om produktansvar«). Det andet forslag til direktiv, COM/2022/496, vedrører civilretligt ansvar uden for kontrakt for kunstig intelligens (»direktivet om AI-ansvar«). Formålet med forslagene til den nye regulering var at sikre erstatningsansvarsreglers anvendelighed på skade, som er forårsaget af brugen af et AI-system.

EDPS anbefalede i udtalelsen at sikre, at beskyttelsen mod AI-systemer, kommer til at omfatte både skade forvoldt af AI-systemer, som er produceret eller anvendt af EU-organer, såvel som private- og national organer.

EDPB anbefalede yderligere, at direktivet om AI-ansvars artikel 3, som omhandler sikring af fremlæggelse af beviser og afkræftelig formodning om manglende overholdelse, og artikel 4, som omhandler en afkræftelig formodning om årsagsforbindelse i tilfælde af fejl, sikres anvendt på alle AI-systemer. EDPB præciserede, at dette bør gøre sig gældende, uanset risiko-klassificeringen af AI-systemet.

EDPB anbefalede desuden, at det for både udbydere og brugere udtrykkeligt præciseres, at disse vil være forpligtede til at videregive oplysninger til sikring af beviser efter artikel 3. I forlængelse heraf opfordrede EDPS Kommissionen til at overveje, om der kunne indføres yderligere foranstaltninger, som letter bevisbyrden og derved tilsikrer et ansvar for AI-systemer.

EDPB anbefalede endeligt, at det ligeledes udtrykkeligt præciseres i direktiverne, af hensyn til sikring af klagemuligheder, at reguleringen ikke vil have betydning for databeskyttelseslovgivningen.

Læs hele pressemeddelelsen her: https://edps.europa.eu/data-protection/our-work/publications/opinions/2023-10-11-edps-opinion-422023-two-directives-ai-liability-rules_en

Læs hele udtalelsen her: https://edps.europa.eu/system/files/2023-10/23-10-11_opinion_ai_liability_rules.pdf

Global Privacy Assembly har vedtaget nye resolutioner vedrørende brug af kunstig intelligens

Global Privacy Assembly (»GPA«) vedtog på deres årlige møde i oktober 2023 en række resolutioner om databeskyttelsesemner.

GPA’s formål er at fremme samarbejdet mellem nationale databeskyttelsesmyndigheder gennem vedtagelse af rapporter og resolutioner om databeskyttelsesemner. Disse rapporter og resolutioner forberedes i arbejdsgrupper bestående af repræsentanter fra nationale databeskyttelsesmyndigheder.

GPA vedtog resolutioner om AI i forbindelse med ansættelse, sundhedsdata og forskning, opnåelse af globale databeskyttelsesstandarder, oprettelse af et bibliotek med vejledning og fortolkning af databeskyttelsesprincipper, generiske systemer for kunstig intelligens, nedssættelse af en arbejdsgruppe om intersektionel kønsperspektiv inden for databeskyttelse og en GPA-pris for privatliv og menneskerettigheder.

Der blev ligeledes vedtaget en resolution om GPA’s strategiske plan for 2023-2025.

Læs de enkelte resolutioner her: https://globalprivacyassembly.org/document-archive/adopted-resolutions/

Læs Datatilsynets pressemeddelelse om resolutionerne her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2023/nov/nye-resolutioner-fra-global-privacy-assembly

Det Kongelige Teater indstilles til bøde for manglende procedure for sletning af kundeoplysninger

Det danske Datatilsyn (»Datatilsynet«) har politianmeldt Det Kongelige Teater og Kapel for ikke at have fastsat frister eller procedurer for sletning af kundeoplysninger til brug for markedsføring. Dette oplyser Datatilsynet i en pressemeddelelse den 9. januar 2024. Det Kongelige Teater havde opbevaret oplysninger på ca. 520.000 kunder og modtagere af nyhedsbreve.

Forud for politianmeldelsen havde Datatilsynet foretaget en undersøgelse af Det Kongelige Teater af egen drift, og dermed gjort Det Kongelige Teater opmærksom på, at der ikke var etableret sådanne regler for sletning og opbevaring af personoplysninger.

Datatilsynet indstiller til en bøde på 250.000 kr., henset til at der er tale om en overtrædelse af grundlæggende principper for behandling af personoplysninger, og henset til at overtrædelsen angår et meget stort antal registrerede personer, hvis oplysninger er blevet anvendt aktivt i markedsføringsøjemed.

