Der forelå ikke en tilstrækkelig usikkerhed om hvorvidt indhentelse af teleoplysninger var i strid med EU-retten

Højesteret afsagde den 29. januar 2025 dom i sag SS-46/2024-HJR om den danske anklagemyndigheds (»Anklagemyndigheden«) anmodning om editionspålæg overfor teleselskaber, med henblik på udlevering af ikke-logningspligtige teleoplysninger.

Anmodningen om udlevering af teleoplysningerne skete i forbindelse med en narkokriminalitetsefterforskning, og teleselskaberne var i besiddelse af teleoplysninger vedrørende de mobiltelefoner, som anklagemyndigheden antog at tiltalte havde benyttet.

Der var tale om ikke-logningspligtige teleoplysninger, da de anmodede teleoplysninger ikke var omfattet af teleselskabernes registrerings- og opbevaringspligt efter den danske lov om rettens pleje, jf. lovbekendtgørelse nr. 1160 af 5. november 2024 (»retsplejeloven«) § 786 a - § 786 e. Retsplejelovens regler om registrerings- og oplysningspligt er fastsat i medfør af direktiv 2002/58/EF af 12. juli 2002 (»e-databeskyttelsesdirektivet«) artikel 15, stk. 1.

Tiltaltes advokat påstod, at afgørelsen på Anklagemyndighedens anmodning om at få udleveret teleoplysningerne måtte udsættes, indtil EU-domstolen havde taget stilling i den verserende sag C-241/22, da udleveringen kunne være i strid med EU-retten. Sag C-241/22 omhandler retshåndhævende myndigheders adgang til trafik- og lokaliseringsdata, der ikke lagres på grundlag af retsforskrifter, som er udstedt i medfør af databeskyttelsesdirektivet artikel 15, stk. 1.

Højesteret stadfæstede landsrettens resultat og fastslog, at afgørelsen om editionspålæg ikke skulle udsættes, da der ikke eksisterede en tilstrækkelig usikkerhed om, hvorvidt indhentelse af teleoplysningerne kunne være i strid med EU-retten.

Læs dommen fra Højesteret her: https://domsdatabasen.dk/#/sag/7139/8577

Oplysninger om parters navne på retslisten var ikke oplysninger om den ene parts seksuelle forhold

Højesteret afsagde den 7. marts 2025 kendelse i sag BS-36701/224-HJR om et forbud mod publicering af en dokumentarfilm, som vedrørte sexisme i mediebranchen.

Forbudssagen blev behandlet ved Københavns Byret, og på byrettens hjemmeside blev retslisten offentliggjort på dagen. Parternes navne fremgik, samt at sagen drejede sig om en forbudssag vedrørende presse. Sagsøgeren anmodede om, at sagens oplysninger ikke skulle fremgå af denne retsliste. Dette afviste både byretten og landsretten.

Spørgsmålet for Højesteret var, hvorvidt sagens parters navne ikke skulle være fremgået af byrettens retsliste med henvisning til, at der var tale om oplysninger om seksuelle forhold, der er beskyttet mod offentliggørelse efter Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 9, stk. 1.

Højesteret udtalte at den omstændighed, at det var offentligt tilgængeligt, at en sådan dokumentar var blevet produceret, og at der var rygtedannelse vedrørende den omhandlede part, ikke kunne medføre, at oplysninger på retslisten udgjorde sådanne oplysninger om seksuelle forhold.

Højesteret fandt på den baggrund, at retslisten ikke indeholdt oplysninger om partens seksuelle forhold efter bekendtgørelse nr. 546 af 18. juni 2004 (»retslistebekendtgørelsen«) § 5, stk. 3, som undtager de oplysninger, som er omfattet af GDPR artikel 9, stk. 1, der beskytter visse oplysninger fra at blive offentliggjort på internettet. Det var derfor berettiget, at byretten havde offentliggjort en retsliste på internettet med blandt andet sagens parters navne. Højesteret stadfæstede herefter landsrettens kendelse.

