Højesteret skærper beviskrav for immateriel skade efter GDPR artikel 82

Den 19. december 2025 afsagde Højesteret sin første dom om erstatning efter databeskyttelsesreglerne i fire sammenhørende sager. Sagerne omhandlede fire borgere, der krævede erstatning efter Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«) artikel 82 på grund af et databrud hos Gladsaxe Kommune. Sagerne blev behandlet under sagsnumrene BS-14485/2025-HJR, BS-14653/2025-HJR, BS-15152/2025-HJR og BS-16195/2025-HJR.

Ifølge GDPR artikel 82 har enhver, som har lidt materiel eller immateriel skade som følge af et brud på databeskyttelsesreglerne, ret til erstatning fra den dataansvarlige eller databehandleren.

I slutningen af november 2018 udarbejdede økonomiafdelingen i Gladsaxe Kommune et regneark med oplysninger om cirka 20.000 borgere. En medarbejder gemte regnearket på en bærbar computer, som blev stjålet fra rådhuset mellem den 30. november og 3. december 2018. Regnearket indeholdt personoplysninger som navn, CPR-nummer, adresse, bopælskommune samt oplysninger i kodeform om sociale ydelser, som borgerne havde modtaget.

De fire borgere forklarede, at databruddet havde skabt ængstelse og frustration, som viste sig gennem søvnproblemer, koncentrationsbesvær, modløshed, angst og flashbacks. De gjorde på den baggrund gældende, at de havde krav på økonomisk godtgørelse efter GDPR artikel 82.

Højesteret henviste til EU-Domstolens praksis om betingelserne for erstatning efter artikel 82. EU-Domstolen har fastslået, at den, der kræver erstatning efter GDPR artikel 82, både skal bevise at der er sket et brud på databeskyttelsesreglerne, og at dette brud har forårsaget materiel eller immateriel skade. Immateriel skade kan ifølge Højesteret omfatte negative følelser som følge af uautoriseret videregivelse af personoplysninger til andre for eksempel frygt eller utilfredshed udløst af tab af kontrol, risiko for misbrug eller skade på omdømme. Men den berørte person skal bevise både følelserne og de negative konsekvenser heraf. Når en person påberåber sig frygt for fremtidigt misbrug, skal retten vurdere, om denne frygt er velbegrundet.

Højesteret konstaterede, at der ikke var oplysninger om, at regnearket på den stjålne computer i årene efter tyveriet var kommet i hænderne på uvedkommende eller var blevet misbrugt. Retten fandt, at den frygt og de negative følelser, som de fire borgere henviste til, ikke kunne anses for velbegrundede, når man så på regnearkets karakter og omstændighederne ved tyveriet.

Ud over borgernes egne forklaringer var der ikke fremlagt beviser, der støttede, at de havde lidt skade i form af negative følelser og negative konsekvenser heraf som følge af kommunens behandling af deres personoplysninger eller sikkerhedsbruddet. På den baggrund fandt Højesteret, at borgerne ikke havde bevist, at de havde lidt en skade omfattet af GDPR artikel 82. Kommunen blev derfor frifundet.

Dommen er principiel, fordi den fastslår krav til bevis for immateriel skade. Højesteret afviste ikke princippet om, at immateriel skade kan udløse erstatning under GDPR artikel 82 men understregede, at der skal foreligge konkret, dokumenteret bevis for, at den specifikke person har lidt en skade, der kan henføres til bruddet såsom faktisk misbrug, helbredsmæssige konsekvenser eller andre objektivt underbyggede konsekvenser.

Dommen skal ses i sammenhæng med Østre Landsrets afgørelse af 20. august 2025, hvor en borger blev tilkendt 2.500 kr. i kompensation, efter at Hillerød Kommune ved en fejl havde delt borgerens helbredsoplysninger med en tredjepart, som efterfølgende anvendte oplysningerne i en familieretlig sag. Højesterets forestående prøvelse af denne afgørelse vil være afgørende for at etablere en fast retspraksis for immateriel skade efter GDPR artikel 82 i Danmark.

