Datatilsynets har truffet afgørelse om Tryg Forsikring A/S’ oplysningspligt ved personovervågning

Det danske Datatilsyn (»Datatilsynet«) traf den 2. januar 2024 afgørelse i en sag med journalnummer 2022-431-0204. Sagen angik Tryg Forsikring A/S’ (»Tryg«) generelle procedurer for opfyldelse af deres databeskyttelsesretlige oplysningspligt i forbindelse med indsamling af personoplysninger ved personovervågning.

Efter Datatilsynets anmodning om en udtalelse, bemærkede Tryg, at selskabet havde en legitim interesse i at kontrollere, at den registreredes krav på erstatning var berettiget, jf. GDPR artikel 6, stk. 1, litra f, og artikel 9, stk. 2, litra f, jf. artikel 6, stk. 1, litra f. Tryg henviste i medfør af undtagelsesbestemmelsen i § 22 i lovbekendtgørelse nr. 289 af 8. marts 2024 (»den danske databeskyttelseslov«) til, at indsamlingen af personoplysninger i forbindelse med personovervågningen ville forspildes, hvis Tryg på forhånd informerede skadelidte (den registrerede) herom.

Tryg informerede tillige Datatilsynet om, at ved bekræftelsen af forsikringssvindel opfyldte Tryg oplysningspligten 30 dage efter afslutning af personovervågningen. Kunne forsikringssvindlen afkræftes, opfyldte Tryg oplysningspligten hurtigt muligt og senest 30 dage efter afslutning af personovervågningen.

Datatilsynet fandt, at Trygs procedurer for opfyldelse af oplysningspligten efter GDPR artikel 14 var inden for rammerne af databeskyttelsesreglerne, herunder GDPR artikel 5, stk. 1, og 14 og den danske databeskyttelseslovs § 22.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/feb/datatilsynet-har-undersoegt-oplysningspligten-hos-tryg-forsikring-as

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/datatilsynet-undersoeger-oplysningspligten-hos-tryg-forsikring-as

Datatilsynet politianmelder Odsherred Kommune for ikke at leve op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen

Det danske Datatilsyn (»Datatilsynet«) oplyste i en pressemeddelelse den 11. januar 2024, at det har politianmeldt Odsherred Kommune for ikke at have levet op til kravene om et passende sikkerhedsniveau, der følger af GDPR, ved ikke at have krypteret harddiskene på kommunens cirka 1200 bærbare computere.

Under behandlingen af en sag angående et brud på sikkerheden af personoplysninger ved et tyveri af en medarbejders bærbare computer, hvor harddisken ikke var krypteret, konstaterede Datatilsynet, at Odsherred Kommune ikke havde krypteret kommunens cirka 1200 bærbare computere i perioden fra d. 18. maj 2018 til d. 10. september 2022. Datatilsynet udtalte, at det efter GDPR artikel 32 oftest er en nødvendig og påkrævet sikkerhedsforanstaltning at kryptere bærbare enheder, herunder bærbare computere, der behandler personoplysninger. Dette understøttes bl.a. af, at kryptering eksplicit nævnes som eksempel på relevant teknisk foranstaltning efter GDPR artikel 32, stk. 1, litra a.

Datatilsynet indstillede Odsherred Kommune til en bøde på 100.000–200.000 kr., og lagde i vurderingen bl.a. vægt på at kryptering af bærbare enheder er en basal og væsentlig sikkerhedsforanstaltning, samt at kryptering må anses for at være en almindelig anvendt teknologi, der har været best practice siden 2007. Der var derfor efter Datatilsynets vurdering tale om en alvorlig overtrædelse af kravene til behandlingssikkerhed i medfør af GDPR.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/odsherred-kommune-indstilles-til-boede

Datatilsynet indstiller Netcompany til en bøde på 15 mio. kr.

Det danske Datatilsyn (»Datatilsynet«) oplyste i en pressemeddelelse den 12. januar 2024, at det har politianmeldt Netcompany for at have overtrådt GDPR ved ikke at have sikret et passende sikkerhedsniveau ved udviklingen af mit.dk.