Højesteret udtalte desuden, at forbudssager ikke skal undtages fra retslisten efter retslistebekendtgørelsens § 1, stk. 2, der som udgangspunkt undtager alle sager som behandles ved foged- eller skifteretten fra at fremgå af retslisten. Forbudssager var ikke omfattet af denne undtagelse.

Læs kendelsen fra Højesteret her: https://www.domstol.dk/media/ctzoodhn/36701-anonymiseret-kendelse-til-hjemmesiden.pdf

Kommune blev idømt bøde på 50.000 kr. for videregivelse af personoplysninger på selvbetjeningsløsning

Østre Landsret afsagde den 19. februar 2025 dom i sag SS-2302/2023-OLR om strafudmålingen for overtrædelse af GDPR artikel 32 i forbindelse med ukorrekt videregivelse af personoplysninger i breve fra den kommunale tandpleje.

Tiltalte, Frederiksberg Kommune, havde på deres selvbetjeningsløsning, »Min Tandpleje«, givet adgang til tandplejens breve til umyndige patienter, for begge indehavere af forældremyndigheden. Dette skete uden i det enkelte tilfælde at vurdere om de pågældende oplysninger måtte videregives til den anden forælder. Det medførte at der for personer med navne- og adressebeskyttelse, opstod en risiko for, at der blev givet uberettiget adgang til oplysninger om den ene forælders og/eller barnets adresse. Oplysningerne var tilgængelige på selvbetjeningsløsningen i en uafbrudt periode på 3 år.

Spørgsmålet for Østre Landsret vedrørte strafudmålingen. Retten understregede at GDPR artikel 83, stk. 2 skal anvendes ved pålæggelse af bødestraf for overtrædelse af GDPR artikel 32, jf. den danske databeskyttelseslov, jf. lovbekendtgørelse nr. 289 af 8. marts 2024 § 41, stk. 3 om strafudmåling. Det fremgår af forarbejderne til databeskyttelsesloven at bødeloftet for offentlige myndigheder er lavere end for private.

Retten lagde vægt på flere hensyn i strafudmålingen. Disse hensyn er oplistet i GDPR artikel 83, stk. 2. Retten bemærkede, at overtrædelsen medførte en risiko for sikkerhedsbrud for maksimalt 56 personer. Frederiksberg Kommune havde underrettet disse personer. Alle omfattede personer havde navne- og adressebeskyttelse af andre årsager end den pågældende anden forælders forhold.

Retten lagde herudover vægt på at Frederiksberg Kommune hurtigt rettede sig efter at sikkerhedsbruddet blev konstateret, samt at Frederiksberg Kommune selv indberettede overtrædelsen til Datatilsynet. Der blev ligeledes lagt vægt på, at overtrædelsen var begået ved simpel uagtsomhed, og at Frederiksberg Kommune, som offentlig myndighed, ikke har opnået økonomiske fordele ved overtrædelsen.

Retten stadfæstede herefter byrettens dom og fastsatte bøden til 50.000 kr.

Læs dommen fra Østre Landsret her: https://domsdatabasen.dk/#sag/7244/8738

Datatilsynet udtaler alvorlig kritik af arbejdsgivers behandling af tidligere ansats private e-mailkonto

Det danske datatilsyn (»Datatilsynet«) har den 25. oktober 2024 truffet afgørelse i en sag med journalnummer 2024-31-0529. Sagen vedrørte en arbejdsgivers behandling af en tidligere ansats personoplysninger ved at arbejdsgiveren havde tilgået, downloadet og videregivet e-mails fra den ansattes private e-mailkonto.

Datatilsynets afgørelse udsprang af, at der mellem en arbejdsgiver og en tidligere ansat, blev ført en civil sag om dennes illoyale adfærd ved den tidligere ansættelse. Arbejdsgiveren havde også indgivet en politianmeldelse om den ansatte. I forbindelse med den civile sag og politianmeldelsen, havde arbejdsgiveren tilgået den ansattes personlige e-mailkonto via den ansattes arbejdscomputer. Arbejdsgiverens formål med dette var at sikre sig bevismateriale til at retsforfølge og politianmelde den ansatte.