Læs Datatilsynets pressemeddelelse herDet Kongelige Teater indstilles til bøde (datatilsynet.dk)

Datatilsynet behandler 10 typiske brud på persondatasikkerheden

Det danske Datatilsyn (»Datatilsynet«) udtalte sig i en pressemeddelelse den 8. januar 2024 om 10 typisk forekommende brud på persondatasikkerheden i virksomheder.

Datatilsynet supplerede pressemeddelelsen med en informationsside, der beskrev de 10 brud og præsenterede en række gode råd, der kan bruges til at hjælpe med at undgå bruddene.

Informationen er hovedsageligt målrettet medarbejdere, der har mulighed for at udfærdige og/eller ændre på organisationens regler, procedurer mv., for derved at beskytte organisationen mod brud. Datatilsynet understregede dog også, at enhver der arbejder digitalt med personoplysninger, kan have gavn af en indføring i de forskellige scenarier, da de udgør en »meget betragtelig andel af de brud«, som jævnligt anmeldes til Datatilsynet.

De 10 typiske brud omfatter: Data til forkerte modtagere i udgående post, fejlagtig eksponering af beskyttet adresse, fejludlevering af data ved sagsbehandling, manglende sletning af data i forbindelse med brug af digitale værktøjer, auto-complete i e-mail fører til forkerte modtagere, tab/tyveri af transportable enheder med ukrypteret data, for bred adgang til data på netværksdrev mv., uautoriseret adgang til data grundet dårligt design mv., videregivelse af data i skabelon- og blanketløsninger, tab og misbrug af data som følge af ondsindet software.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/de-10-brud

Læs Datatilsynets informationsside om de 10 brud her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/de-10-brud

Nye vejledninger præciserer regler om tv-overvågning foretaget af myndigheder og boligorganisationer

Den 13. december 2023 offentliggjorde Det danske Datatilsyn (»Data­tilsynet«) to nye vejledninger om tv-overvågning. Vejledningerne er rettet mod boligorganisationer og offentlige myndigheder, der ønsker at anvende eller allerede anvender tv-overvågning til bekæmpelse og forebyggelse af kriminalitet.

Formålet med vejledningerne er at præcisere de mest relevante regler, som offentlige myndigheder og boligorganisationer skal være opmærksomme på i forbindelse med tv-overvågning. Dette omfatter reglerne i lovbekendtgørelse nr. 182 af 24. februar 2023 (»den danske tv-overvågningslov«), Lov nr. 502 af 23. maj 2018 (»den danske databeskyttelseslov«) samt GDPR.

For så vidt angår boligorganisationer, bliver organisationer dataansvarlig for den behandling af personoplysninger, som finder sted i forbindelse med tv-overvågningen. Boligorganisationerne skal derfor sikre sig, at der er hjemmel til at iværksætte tv-overvågning, at den iværksatte tv-overvågning er indrettet lovligt, og at optagelser fra tv-overvågningen behandles lovligt.

For så vidt angår offentlige myndigheder, skal myndighederne sikre sig, at der er hjemmel til at iværksatte tv-overvågningen, at den iværksatte tv-overvågning er indrettet lovligt, og at optagelser hidrørende fra tv-overvågningen behandles lovligt. I visse tilfælde vil offentlige myndigheders beføjelse til at iværksætte tv-overvågning følge direkte af lovgivningen. I visse andre tilfælde kan en offentlig myndighed iværksætte tv-overvågning, selvom dette ikke specifikt fremgår af lovgivningen, navnlig hvis tv-overvågningen må anses for at være naturligt som led i myndighedens øvrige opgavevaretagelse.

Begge vejledninger er udarbejdet med bidrag fra det danske Justitsministerium.

Læs Datatilsynets pressemeddelelse om vejledningerne her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/dec/nye-vejledninger-om-tv-overvaagning

Læs vejledningen om TV-overvågning for offentlige myndigheder her: https://www.datatilsynet.dk/Media/638380803567559289/Vejledning%20om%20tv-overv%C3%A5gning%20til%20offentlige%20myndigheder.pdf

Læs vejledning om TV-overvågning for boligorganisationer her: https://www.datatilsynet.dk/Media/638380803505815050/Vejledning%20om%20TV-overv%C3%A5gning%20til%20boligorganisationer.pdf

Datatilsynet offentliggør ny vejledning om adgangsrettigheder

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 7. december 2023 en ny vejledning om adgangsrettigheder. Vejledningen giver organisationer vejledning i, hvordan de kan sikre deres rettighedsstyring i forbindelse med adgang til organisationernes it-systemer og således styrke deres informations- og behandlingssikkerhed.

