Ny praksis for indsigt i logfiler

Den 22. juni 2023 tog EU-Domstolen i sag C-579/21 (Pankki S) stilling til spørgsmålet om retten til indsigt i logfiler. En »log« er en fil, hvori et it-system gemmer oplysninger om dets drift og brug, og kan efter omstændighederne indeholde personoplysninger, herunder oplysninger om, hvornår der er foretaget opslag på en given persons oplysninger og af hvem.

Dommen har medført en ændring af det danske Datatilsyn (»Datatilsynet«) praksis. Tidligere var personoplysninger i en log ikke omfattet af retten til indsigt efter Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 15, da Datatilsynet betragtede loggen som en systemmæssig sikkerhedsfacilitet uden selvstændig behandling af (person-)oplysninger.

EU-Domstolen fastslog dog, at GDPR artikel 15, stk. 1, skal fortolkes således, at information vedrørende søgninger i en persons personoplysninger og datoerne for og formålet med disse søgninger udgør information, som den berørte person har ret til at få fra den dataansvarlige. Dog giver bestemmelsen ikke ret til information om identiteten på den dataansvarliges ansatte, som har foretaget søgningerne, medmindre denne information er nødvendig for, at den registrerede effektivt kan udøve sine rettigheder, og under forudsætning af at de ansattes rettigheder og frihedsrettigheder kan iagttages.

Den nye praksis indebærer, at dataansvarlige skal udlevere en kopi af de personoplysninger om en registreret, som er registreret i loggen, herunder oplysninger om søgninger i vedkommendes oplysninger og datoerne for og formålet med disse søgninger. Hvis denne information er nødvendig for, at den registrerede kan udøve sine rettigheder, skal man desuden oplyse, hvem der har foretaget søgningen, medmindre det krænker sidstnævntes rettigheder.

Denne nye praksis er nu inkorporeret og tilkendegivet af Datatilsynet og vil fremadrettet udgøre grundlaget for Datatilsynets tilgang til indsigt i logfiler.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/hvad-gaelder-for-indsigt-i-logfiler

Opdateret vejledning om håndtering af brud på persondatasikkerheden

Det danske Datatilsyn (»Datatilsynet«) har den 4. juli 2024 opdateret sin vejledning om håndtering af brud på persondatasikkerheden, hvorefter den er udvidet til at indeholde flere konkrete eksempler. Denne opdatering udgør en del af Datatilsynets løbende arbejde med at sikre, at dataansvarlige har de nødvendige redskaber til at håndtere brud på persondatasikkerheden korrekt.

De nye eksempler i vejledningen illustrerer de overordnede principper, der også var en del af den tidligere version, men med fornyet ­udgangspunkt i den praksis, der løbende er kommet på området. Indtil videre er det kun de første dele af vejledningen, der er blevet opdateret, men Datatilsynet forventer at udvide vejledningen yderligere i ­løbet af det fortløbende kvartal i efterår og vinter 2024.

Det bør fremhæves, at den gamle vejledning fortsat er gældende, indtil de nye opdateringer er fuldt implementeret.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/opdateret-vejledning-om-haandtering-af-brud

Læs Datatilsynets opdaterede vejledning her: https://www.datatilsynet.dk/Media/637886298435856391/H%C3%A5ndtering%20af%20brud%20p%C3%A5%20persondatasikkerheden.pdf

Kommunerne efterlever Datatilsynets påbud i Chromebook-sagen

Den 10. juli 2024 konkluderede det danske Datatilsyn (»Datatilsynet«), at de af Chromebook-sagen omfattede kommuner nu efterlever det påbud, de fik udstedt tilbage i januar 2024 som del af Chromebook-sagskomplekset. Datatilsynet finder navnlig, at kommunerne ikke længere videregiver personoplysninger til uhjemlede formål.

KL meddelte på vegne af de 52 omfattede kommuner, at kommunerne fra 1. august 2024 ville ophøre med at videregive personoplysninger til Googles egne formål, som Datatilsynet i sin delafgørelse fra januar 2024 fandt uhjemlede. Datatilsynet noterer sig, at kontrakten er tilpasset, så personoplysninger nu kun behandles i overensstemmelse med den dataansvarlige kommunes instrukser med undtagelse af de tilfælde, hvor det er krævet i henhold til EU-regler eller en EU-medlemsstats nationale ret. Tilsynet påpeger dog samtidig, at der fortsat er en række udeståender i sagen.