Datatilsynet fandt først og fremmest, at arbejdsgiveren ved at tilgå, downloade og videregive e-mails fra den tidligere ansattes private e-mailkonto, havde behandlet personoplysninger som defineret i GDPR.

Datatilsynet slog herefter fast, at arbejdsgiverens interesse i bevissikring ikke vejede tungere end hensynet til den ansattes interesse i privatliv omkring sin private e-mailkonto. Behandlingen af den tidligere ansattes personoplysninger ved at søge, opbevare og videregive oplysninger fra den private e-mailkonto til retten, var derfor ikke lovlig efter GDPR artikel 6, stk. 1, litra f. På den baggrund udtalte Datatilsynet alvorlig kritik af arbejdsgiveren.

Datatilsynet lagde ved sin afgørelse vægt på, at der var tale om en privat e-mailkonto, som blev opdaget ved et tilfælde, og at dette ikke afholdt arbejdsgiveren fra at behandle oplysningerne, selv efter at arbejdsgiveren havde konstateret at der var tale om en privat e-mailkonto.

Læs pressemeddelelsen fra Datatilsynet her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/feb/virksomhed-faar-alvorlig-kritik-for-behandling-af-tidligere-ansats-personoplysninger

Læs afgørelsen fra Datatilsynet her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/okt/virksomhed-faar-alvorlig-kritik-for-behandling-af-tidligere-ansats-personoplysninger

Datatilsynet gav F.C. København tilladelse til brug af automatisk ansigtsgenkendelse

Det danske datatilsyn (»Datatilsynet«) har den 18. december 2024 truffet afgørelse i en sag med journalnummer 2024-51-0012. Sagen vedrørte F.C. Københavns behandling af følsomme oplysninger i henhold til den danske databeskyttelseslov, jf. lovbekendtgørelse nr. 289 af 8. marts 2024 § 7, stk. 3, om behandling af oplysninger der er nødvendige af hensyn til væsentlige samfundsinteresser.

Datatilsynet behandlede sagen efter ansøgning fra den danske 3F Superligaklub, F.C. København, som havde ansøgt om tilladelse til behandling af biometrisk data i form af anvendelse af automatisk ansigtsgenkendelse. F.C. København ønskede tilladelse til at anvende automatisk ansigtsgenkendelse ved ethvertarrangement i både Parken Stadion i København og på udebanestadioner.

Datatilsynet gav F.C. København tilladelse til at anvende en sådan automatisk ansigtskendelse i visse situationer. Datatilsynets tilladelse omfattede klubbens fodboldkampe, herunder træningskampe og UEFA-fodboldkampe, på Parken Stadion, ved adgangskontrollen ved indgangene, på stadion og tilhørende mobile anlæg. Datatilsynet henviste til, at anvendelsen ville bidrage til at sikre effektiv håndhævelse af karantæner. Datatilsynet gav dog ikke tilladelse til anvendelsen ved øvrige arrangementer.

Datatilsynet behandler fortsat den del af ansøgningen, der vedrører fodboldlandskampe.

Læs pressemeddelelsen fra Datatilsynet her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/jan/fc-koebenhavn-faar-tilladelse-til-brug-af-automatisk-ansigtsgenkendelse

Læs afgørelsen fra Datatilsynet her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2024/dec/fc-koebenhavn-faar-tilladelse-til-brug-af-automatisk-ansigtsgenkendelse

Berlingske efterlevede Datatilsynets påbud vedrørende cookie wall

Det danske datatilsyn (»Datatilsynet«) har den 17. januar 2025 truffet afgørelse i en sag med journalnummer 2023-431-0010. Sagen omhandlede det danske dagblad, Berlingskes, efterlevelse af Datatilsynets påbud af 14. februar 2024 vedrørende brug af cookie wall på hjemmesiden www.berlingske.dk.