Vejledningen belyser indledende, hvordan organisationerne med fordel kan skabe overblik over deres it-miljø, som skaber grundlag for håndtering af de problemstillinger, som er knyttet til rettigheds- og adgangsstyring.

Vejledningen fremhæver herefter, hvornår en utilstrækkelig eller manglende rettighedsstyring kan føre til risikofyldte situationer. Datatilsynet giver en oversigt over, hvilke konkrete foranstaltninger, som organisationerne med fordel kan tage i konkrete situationer, som udføres i organisationen, for eksempel ved personalemæssige ændringer.

Læs hele vejledningen her: https://www.datatilsynet.dk/Media/638374509275042076/Styr%20p%C3%A5%20rettighedsstyring.pdf

Læs kataloget med relevante foranstaltninger her: https://www.datatilsynet.dk/hvad-siger-reglerne/vejledning/sikkerhed/katalog-over-foranstaltninger/

Læs hele pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/dec/ny-vejledning-om-rettighedsstyring

Datatilsynet udtaler sig om anvendelse af undtagelse til oplysningspligten

Det danske Datatilsyn (»Datatilsynet«) udstedte den 4. december 2023 efter anmodning fra den danske Uddannelses- og Forskningsstyrelsen (»UFS«) en pressemeddelelse vedrørende anvendelsen af artikel 14, stk. 5, litra c, i GDPR om oplysningspligt.

Spørgsmålet omhandlende, hvorvidt UFS med henvisning til GDPR artikel 14, stk. 5, litra c, kunne undlade at oplyse forældre om, at oplysninger om deres indkomst var genstand for behandling med henblik på udregning af uddannelsesstøtte efter lov nr. 395 af 13. april 2023 om statens uddannelsesstøtte (»SU-loven«).

Datatilsynet fandt, at SU-lovens § 25, stk. 5 og 6, om forældreindkomst og § 39, stk. 1, om indhentning af oplysninger »ikke i fornødent omfang kan anses for udtrykkeligt at fastsætte indsamling/videregivelse i overensstemmelse med databeskyttelsesforordningens artikel 14, stk. 5, litra c.« Ifølge Datatilsynet var det ikke tilstrækkeligt, at loven hjemler mulighed for at indsamle eller videregive oplysninger, da dette ikke for den registrerede giver klarhed om, at den pågældende er genstand for indsamling af oplysninger.

Bestemmelserne i SU-loven giver således ikke ifølge Datatilsynet en tilstrækkelig klarhed for den registrerede om, at der sker indsamling af oplysninger om den pågældende, og hvilke oplysninger, der er tale om.

Læs afgørelsen her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/dec/udtalelse-om-anvendelse-af-undtagelse-til-oplysningspligten

Nyt katalog fra Datatilsynet med vejledende sikkerhedsforanstaltninger til virksomheder og myndigheder

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 28. november 2023 et nyt katalog over sikkerhedsforanstaltninger, som virksomheder og myndigheder kan bruge i deres håndtering af GDPR-lovgivningen.

Kataloget indeholder en lang række tekniske og organisatoriske foranstaltninger, som skal bidrage til, at virksomheder og myndigheder lettere kan identificere og håndtere risici forbundet med behandlingen af personoplysninger. Til hver foranstaltning følger en præcisering af, hvilke risici der kan nødvendiggøre implementeringen af foranstaltningen, samt en vejledning om den praktiske gennemførelse.

Det er hensigten, at kataloget skal fungere som et værktøj for virksomheder og myndigheder, der skal sikre sig, at de har passende sikkerhedsniveau. Målet er, at kataloget gradvist vil blive udvidet til at omfatte en bredere række af foranstaltninger, og at og fremtidige vejledninger kan henvise til forskellige tiltag i kataloget.

Læs pressemeddelelsen her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/nov/nyt-katalog-over-sikkerhedsforanstaltninger

Det danske Datatilsyns afgørelse om Aarhus Universitetshospitals sletning af patientoplysninger fra Instagram

Det danske Datatilsyn (»Datatilsynet«) traf den 27. november 2023 afgørelse i en sag med journalnummer 2023-432-0016, vedrørende Aarhus Universitetshospitals (»AUH«) offentliggørelse af patientoplysninger på Instagram. I sagen havde AUH offentliggjort billeder af patienter på deres Instagram.