Netcompany, som driver og ejer it-løsningen mit.dk, anvendte ved udviklingen af en komponent i mit.dk en uhensigtsmæssig kodning, der gjorde, at brugere af mit.dk fik uberettiget adgang til andre brugeres digitale post og dermed personoplysninger. Kort efter lanceringen af mit.dk blev kodningen udbedret. Den uhensigtsmæssige kodning blev ikke opdaget ved gennemførelsen af test, herunder kodereview, statisk kodeanalyse og performancetest, inden lanceringen af mit.dk.

Datatilsynet fandt, at det var en særligt kritisk og åbenbar risiko ved løsningen, at andre brugere fik uautoriseret adgang til digital post, og at der derfor skulle være udarbejdet en konsekvensanalyse, jf. GDPR artikel 35 om konsekvensanalyse.

Datatilsynet politianmeldte og indstillede herved Netcompany til en bøde på mindst 15 mio. kr. for at have overtrådt GDPR, hvilket er den største bøde, Datatilsynet hidtil har indstillet til for en overtrædelse af GDPR.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/netcompany-indstilles-til-boede

Datatilsynet offentliggør ny tilsynsplan for 2024

Det danske Datatilsyn (»Datatilsynet«) har i en pressemeddelelse den 15. januar 2024 offentliggjort de temaer, der vil have et særligt fokus i deres tilsynsarbejde dette år. Datatilsynets aktiviteter omfatter blandt andet vejledning, rådgivning, klagesagsbehandling, internationalt arbejde og målrettede tilsynsaktiviteter.

Temaerne er, blandt andet, brugen af kunstig intelligens, overvågning af ansatte, samt behandlingen af personoplysninger i fælleseuropæiske informationssystemer.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/hvad-fokuserer-datatilsynet-paa-i-2024

Læs Datatilsynets tilsynsaktiviteter her: https://www.datatilsynet.dk/afgoerelser/generelt-om-tilsyn/saerlige-fokusomraader-for-datatilsynets-tilsynsaktiviteter-i-2024

Datatilsynet træffer afgørelser om behandlingssikkerheden ved kommuners brug af AULA

Det danske Datatilsyn (»Datatilsynet«) oplyste i en pressemeddelelse den 16. januar 2024, at de havde truffet afgørelse i fem sager med udvalgte kommuner efter en samlet behandling, som drejede sig om behandlingssikkerheden vedrørende behandlingen af personoplysninger i it-systemet AULA. Datatilsynet havde i 2019 truffet en afgørelse, hvor kommunerne blev anset som dataansvarlige efter GDPR artikel 4, nr. 7.

Kernen i sagen angik kommunernes pligt til at udarbejde en konsekvensanalyse, jf. GDPR artikel 35. Datatilsynet udtalte kritik til tre ud af fem kommuner, hvis konsekvensanalyser ikke levede op til mindstekravene efter GDPR artikel 35, stk. 7. Datatilsynet har rettet kritik af risikovurderingen vedrørende dokumentationskravet om identifikation, nedbringelse af risici samt manglende identifikation og implementering af relevante foranstaltninger. To ud af fem kommunerne modtog imidlertid alvorlig kritik på baggrund af et fuldstændigt fravær af en konsekvensanalyse, hvorfor de fik påbud om at udarbejde sådanne, jf. GDPR artikel 58, stk. 2, litra d.

Den dataansvarlige har efter GDPR pligt til at forholde sig til risikoen for den registreredes rettigheder og frihedsrettigheder og skal identificere risici ved behandling af personoplysninger og sikre et passende sikkerhedsniveau gennem en række foranstaltninger, jf. GDPR artikel 32, stk. 1, artikel 24, stk. 1, og artikel 5. I den forbindelse udtalte Datatilsynet, at idet kommunerne som dataansvarlige vil foretage samme behandlingsaktivitet, kan de med fordel foretage en fælles konsekvensanalyse, henset til at det samme type system, indsamlede personoplysninger, risici involveret, samt leverandør ligger til grund for databehandlingen.