Datatilsynet har anmodet Det Europæiske Databeskyttelsesråd om en udtalelse om bl.a. rækkevidden af den dataansvarliges dokumenta­tionsforpligtelse for databehandlerens brug af underdatabehandlere. Når udtalelsen er modtaget, agter Datatilsynet at foretage en endelig vurdering af underdatabehandlerkæden vedrørende kommunernes anvendelse af Googles produkter.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/chromebook-sagen-kommunerne-efterlever-datatilsynets-seneste-paabud-

Natklub får alvorlig kritik for håndtering af tv-overvågningsoptagelser

Den 24. juni 2024 udtalte det danske Datatilsyn (»Datatilsynet«) alvorlig kritik af Clemens Bar ApS (»Clemens Bar«) for deres håndtering af en anmodning om indsigt i tv-overvågningsoptagelser (journalnummer 2023-31-0053).

En borger klagede til Datatilsynet over, at Clemens Bar afviste at give indsigt i tv-overvågningsoptagelser, hvori borgeren fremgik. Clemens Bar begrundede afslaget med, at indsigt i optagelserne kunne kompromittere sikkerheden på natklubben og formindske den kriminalitetsbekæmpende effekt, som var formålet med tv-overvågningen. Endvidere ville det ikke være muligt at sløre de øvrige personer på optagelserne, for at undgå krænkelse af disses rettigheder, uden også at sløre klageren grundet det store antal personer, der fremgik af optagelserne.

Clemens Bar havde gemt de relevante tv-overvågningsoptagelser, men på grund af en menneskelig fejl blev optagelserne slettet, før tilsynet havde færdigbehandlet ­sagen.

Datatilsynet fandt, at Clemens Bar ikke kunne afvise anmodningen med henvisning til offentlige interesser, da vurderingen ikke var funderet i en erklæring fra politiet eller lignende, men derimod udelukkende var baseret på Clemens Bars egen vurdering. Dog fandt Datatilsynet, at der ikke var tilstrækkeligt grundlag for at tilsidesætte Clemens Bars vurdering af, at udlevering af optagelserne kunne krænke andres rettigheder og frihedsrettigheder, da der var ca. 150 personer på optagelserne.

Datatilsynet havde dog i lyset af den utilsigtede sletning af video­materialet ikke mulighed for at efterprøve dette led af Clemens Bars argumentation. På den baggrund havde Clemens Bar fejlet i at håndtere klagers anmodning i overensstemmelse med princippet om lovlighed, rimelighed og gennemsigtighed efter Europa-­Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 5, stk. 1, litra a.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/natklub-faar-alvorlig-kritik-manglende-indsigt-i-og-sletning-af-tv-overvaagningsoptagelser

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jun/natklub-faar-alvorlig-kritik-manglende-indsigt-i-og-sletning-af-tv-overvaagningsoptagelser

Digitaliseringsstyrelsen ændrer kørekort-appen efter alvorlig kritik

Det danske Datatilsyn (»Datatilsynet«) afsluttede den 11. juli 2024 en sag mod den danske Digitaliseringsstyrelse (»Digitaliseringsstyrelsen«), efter at styrelsen havde ændret det digitale kørekort for at efterleve ­Datatilsynets forbud, og dermed overholde dataminimeringsprincippet. Sagen blev behandlet under journalnummer 2023-432-0011.

Sagen tog sit udgangspunkt i ­Datatilsynets brev af 8. november 2023, hvor tilsynet udtalte alvorlig kritik af Digitaliseringsstyrelsen for at behandle personoplysninger fra det danske kørekortregister om personer, som ikke selv havde tilmeldt sig muligheden for det digitale kørekort, og gav i denne forbindelse ­styrelsen forbud mod at behandle sådanne personoplysninger. Datatilsynet fandt, at denne behandling var i strid med dataminimeringsprincippet i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 5, stk. 1, litra c, hvorefter kun de for databehandlingen nødvendige ­oplysninger må behandles.

Digitaliseringsstyrelsen har nu ændret kørekort-appen, så styrelsen alene modtager oplysninger fra kørekortregisteret om de personer, der faktisk har tilmeldt sig det digitale kørekort. Datatilsynet har på den baggrund endeligt afsluttet sagen.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/digitaliseringsstyrelsen-har-aendret-koerekort-appen

Læs Datatilsynets afsluttende brev her: https://www.datatilsynet.dk/Media/638562963202773201/K%C3%B8rekort-app.pdf

Udlændinge- og Integrations­ministeriet får kritik for manglende kontrol med visuminformationssystemet

Det danske Datatilsyn (»Datatilsynet«) udtalte den 10. juli 2024 kritik af det danske Udlændinge- og Integrationsministerium (»Udlændige- og Integrationsministeriet«) for manglende kontrol med egne slettefrister i det nationale visuminformationssystem (VIS) og for ikke straks at slette oplysninger om visumansøgere, der opnår statsborgerskab i en EU-medlemsstat. Sagen blev behandlet under journalnummer 2023-421-0015.