Datatilsynet vurderede, at AUH behandler personoplysninger om patienter på Instagram uden overholdelse af GDPR artikel 9, stk. 2, og artikel 6, stk. 1, litra a. Det skyldtes manglende opfyldelse af samtykkebetingelserne, da patienterne i en sårbar situation ikke kunne anses for at have et reelt frit valg.

Datatilsynet påpegede, at AUH måtte påvise, at samtykke var givet og at det skulle opfylde alle relevante kriterier. Kravet om frivillighed var særligt afgørende, da patienter i en sårbar situation ikke nødvendigvis kunne give frivilligt samtykke.

Datatilsynet fastslog, at behandling af personoplysninger skulle ske på en lovlig, rimelig og gennemsigtig måde, hvilket offentliggørelsen af helbredsoplysninger om patienter på Instagram ikke gjorde.

Datatilsynet rettede alvorlig kritik mod Region Midtjylland og pålagde dem at slette alle opslag indeholdende helbredsoplysninger om patienter fra Instagramkontoen »auhdk«. Fristen for efterlevelse af påbuddet var 4 uger fra udstedelsen.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/hospital-kan-ikke-bruge-samtykke-til-at-offentliggoere-billeder-af-patienter-paa-instagram

Det danske Datatilsyns udtalelse om behandlingsgrundlag til udvikling og drift af AI-løsning inden for sundheds- og omsorgsområdet

Det danske Datatilsyn (»Datatilsynet«) har, efter anmodning fra Københavns Kommune, den 17. november 2023, udtalt, hvorvidt kommunen har hjemmel til udvikling, drift og gentræning af en AI-løsning, der kan identificere borgere med behov for vedligeholdende træning og rehabiliterende indsats.

Datatilsynet udtalte, at hjemlen findes i GDPR artikel 6, stk. 1, litra e, samt artikel 9, stk. 2, litra g. Datatilsynet fandt dog også, at et supplerende nationalt retsgrundlag der forpligter eller berettiger myndigheden til at udføre bestemte myndighedsopgaver, også var nødvendigt.

Ved behandling af personoplysninger til udvikling og gentræning, fastslog Datatilsynet, at der kan henvises til de allerede eksisterende bestemmelser i lovbekendtgørelse nr. 1089 af 16. august 2023 (»den danske servicelov«) der forpligter kommunen til at træffe afgørelse om og levere vedligeholdende træning og rehabiliterende indsats. Datatilsynet lagde i sin vurdering vægt på, at AI-løsningen, ikke indebærer, direkte konsekvenser for borgeren.

I forhold til behandling af personoplysninger ved driften af AI-løsningen, udtalte Datatilsynet, at bestemmelserne i den danske servicelovs § 86 og § 112 var relevante. Datatilsynet udtalte dog, at bestemmelserne ikke udgjorde et tilstrækkeligt supplerende nationalt retsgrundlag, i lyset af hvor indgribende en behandlingsaktivitet, der var tale om.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/udtalelse-om-behandlingsgrundlag-til-udvikling-og-drift-af-ai-loesning-inden-for-sundheds-og-omsorgsomraadet

Rigsrevisionen tilvejebringer personoplysninger inden for rammerne af databeskyttelsesreglerne

Det danske Datatilsyn (»Datatilsynet«) traf den 14. november 2023 afgørelse i en sag med journalnummer 2023-432-0022, der angik Rigsrevisionens behandling af personoplysninger i forbindelse med Rigsrevisionens revisionsvirksomhed.

Datatilsynet indledte den 19. august 2023 en sag om Rigsrevisionens behandlingsgrundlag til at indhente personoplysninger, når Rigsrevisionen udførte revisionsvirksomhed. Det skete som led i Datatilsynets målrettede tilsynsaktiviteter i 2023, som inkluderede Folketinget og Folketingets institutioner.

Efter anmodning fra Datatilsynet oplyste Rigsrevisionen, hvordan Rigsrevisionen i forbindelse med sin revisionsvirksomhed tilvejebragte materiale der indeholdt personoplysninger, samt hvilken hjemmel Rigsrevisionen havde hertil, og tilsendte en liste over gennemførte revisioner i 2022. Endvidere oplyste Rigsrevisionen, at personhenførbare oplysninger blev indhentet, når det af rigsrevisorerne skønnedes relevant og nødvendigt.