Læs Højesterets dom her: https://www.domstol.dk/media/5hslkj4u/14485-osv-anonymiseret-dom.pdf

Datatilsynet har udtalt alvorlig kritik af Skatteforvaltningen for deres sagsbehandlingstid

Det danske Datatilsyn (»Datatilsynet«) traf den 30. september 2025 afgørelse i en sag vedrørende den danske skatteforvaltnings (»Skatteforvaltningens«) behandling af indsigtsanmodninger. Sagen blev behandlet under journalnummer 2024-432-0039.

Skatteforvaltningen havde i perioden 2019 til 2024 en gennemsnitlig sagsbehandlingstid for indsigtsanmodninger på 100,66 dage. Sagsbehandlingstiden var ikke i overensstemmelse med fristerne fastsat i GDPR artikel 12, stk. 3, hvor fristen er en måned, dog med mulighed for forlængelse med to måneder ved komplekse sager. På baggrund af den lange sagsbehandlingstid udtalte Datatilsynet alvorlig kritik af Skatteforvaltningen.

Skatteforvaltningen forklarede, at den lange sagsbehandlingstid særligt skyldtes, at der havde været komplicerede indsigtsanmodninger, og at behandlingen af disse havde forsinket de efterfølgende indsigtsanmodninger modtaget fra øvrige registrerede, da sagerne ifølge Skatteforvaltningens praksis skulle behandles i den rækkefølge de blev modtaget. Datatilsynet vurderede dog, at behandlingen af en indsigtsanmodning ikke kan udskydes med henvisning til, at der behandles andre anmodninger fra øvrige registrerede uanset disse andre anmodningers kompleksitet, antal og modtagelsestidspunkt.

I øvrigt forklarede Skatteforvaltningen, at deres sagsbehandlingstid i perioden 2019 til 2024 også havde skyldtes en opstartsperiode efter GDPR’s ikrafttræden, covid-19-nedlukning, implementering af EU-Domstolens krav vedrørende behandling af indsigtsanmodninger i logdata samt mangel på medarbejdere på indsigtsområdet.

Datatilsynet udtalte i den forbindelse at mangel på ressourcer, personale og foranstaltninger ikke kan begrunde sagsbehandlingstider af en sådan længde i en periode på ca. 6 år. Datatilsynet lagde vægt på, at det er den dataansvarliges ansvar at tilrettelægge ressourcer, således at behandlingen af anmodningerne overholder tidsfristerne fastsat i GDPR uanset om for eksempel retstilstanden ændres, eller der opstår mangel på medarbejdere.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/sep/datatilsynet-udtaler-alvorlig-kritik-af-skatteforvaltningens-haandtering-af-indsigtsanmodninger

Datatilsynet fastsætter krav til gennemsyn af tv-overvågning af medarbejdere

Det danske Datatilsyn (»Datatilsynet«) traf den 30. september 2025 afgørelse om DSB Service & Retail A/S’ tv-overvågning af medarbejdere på arbejdspladsen. Sagen blev behandlet under journalnummer 2025-832-0031 efter en klage fra en fagforening.

Virksomheden oplyste, at tv-overvågningen havde til formål at forebygge og opklare kriminalitet samt sikre mulighed for at gøre retskrav gældende over for medarbejdere. Som hjemmel anvendte virksomheden interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f.

Datatilsynet fandt efter behandling i Datarådet, at tv-overvågningen var lovlig. Datatilsynet lagde vægt på, at formålene var saglige og udtrykkeligt angivne, og at overvågningen ikke var mere omfattende end nødvendigt.