Under et tilsyn hos Udlændinge – og Integrationsministeriet konstaterede Datatilsynet, at ministeriet ikke førte kontrol med, om deres automatiske slettepraksis i visuminformationssystemet fungerede korrekt. Datatilsynet vurderede, at den manglende løbende kontrol med denne slettepraksis var i strid med kravet om ansvarlighed og opbevaringsbegrænsning i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 5, stk. 2, og artikel 5, stk. 1, litra e.

Desuden konstaterede Datatilsynet, at ministeriet ikke straks slettede oplysninger om visumansøgere, der opnåede statsborgerskab i en EU-medlemsstat inden udløbet af en 5-årig periode, som påkrævet af Europa-Parlamentets og Rådets Forordning (EF) 767/2008 af 9. juli 2008 om visuminformationssystemet (VIS) og udveksling af oplysninger mellem medlemsstaterne om visa til kortvarigt ophold (»VIS-forordningen«). I stedet blev ansøgerne vejledt til selv at kontakte Udlændingestyrelsen for at få deres oplysninger slettet. Datatilsynet vurderede, at denne fremgangsmåde ikke opfyldte VIS-forordningens krav om sletning før tid, jf. forordningens artikel 25. På denne baggrund udtalte Datatilsynet kritik af Udlændinge- og Integrationsministeriet.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/jul/udlaendinge-og-integrationsministeriet-faar-kritik-i-tilsynssag-vedroerende-visuminformationssystemet

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jul/udlaendinge-og-integrationsministeriet-faar-kritik-i-tilsynssag-vedroerende-visuminformationssystemet

Familieretshuset møder alvorlig kritik igen

Det danske Datatilsyn (»Datatilsynet«) udtalte den 2. juli 2024 endnu engang alvorlig kritik af det danske Familieretshus (»Familieretshuset«) for manglende behandlingssikkerhed resulterende i utilsigtet videregivelse af beskyttede oplysninger og oplysning om ophold på krisecentre. Sagen blev behandlet under journalnummer 2023-432-0003.

I perioden fra 6. januar 2023 til 30. juni 2024 anmeldte Familieretshuset 28 nye brud på persondatasikkerheden til Datatilsynet. Disse brud bestod i Familieretshusets uberettigede videregivelse af oplysninger om beskyttede navne og adresser eller andre oplysninger – potentielt egnet til at afsløre en persons opholdssted. Oplysningerne blev i de fleste tilfælde videregivet til den anden part i sagen, som oftest kunne være årsagen til valget om navne- og adressebeskyttelse eller ophold på et krisecenter. Den utilsigtede videregivelse skyldtes menneskelige fejl forårsaget af medarbejderes manglende opmærksomhed.

Datatilsynet har tidligere udtalt alvorlig kritik i lignende sager og påbudt Familieretshuset at foretage risikovurderinger og etablere sikkerhedsforanstaltninger. Familieretshuset arbejder fortsat på at styrke og implementere nye foranstaltninger for at mindske risikoen for lignende brud. Datatilsynet anerkendte disse bestræbelser, men fandt, at Familieretshuset fortsat ikke havde implementeret tilstrækkelige sikkerhedsforanstaltninger eller sikret, at de eksisterende foranstaltninger havde haft den ønskede effekt. Derfor udtalte Datatilsynet igen alvorlig kritik af Familieretshusets manglende overholdelse af Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 32, stk. 1, om passende behandlingssikkerhed.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/aug/familieretshuset-faar-igen-alvorlig-kritik

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jul/familieretshuset-faar-igen-alvorlig-kritik

Vejen Kommune indstillet til bøde for manglende kryptering

Det danske Datatilsyn (»Datatilsynet«) politianmeldte den 14. August 2024 Vejen Kommune for utilstrækkelige sikkerhedsforanstaltninger og indstillede i denne forbindelse til en bøde på 200.000 kroner.