På baggrund heraf fandt Datatilsynet, at Rigsrevisionen havde hjemmel til at indhente personoplysninger, når Rigsrevisionen udførte sin revisionsvirksomhed, jf. artikel 6, stk. 1, litra e, i GDPR om behandling af personoplysninger suppleret af § 12, stk. 1, i lov nr. 321 af 26. juni 1975 (»Rigsrevisorloven«) om Rigsrevisionens tilvejebringelse af oplysninger. Datatilsynet fandt desuden, at Rigsrevisionen sikrede overholdelsen af princippet om dataminimering i artikel 5, stk. 1, litra c, i GDPR.

Datatilsynet fandt således, at Rigsrevisionens tilvejebringelse af personoplysninger, når Rigsrevisionen udførte revisionsvirksomhed, skete inden for rammerne af databeskyttelsesreglerne.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/rigsrevisionens-tilvejebringelse-af-oplysninger-sker-inden-for-rammerne-af-databeskyttelsesreglerne

Datatilsynets kritik af Digitaliseringsstyrelsen behandling af personoplysninger og risikovurdering

Det danske Datatilsyn (»Datatilsynet«) traf den 9. november 2023 afgørelse i en sag med journalnummer 2023-432-0025. Sagen omhandlede den danske Digitaliseringsstyrelses (»Digitaliserings­­styrelsen«) behandling af personoplysninger i forbindelse med MitID-login, hvor JavaScript blev anvendt.

En borger havde henvendt sig med bekymringer om sikkerheden ved JavaScript. Datatilsynet kritiserede, at Digitaliseringsstyrelsen ikke havde vurderet risikoen for borgernes rettigheder ved brug af JavaScript og ikke havde påvist passende tekniske sikkerhedsforanstaltninger. Datatilsyn udtalte på den baggrund kritik af Digitaliseringsstyrelsen for manglende overholdelse af GDPR’s bestemmelser.

Datatilsynet konkluderede, at Digitaliseringsstyrelsen ikke havde overholdt reglerne i GDPR og forventede, at Digitaliseringsstyrelsen fremover foretager en specifik vurdering af risici ved JavaScript og implementerede passende sikkerhedsforanstaltninger.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/digitaliseringsstyrelsen-faar-kritik-for-utilstraekkelig-risikovurdering

Nyt tiltag fra Datatilsynet skal effektivisere tilsynets vejledning ved sikkerhedsbrud

Siden oktober 2023 effektiviserede Det danske Datatilsyn (»Datatilsynet«) sin vejledning ved brud på persondatasikkerheden ved at sende emnespecifik vejledning ud umiddelbart efter modtagelse af underretninger om sikkerhedsbrud. Formålet bag tiltaget var at give hurtig og praktisk bistand til organisationer, der står over for sådanne brud.

Hvert år modtager Datatilsynet tusindvis af underretninger om sikkerhedsbrud fra organisationer. For at styrke vejledningen i konkrete sager sendte Datatilsynet nu specifik vejledning til organisationerne kort efter modtagelsen af underretningerne, så organisationerne ikke selv skulle opsøge vejledningen. Der forelå blandt andet konkret vejledning ved brud, der vedrører ransomware, passwordsikkerhed, logning og phishing. Derudover dækkede vejledningen emner som fremsendelse af oplysninger til forkerte modtagere, ofte forårsaget af uhensigtsmæssig opsætning af funktionen auto-complete i e-mails.

Datatilsynet evaluerede løbende tiltaget og havde planlagt at udvide antallet af emner, der kunne vejledes om, for at give konkret vejledning i alle relevante sager på længere sigt. Organisationer, der havde spørgsmål om sikkerhedsbrud, blev også opfordret til at kontakte Datatilsynet telefonisk for yderligere vejledning.

Læs hele nyheden her:

Nyt tiltag skal give hurtigere vejledning ved brud (datatilsynet.dk)

Ny vejledning om offentlige myndigheders brug af AI

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 5. oktober 2023 en ny vejledning om offentlige myndigheders brug af AI. Vejledningen fokuserer på de overvejelser, offentlige myndigheder skal gøre sig, forud for udviklingen af AI-løsninger. Overvejelserne, Datatilsynet henviser til i vejledningen, angår oplysningspligt, behandlingsgrundlag og konsekvensanalyse mm.

Datatilsynet udgav samtidig en kortlægning over omfanget af offentlige myndigheders brug af AI. Kortlægningen giver et indblik i offentlige myndigheders brug af kunstigintelligensløsninger og deres databeskyttelsesretlige overvejelser i den forbindelse. Konklusionerne fra kortlægningen er blandt andet, at AI-løsningerne i den offentlige sektor typisk materialiserer sig i standardiserede løsninger, at de offentlige myndigheder i overvejende grad lever op til at sikre sig et relevant behandlings-grundlag i forbindelse med brugen af kunstig intelligens, men at det halter efter med at foretage konsekvensanalyser rettidigt.