Læs Datatilsynets pressemeddelelse og afgørelser her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/tilsyn-med-kommuner-om-sikkerheden-i-aula

Databeskyttelsesreglerne ikke til hinder for offentliggørelse af AI-model og tilhørende datasæt, såfremt personoplysninger var indhentet og behandlet lovligt

Det danske Datatilsyn (»Datatilsynet«) tog den 19. januar 2024 i en sag med journalnummer 2023-212-0021 stilling til, hvorvidt Sønderborg Kommune lovligt kunne offentliggøre et datasæt som var benyttet til udvikling af en AI model, samt om kommunen lovligt kunne offentliggøre selve AI modellen.

Vedrørende selve AI-modellen kom Datatilsynet frem til, at der ikke var tale om personoplysninger, hvorfor AI-modellen ikke var omfattet af reglerne i GDPR.

Vedrørende datasættet, som var benyttet til udviklingen af AI-modellen, kom Datatilsynet frem til, at der var sket en lovlig indsamling og behandling af personoplysningerne i forbindelse med udviklingen af AI-modellen, der skulle hjælpe kommunen i aktindsigtsager under henvisning til lovbekendtgørelse nr. 145 af 24. februar 2020 (»den danske offentlighedslov«) og lovbekendtgørelse nr. 433 af 22. april 2014 (»den danske forvaltningslov«).

GDPR artikel 6, stk. 1, litra e, udgør behandlingshjemmel for offentlige myndigheders behandling af personoplysninger som led i offentlig myndighedsudøvelse. Det er efter GDPR artikel 6, stk. 3, litra b, jf. stk. 2, en forudsætning, at der foreligger en supplerende national lov, som den dataansvarlige er underlagt og forpligter myndigheden til at udføre en specifik opgave.

Det var Datatilsynets vurdering, at den danske offentligheds- og forvaltningslovs bestemmelser om kommunernes pligt til håndtering af aktindsigtsanmodninger udgjorde et nationalt retsgrundlag og således berettigede behandlingen af personoplysningerne til udviklingen af AI-modellen jf. GDPR artikel 6, stk. 3, litra b, jf. artikel 6, stk. 1, litra e.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/offentliggoerelse-af-datasaet-og-ai-model

Datatilsynet udsteder påbud i Chromebook-sag

Det danske Datatilsyn (»Datatilsynet«) traf den 30. januar 2024 afgørelse i en sag, med journalnummer 2023-431-0001, vedrørende brugen af Google Workspace i folkeskolerne. Tilsynet konstaterede, at der ikke er lovhjemmel til at videregive personoplysninger til Google til alle de formål, der praktiseres i dag. Afgørelsen kom i kølvandet på materiale, der blev indsendt af KL på vegne af 53 kommuner.

Datatilsynet fandt, at der mangler en klar hjemmel i lovbekendtgørelse nr. 90 af 29. januar 2024 (»den danske folkeskolelov«) til at videregive elevernes oplysninger til Google til visse formål som vedligeholdelse og forbedring af tjenesterne. Derfor påbød Datatilsynet kommunerne at bringe behandlingen i overensstemmelse med reglerne i GDPR artikel 1, stk. 1, litra a, og artikel 6, stk. 1. Dette kan opnås ved enten at stoppe videregivelsen af personoplysninger til Google til disse formål, få Google til at ophøre med behandlingen af oplysningerne til disse formål, eller ved at Folketinget skaber et klart retsgrundlag for videregivelsen.