Datatilsynets behandling af sagen tog sit udspring, da Vejen Kommune anmeldte et brud på persondatasikkerheden efter et tyveri af fem bærbare skolecomputere i kommunen. Disse computere indeholdt oplysninger om børn og var ikke krypterede. Datatilsynets efterfølgende undersøgelse af sagen afslørede, at op mod 300 andre computere i kommunen tilsvarende manglede kryptering.

Datatilsynet har tidligere advaret kommuner om vigtigheden af kryptering og har indstillet til bøder i lignende sager. Kryptering er ifølge Datatilsynet en basal sikkerhedsforanstaltning, som er relativt nem og ikke videre omkostningsfuld at implementere. Ud fra den betragtning bør kryptering ifølge Datatilsynet derfor som udgangspunkt også forudsættes inkorporeret i IT-sikkerheden. Datatilsynet opfordrer således kommunerne til at gennemgå deres bærbare enheder grundigt og sikre, at krypteringen er på plads.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/aug/endnu-en-kommune-indstillet-til-boede-for-manglende-kryptering

Fitnesscenters brug af ansigtsgenkendelse godkendt som gyldigt samtykke

Det danske Datatilsyn (»Datatilsynet«) har under journalnummer 2023-31-0028 den 3. juli 2024 truffet afgørelse i en sag om et fitnesscenters brug af ansigtsgenkendelse, herunder om fitnesscenterets andre adgangsmuligheder kunne udgøre tilstrækkelige alternativer. Datatilsynet vurderede, at et samtykke hos den registrerede som behandlingsgrundlag for denne praksis var gyldigt, såfremt det var informeret og korrekt indhentet.

Datatilsynet modtog en klage fra en borger over, at fitnesscentret Sporting Health Club (»SHC«) havde indført ansigtsgenkendelse som adgangskontrol. Klageren påpegede, at der ikke var tilstrækkelige alternativer til ansigtsgenkendelse. Det blev i sagen oplyst, at brugere af fitnesscentret, der ikke ønsker at give samtykke til ansigtsgenkendelse, kan blive lukket ind af receptionen i åbningstiden. Uden for de bemandede åbningstider kan brugerne kontakte døgnsupporten, som enten kan fjernåbne døren eller generere en adgangskode.

Datatilsynet har tidligere vurderet i en anden sag, at brugen af ansigtsgenkendelse som adgangskontrol til fitnesscentre ikke i sig selv overtræder Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 5 og proportionalitetsprincippet. Nærværende sag rejste derfor primært spørgsmål om samtykkekravene og muligheden for, at de eksisterende alternativer kunne betragtes som reelle.

Datatilsynet fandt, at SHC kunne indhente et gyldigt samtykke, der kunne udgøre en undtagelse til forbuddet mod behandling af særlige kategorier af oplysninger, såfremt samtykket var informeret og korrekt indhentet. Dog udtalte Datatilsynet kritik af det samtykke, som SHC konkret havde forsøgt at indhente fra klageren, da klageren var blevet oplyst om, at der ikke var alternativer til ansigtsgenkendelse.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/aug/samtykke-til-ansigtsgenkendelse-i-fitnesscenter-var-gyldigt

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jul/samtykke-til-ansigtsgenkendelse-i-fitnesscenter-var-gyldigt

Brug af kunstig intelligens i telefonsamtaler sat under lup

Det danske Datatilsyn (»Datatilsynet«) undersøgte den 27. juni 2024 IDA Forsikrings brug af kunstig intelligens til analyse af optagne telefonsamtaler. Datatilsynet fastslog, at en sådan praksis kan være lovlig, men at samtykkeprocessen skulle forbedres. Sagen blev behandlet under journalnummer 2023-431-0018.

Undersøgelsen, som Datatilsynet indledte af egen drift den 1. marts 2023 fokuserede på, hvordan IDA Forsikring anvender kunstig intelligens til at analysere selskabets telefonsamtaler med personer, der ringer til IDA Forsikrings kundeservice. IDA Forsikring optager indgående telefonopkald og sender lydfilerne til en databehandler, der transskriberer dem til tekst ved hjælp af talegenkendelse. Formålene bag indsamlingen og analysen er at forbedre IDA Forsikrings medlemsservice, sikre kvaliteten og give medarbejderne uddannelsesmæssig indsigt i samtalerne med henblik på at styrke servicen overfor medlemmerne.