Læs Datatilsynets pressemeddelelse herNy vejledning om offentlige myndigheders brug af AI og kortlægning af AI på tværs af den offentlige sektor (datatilsynet.dk)

Læs vejledningen om offentlige myndigheders brug af AI her https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2023/okt/ny-vejledning-om-offentlige-myndigheders-brug-af-ai-og-kortlaegning-af-ai-paa-tvaers-af-den-offentlige-sektor

Læs kortlægningen over brugen af AI i den offentlige sektor her Brug af kunstig intelligens i den offentlige sektor: Kortlægning (datatilsynet.dk)

Finanstilsynet: Personover­vågning bør være forsikrings­selskabers sidste redskab

Det danske Finanstilsyn (»Finanstilsynet«) oplyste i en pressemeddelelse den 28. november 2023, at det havde gennemført en undersøgelse af forsikringsselskabers praksis og procedurer for personovervågning af skadelidte kunder.

Finanstilsynet konkluderede på baggrund af undersøgelsen, at forsikringsselskaberne generelt overholdte reglerne i bekendtgørelse nr. 1779 af 6. september 2021 (»den danske bekendtgørelse om god skik for forsikringsvirksomheder«) og bekendtgørelse nr. 1377 af 22. juni 2021 (»den danske bekendtgørelse om undersøgelser foretaget af forsikringsselskaber«). Finanstilsynet konkluderede dog også, at der stadig var plads til forbedring på visse punkter i forsikringsselskabernes procedurer.

Finanstilsynet indskærpede som følge heraf, at forsikringsselskaberne skal sikre, at personovervågning kun bliver anvendt, når det er absolut nødvendigt, og kun hvis der i øvrigt foreligger en velbegrundet og dokumenteret mistanke. Det følger af princippet om, at selskaberne altid skal vælge den mindst indgribende undersøgelsesmetode.

Selskaberne skal herudover sikre ordentlig kommunikation med kunden, hvilket medfører, at de skal underrette kunden om grundlaget for en eventuel personovervågning samt i øvrigt sikre saglig, ordentlig og transparent kommunikation i selskabets kontakt med kunden.

Læs Finanstilsynets pressemeddelelse her: Personovervågning bør være forsikringsselskabers sidste redskab (finanstilsynet.dk)

Danske lovændringer udvider børns beskyttelse på internettet

Det danske Folketing vedtog den 14. december 2023 lov nr. 1783 af 28. december 2023 om ændring af lov 2018-05-23 nr. 502 (»den danske databeskyttelseslov«) og lov nr. 1784 af 28. december 2023 om ændring af den danske databeskyttelseslov og lovbekendtgørelse 2023-06-23 nr. 1010 (»den danske lov om Det Centrale Personregister«)

Lov nr. 1783 medfører, at aldersgrænsen for, hvornår et barn kan give samtykke til behandling af personoplysninger i forbindelse med udbud af informationssamfundstjenester, hæves fra 13 år til 15 år. Loven har afsæt i en anbefaling fra en ekspertgruppe om tech-giganter og har til formål at beskytte børn og unge på internettet.

Lov nr. 1784 ophæver § 13, stk. 1-3 og 5-9 i den danske databeskyttelseslov, om behandling af personoplysninger i forbindelse med markedsføring. Lovændringen indebærer også, at det danske Procesbevillingsnævn undtages fra oplysningspligten og indsigtsretten efter GDPR ved nævnets behandling af personoplysninger i sager vedrørende appeltilladelse. Endelig tilpasses adgangen til indsigt hos den danske Folketingets Ombudsmand i sagsakter fra myndigheder, der er sendt til ombudsmanden som led i behandlingen af en sag hos ombudsmanden.

Lovene trådte i kraft den 1. januar 2024.

Læs det danske Justitsministeriets pressemeddelelse her: https://www.justitsministeriet.dk/nyhedsbrev/nyhedsbrev-af-5-januar-2024/

Læs lov om ændring af den danske databeskyttelseslov her: https://www.retsinformation.dk/eli/ft/A20230178330

Læs lov om ændring af den danske databeskyttelseslov og den danske lov om Det Centrale Personregister her: https://www.retsinformation.dk/eli/ft/A20230178430