Kommunerne skal efterleve påbuddet fra den 1. august 2024, men skal senest den 1. marts indikere, hvordan de har til hensigt at overholde det. Datatilsynet vil herefter informere kommunerne om eventuelle yderligere forhold, der skal behandles inden påbudsfristen, afhængigt af kommunernes tilbagemelding.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jan/datatilsynet-giver-paabud-i-chromebook-sag

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/datatilsynet-giver-paabud-i-chromebook-sag

Datatilsynet har taget stilling til muligheden for at etablere og dele et datasæt, der skal bruges til udvikling af dansk sprogteknologi

Det danske Datatilsyn (»Datatilsynet«) udtalte sig den 30. januar 2024, efter anmodning fra Alexandra Instituttet, om instituttets mulighed for at etablere og dele datasæt indeholdende lydoptagelser. Sagen har journalnummer 2023-211-0004.

Instituttet ønskede at lave et datasæt, der skulle indeholde lydoptagelser af personer af forskellige køn, aldre og geografiske ophav som oplæser og indtaler danske tekster. Den indtalte tekst ville ikke indeholde personoplysninger, men lydfilen ville være tilknyttet overordnet information om oplæseren, herunder køn, alder og omtrentlig geografisk placering.

Spørgsmålene for Datatilsynet var herefter, om der forelå et behandlingsgrundlag i relation til etablering og deling af sådanne datasæt, om der reelt ville ske anonymisering samt, hvorvidt der var tale om behandling af særlige kategorier af personoplysninger.

Datatilsynet udtalte, at behandlingsgrundlaget fandtes i GDPR artikel 6, stk. 1, litra b, om opfyldelse af kontrakt, idet indspilning af de omhandlede lydoptagelser var den primære kontraktlige ydelse og hovedformålet med aftalen mellem Alexandra Instituttet og den registrerede. Kontraktens hovedformål kunne ikke opfyldes uden indspilningen af lydoptagelserne, hvormed behandlingen kunne ske.

Datatilsynet udtalte desuden, at lydoptagelserne skulle anses for personoplysninger, idet det gjorde det muligt indirekte at identificere personen på optagelserne. Datatilsynet henviste til den stigende adgang til og anvendelse af stemmegenkendelsesværktøjer og kunstig intelligens.

Afslutningsvis udtalte Datatilsynet, at datasættet ikke ville være omfattet af GDPR artikel 9, om forbud mod at behandle særlige kategorier af personoplysninger, idet formålet med behandlingen ikke var entydigt at identificere en person.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/etablering-og-deling-af-datasaet

Datatilsynet indstiller Privathospitalet Capio A/S til bøde for manglende tilsyn med databehandlere

Det danske Datatilsyn (»Datatilsynet«) har politianmeldt Capio A/S for manglende tilsyn med databehandlere. Det oplyste Datatilsynet i en pressemeddelelse d. 1. februar 2024.

Forud for politianmeldelsen havde Datatilsynet foretaget en undersøgelse af Capio A/S’ håndtering af databehandlere, hvor Datatilsynet udvalgte tre tilfældige af privathospitalets databehandlere til at være genstand for undersøgelse.

Resultaterne af Datatilsynets undersøgelse af Capio A/S’ tilsyn med de tre databehandlere afslørede, at privathospitalet ikke havde udført det nødvendige tilsyn. Capio A/S´ indledte først deres første tilsyn med hver enkelt databehandler, da Datatilsynet havde påbegyndt deres undersøgelse af privathospitalet.

Datatilsynet vurderede, at privathospitalet ikke kunne dokumentere, at personoplysningerne blev behandlet i overensstemmelse med lovgivningen og på en sådan måde, der sikrede tilstrækkelig beskyttelse af de pågældende oplysninger, selvom de havde valgt at benytte sig af en tredjepart (en databehandler) til at behandle oplysningerne på deres vegne.