I 2024 var Datatilsynet blevet bekendt med, at brugere af www.berlingske.dk, alene fik adgang til sidens indhold, hvis de gav samtykke til behandling af deres personoplysninger til statistiske- og markedsføringsformål. Brugerne havde dermed ikke et frivilligt valg om at samtykke, hvis de ønskede at tilgå indholdet på hjemmesiden, hvilket var i strid med GDPR artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11, om krav til gyldigt samtykke.

Datatilsynet konkluderede den 17. januar 2025, at Berlingskes cookie wall nu opfyldte GDPRs krav til gyldigt samtykke efter GDPR artikel 6, stk. 1, litra a, jf. artikel 4, nr. 11. Datatilsynet vurderede, at de brugere af hjemmesiden, der ikke ønskede at samtykke til behandling af deres personoplysninger til statistiske- og markedsføringsformål, nu fik adgang til indhold, der i vidt omfang svarede til det indhold, som ville være tilgængeligt, hvis brugeren havde givet et sådan samtykke, både i mængde, funktion og kvalitet.

Datatilsynet understregede, at det afgørende for vurderingen af et gyldigt samtykke er, om brugere har et rimeligt alternativ, hvis de ikke ønsker at samtykke til behandling af deres personoplysninger via en cookie wall. Datatilsynet gjorde gældende, at et rimeligt alternativ skal indebære, at de ikke-samtykkende brugere får adgang til indhold, der i det væsentlige svarer til det indhold, som brugere, der giver samtykke, får adgang til.

Læs pressemeddelelsen fra Datatilsynet her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/jan/berlingske-efterlever-datatilsynets-paabud-i-sag-om-cookie-wall-paa-berlingskedk

Læs afgørelsen fra Datatilsynet her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/jan/berlingske-efterlever-datatilsynets-paabud-i-sag-om-cookie-wall-paa-berlingskedk

Datatilsynet har udgivet to nye sikkerhedsforanstaltninger om sikker transmission

Det danske datatilsyn (»Datatilsynet«) udgav den 27. januar 2025 to nye foranstaltninger i Datatilsynets katalog over sikkerhedsforanstaltninger. Kataloget indeholder tekniske og organisatoriske foranstaltninger, de danske myndigheder kan overveje, i forbindelse med iagttagelsen af deres datasikkerhed.

Datatilsynet udgav foranstaltningerne »sikker transmission« og »sikker transmission med valideret afsender, modtager og indhold«, som adresserer forskellige sikkerhedstrusler.

»Sikker transmission« imødekommer risikoen for, at transmitterende data tilgås af uvedkommende. »Sikker transmission med valideret afsender, modtager og indhold« fokuserer ikke kun på risikoen for, at data læses af uvedkommende, men sikrer at afsenderen af data kan valideres og bevises.

Læs pressemeddelelsen fra Datatilsynet her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/jan/to-nye-sikkerhedsforanstaltninger-om-sikker-transmission

Læs Datatilsynets foranstaltning vedrørende sikker transmission her: https://www.datatilsynet.dk/regler-og-vejledning/behandlingssikkerhed/katalog-over-foranstaltninger/sikker-transmission

Læs Datatilsynets foranstaltning vedrørende sikker transmission med valideret afsender, modtager og indhold her: https://www.datatilsynet.dk/regler-og-vejledning/behandlingssikkerhed/katalog-over-foranstaltninger/sikker-transmission-med-valideret-afsender-modtager-indhold

Det danske datatilsyns fokusområder i 2025

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 7. januar 2025 hvilke tilsynsaktiviteter, som Datatilsynet planlægger i 2025.

Datatilsynet bemærker, at de særligt vil have fokus på at fremkomme med initiativer vedrørende følgende emner:

• Beskyttelse af børn

• Digital tracking i det virkelige liv

• Registreredes ret til sletning

• Styring af adgang til FMK hos privatpraktiserende læger og tandlæger

• Kunstig intelligens – generativ AI og sundhedssektor

• Retshåndhævelsesloven

• Behandling af personoplysninger i fælleseuropæiske informationssystemer

• Forsøg med fælles tilsyn med Finanstilsynet

Læs pressemeddelelsen fra Datatilsynet her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/jan/datatilsynets-fokusomraader-i-2025