Datatilsynet fandt, at IDA Forsikring kan optage og analysere samtalerne inden for rammerne af databeskyttelsesreglerne, men kritiserede imidlertid den nuværende samtykkeproces for ikke at leve op til databeskyttelsesreglerne, da samtykket ikke var tilstrækkelig granuleret. Det var dermed ikke muligt at samtykke særskilt til de enkelte formål.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/aug/ida-forsikrings-brug-af-kunstig-intelligens-til-analyse-af-optagne-telefonsamtaler

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jun/ida-forsikrings-brug-af-kunstig-intelligens-til-analyse-af-optagne-telefonsamtaler

Datatilsynet udgiver ny vejledning om sikkerheds­foranstaltninger mod utilsigtet offentliggørelse

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 10. september 2024 et nyt tillæg til deres vejledning over sikkerhedsforanstaltninger, der tager sigte mod at hjælpe dataansvarlige med at forhindre utilsigtet offentliggørelse af personoplysninger.

Den nye foranstaltning udgør således en del af Datatilsynets katalog over sikkerhedsforanstaltninger og fokuserer igennem konkrete tiltag på at minimere risikoen for, at personoplysninger utilsigtet bliver genstand for offentliggørelse. Foranstaltningerne indeholder både forebyggende og korrigerende tiltag, der kan hjælpe med at opdage og rette op på eventuelle sikkerhedsbrud.

Datatilsynet har forklaret i forbindelse hermed, at processen med at frasortere personoplysninger fra materiale, der skal offentliggøres, ofte resulterer i sikkerhedsbrud, som kan opdages flere år senere. Den nye foranstaltning indeholder derfor flere forslag til, hvordan man kan undgå disse sikkerhedsbrud.

Den dataansvarlige har en forpligtelse til at beskytte disse oplysninger mod utilsigtet offentliggørelse og sikre en løbende kontrol heraf. Datatilsynet har dog i deres praksis konstateret flere eksempler på brud vedrørende utilsigtet offentliggørelse af personoplysninger. Det er i lyset af Datatilsynets erfaring, at de udsteder denne udvidelse af kataloget.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/sep/ny-foranstaltning-om-styret-og-overvaaget-offentliggoerelse-af-data

Aarhus Universitet får kritik for håndtering af personoplysninger

Det danske Datatilsyn (»Datatilsynet«) har i en pressemeddelelse af 20. september 2024 informereret om udfaldet af to tilsyn med Aarhus Universitet af henholdsvis 22. maj og 11. juni i forbindelse med universitetets behandling af personoplysninger på forskningsområdet. Sagerne blev behandlet under journalnumrene 2023-421-0001 og 2023-421-0013.

I det første tilsyn blev tre forskningsprojekter udvalgt til skriftligt tilsyn med fokus på behandlingsgrundlag, ansvar og roller. Datatilsynet fandt i forbindelse med tilsynet, at der bl.a. var uklarheder om hjemmelsgrundlaget for behandlingen af personoplysninger i to af projekterne, og at der ikke var indgået en fyldestgørende databehandleraftale i et tredje projekt. Derudover blev der konstateret manglende tilsyn med universitetets databehandlere i to af projekterne.

Det andet tilsyn omfattede et fysisk besøg hos Aarhus Universitet, hvor fokus for tilsynet var en tilladelse til videregivelse af biologisk materiale fra et forskningsprojekt. Datatilsynet udvidede efterfølgende tilsynet til at omfatte alle forskningsprojekter baseret på den danske databeskyttelseslov, jf. lovbekendtgørelse nr. 289 af 9. marts 2024 (»databeskyttelsesloven«) § 10, hvor der inden for de seneste to år var sket videregivelse omfattet af tilladelseskravet i databeskyttelseslovens § 10, stk. 3.

Datatilsynet udtalte alvorlig kritik af Aarhus Universitet for ikke at have sikret sig et overførselsgrundlag ved videregivelse af personoplysninger fra et forskningsprojekt og for ikke at have indhentet Datatilsynets tilladelse til videregivelse af personoplysninger i flere tilfælde.

Aarhus Universitet har nu i forbindelse med Datatilsynets kritik i medfør af det skriftlige tilsyn af 22. maj fået pålagt at redegøre for, hvordan de sikrer, at fremtidige forskningsprojekter overholder de databeskyttelsesretlige regler.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2024/sep/aarhus-universitet-faar-kritik-for-flere-forhold-i-forbindelse-med-forskning

Læs Datatilsynets afgørelser her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/maj/aarhus-universitet-faar-kritik-for-haandtering-af-personoplysninger-i-tre-forskningsprojekter

https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/jun/aarhus-universitet-faar-alvorlig-kritik-for-manglende-tilladelse-til-videregivelse-af-personoplysninger