Datatilsynet indstillede derfor Capio A/S til en bøde på ikke under 1.500.000 kr. henset til, at der var tale om en overtrædelse af det grundlæggende databeskyttelsesretlige princip om ansvarlighed og henset til, at overtrædelsen angik et stort antal registrerede, hvis oplysninger var i den særlige kategori af personoplysninger, navnlig følsomme oplysninger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/privathospitalet-capio-as-indstilles-til-boede

Datatilsynet udtaler sig om rækkevidden af tidligere afgørelse om Aarhus Universitetshospital

Det danske Datatilsyn (»Datatilsynet«) udtalte sig i en pressemeddelelse den 2. februar 2024 om rækkevidden af deres tidligere afgørelse over for Aarhus Universitetshospital i november 2023. Datatilsynet fastslog i afgørelsen, at Aarhus Universitetshospitals offentliggørelse af oplysninger om patienter, herunder billeder på Instagram, ikke kunne ske på baggrund af et samtykke fra patienten, at der ikke fandtes et andet gyldigt retsgrundlag for offentliggørelsen Dette skyldtes særligt det ulige forhold mellem patienten og hospitalet samt patientens typisk sårbare situation under en indlæggelse eller et behandlingsforløb.

Datatilsynet fastslog nu yderligere i pressemeddelelsen, at privathospitaler også skal følge de samme retningslinjer vedrørende offentliggørelse af personoplysninger. Datatilsynet tog i afgørelsen ikke stilling til en række forhold, såsom offentliggørelse af oplysninger efter afslutningen af et behandlingsforløb eller kontrolforløb. I pressemeddelelsen fastslog Datatilsynet, at samtykke i disse tilfælde muligvis kan opnås efter en konkret vurdering af patientens situation.

Datatilsynet udtalte, at det afgørende for vurderingen af, om et gyldigt samtykke kan indhentes, er patientens situation. Borgere i behandlingssituationer er typisk sårbare, og dette kan skabe en ulighed i forholdet mellem borgeren og personalet, hvilket kan påvirke samtykkets frivillighed. Det er blandt andet dette, der åbner muligheden for, at frivilligt samtykke kan gives efter behandlingsforløbet er afsluttet.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/feb/nyt-om-raekkevidden-af-auh-afgoerelsen

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2023/nov/hospital-kan-ikke-bruge-samtykke-til-at-offentliggoere-billeder-af-patienter-paa-instagram

Datatilsynet forholder sig til Chromebook-sagens relevans for brug af andre cloudservices

Den 28. februar 2024 angav det danske Datatilsyn (»Datatilsynet«) i en pressemeddelelse, at de havde taget stilling til en henvendelse fra Region Syddanmark med journalnummer 2023-431-0012. Henvendelsen skete i forlængelse af Datatilsynets afgørelse i den såkaldte Chromebook-sag, hvor Datatilsynet vurderede, at der ikke var hjemmel til at videregive personoplysninger til Google til alle de formål, som de tidligere blev videregivet til. Region Syddanmark ønskede nu oplyst, hvorvidt Chromebook-sagen har relevans for anskaffelse og brug af andre cloudservices. I dette tilfælde angik spørgsmålet specifikt Microsoft som cloudserviceleverandør.

I Datatilsynets svar til Region Syddanmark lagde de vægt på, at det i Chromebook-sagen fremgik som en grundlæggende forudsætning for lovlig behandling af personoplysninger, at den dataansvarlige havde kendskab til og havde kortlagt, hvilke oplysninger der blev behandlet, samt til hvilke formål. Ifølge Datatilsynet omfattede dette en afdækning af, om cloudserviceleverandøren behandlede personoplysningerne til egne formål.

Ud fra de af Region Syddanmark fremsendte oplysninger vurderede Datatilsynet, at det ikke var klart, om Microsoft ville behandle personoplysningerne til egne formål. Datatilsynet anviste derfor en række forhold, som Region Syddanmark skulle kortlægge og afklare. I den forbindelse understregede Datatilsynet, at det er den dataansvarliges opgave at dokumentere, at behandlingen er lovlig, uanset valget af standardiserede eller skræddersyede løsninger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/feb/chromebook-sagens-relevans-for-andre-organisationer-og-cloudservices

Læs Datatilsynets svar her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/region-syddanmarks-paataenkte-brug-af-microsoft-365

Datatilsynet træffer afgørelse om brugen af cookie-walls på berlingske.dk

Det danske Datatilsyn (»Datatilsynet«) oplyste den 11. marts 2024 at de havde truffet afgørelse om Berlingske.dks brug af cookie-walls i en sag med journalnummer 2023-431-0010.

Berlingske.dk brugte på sin hjemmeside cookie-walls, der forhindrede brugerne af hjemmesiden i at tilgå indlejret delindhold som eksempelvis et blogindlæg. Brugerne kunne kun tilgå delindholdet, hvis de accepterede Berlingske.dks behandling af sine personoplysninger til statistiske og markedsføringsformål.

For at en samtykkebaseret behandling af personoplysninger kan leve op til kravene efter Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«), skal behandlingen være baseret på et samtykke til ét eller flere specifikke formål, jf. GDPR artikel 6, stk. 1, litra a, og samtykket skal være frivilligt, specifikt, informeret og utvetydigt, jf. GDPR artikel 4, nr. 11.

Datatilsynet fandt, at Berlingske.dk ikke levede op til GDPR artikel 6, stk. 1, litra a og artikel 4, nr. 11, ved at betinge adgangen til delindholdet af behandling af personoplysninger til statiske og markedsføringsformål. Den registrerede havde ikke mulighed for at tilgå indholdet på anden måde, hvorfor Datatilsynet fandt, at der reelt ikke var tale om et frivilligt samtykke. Berlingske blev derfor meddelt påbud om at bringe samtykkeløsningen i overensstemmelse med GDPR’s krav til et gyldigt samtykke.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/mar/ugyldigt-samtykke-i-cookie-walls-paa-berlingskedk

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/feb/ugyldigt-samtykke-i-cookie-walls-paa-berlingskedk#_ftn2

Datatilsynet har truffet afgørelser om parkeringsselskabers overholdelse af oplysningspligten

Det danske Datatilsyn (»Datatilsynet«) oplyste i pressemeddelelse den 20. marts 2024, at det havde gennemført en undersøgelse af oplysningspligten hos tre parkeringsselskaber og har nu fuldført tilsynsprocessen med fokus på virksomhedernes overholdelse af oplysningspligten ved udstedelse af parkeringsafgifter.

Datatilsynet valgte at rette deres fokus på tre større parkeringsselskaber og undersøge, hvordan de håndterede oplysningspligten. I to tilfælde udtrykte Datatilsynet kritik, idet selskaberne undlod at informere de registrerede (parkanterne) om behandlingen af deres personoplysninger ved opkrævning af parkeringsafgifter.

Datatilsynet lagde vægt på, at disse selskaber forsømte at informere parkanterne om, hvordan deres personoplysninger blev behandlet efter GDPR artikel 14 i forbindelse med udstedelse af parkeringsafgifter, og fastslog, at sådan information skulle gives senest ved udstedelsen af parkeringsafgiften. Datatilsynet understregede, at den dataansvarlige virksomhed skal træffe aktive foranstaltninger for at sikre overholdelse af oplysningspligten, og det at have oplysningerne tilgængelige på en hjemmeside ikke anses for tilstrækkeligt.

Datatilsynet konkluderede, at et af de undersøgte selskaber opfyldte sin oplysningspligt ved at inkludere en henvisning til virksomhedens persondatapolitik i deres betalingspåkrav. Derved blev de registrerede (parkanterne) rettidigt informeret om behandlingen af deres personoplysninger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/mar/datatilsynet-har-undersoegt-oplysningspligten-hos-tre-parkeringsselskaber

Læs afgørelsen om Avantpark her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/datatilsynet-har-undersoegt-oplysningspligten-hos-tre-parkeringsselskaber-avantpark

Læs afgørelsen om Oparko her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/datatilsynet-har-undersoegt-oplysningspligten-hos-tre-parkeringsselskaber-oparko-aps

Læs det afsluttende brev om Parkzone her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jan/datatilsynet-har-undersoegt-oplysningspligten-hos-tre-parkeringsselskaber-parkzone