I forbindelse med Datatilsynets behandling præciserede Datatilsynet betingelser for gennemsyn af optagelser. Gennemsyn med henblik på at gøre retskrav gældende over for medarbejdere kan alene ske ved begrundet mistanke om grovere overtrædelser af interne retningslinjer og regler. Eksempler herpå er konkret og begrundet mistanke om internt svind, chikane eller systematisk snyd med tidsregistrering. Gennemsyn kan i øvrigt kun ske såfremt mindre indgribende midler har været forsøgt og ikke kunne belyse forholdet.

Afgørelsen fastslår således, at arbejdsgivere ikke frit kan gennemse tv-overvågning af medarbejdere, men gennemsynet skal opfylde strenge betingelser.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/sep/tv-overvaagning-af-medarbejdere-hos-dsb-service-and-retail-as

Datatilsynet godkender hjemmel til AI-baseret sagsbehandling på SU-området

Det danske Datatilsyn (»Datatilsynet«) fastslog i en principiel udtalelse den 30. september 2025, at Uddannelses- og Forskningsstyrelsen har hjemmel til at udvikle og anvende en AI-løsning til vurdering af handicaptillægsansøgninger inden for rammerne af eksisterende dansk lovgivning. Afgørelsen blev truffet under journalnummer 2024-212-0371.

Uddannelses- og Forskningsstyrelsen havde anmodet Datatilsynet om en vurdering af, hvorvidt styrelsen kunne udvikle og idriftsætte en AI-løsning, der trænes på indkomne og afgjorte handicaptillægsansøgninger samt tilhørende dokumentation. AI-løsningen skulle fungere som støtte i vurderingen af, om den fremsendte dokumentation er tilstrækkelig til sagens behandling.

Datatilsynet vurderede, at behandling af personoplysninger til udvikling af AI-løsningen kan ske med hjemmel i GDPR artikel 6, stk. 1, litra e om myndighedsudøvelse samt artikel 9, stk. 2, litra g om behandling af følsomme personoplysninger, der er nødvendig af hensyn til væsentlige samfundsinteresser.

Begge bestemmelser forudsætter dog et supplerende nationalt retsgrundlag. Behandling af personoplysninger som led i driften af AI-løsningen kan ske med hjemmel i eksisterende bestemmelser om statens uddannelsesstøtte (»SU«) i henholdsvis lovbekendtgørelse nr. 395 af 13. april 2023 (»den danske SU-lov«), bekendtgørelse nr. 794 af 22. juni 2025 (»den danske SU-bekendtgørelse«), samt bekendtgørelse nr. 813 af 26. juni 2025 (»den danske AI-SU-bekendtgørelse«). Bestemmelserne fastsætter, at behandling af personoplysninger kan finde sted i forbindelse med ansøgninger eller anden behandling af oplysninger vedrørende SU, når det er nødvendigt for at understøtte styrelsens sagsbehandling.

Afgørelsen er principiel, idet den kan bane vejen for bredere anvendelse af AI i den offentlige forvaltning inden for rammerne af gældende lovgivning.

Læs Datatilsynets udtalelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/sep/drift-af-ai-loesning-til-sagsbehandling-paa-su-omraadet

A/S Storebæltsforbindelsens hastighedskontrol skete inden for rammerne af de databeskyttelsesretlige regler

Det danske Datatilsyn (»Datatilsynet«) traf den 9. oktober 2025 afgørelse i en sag om retsgrundlaget for A/S Storebæltsforbindelsens behandling af personoplysninger i forbindelse med hastighedskontrol på Storebæltsbroen. Sagen blev afgjort under journalnummer 2025-31-1798.

Klager havde anfægtet retsgrundlaget for, at A/S Storebæltsforbindelsen kunne i) behandle personlysninger, ii) videregive personoplysninger til politiet samt iii) foretage tv-overvågning. Klager mente ikke, at der var hjemmel til ovennævnte behandlinger i lovbekendtgørelse nr. 1335 af 26. november 2024 (»den danske lov om Sund & Bælt Holding A/S«) med det formål at udøve hastighedskontrol.

Datatilsynet fandt i deres afgørelse, at A/S Storebæltsforbindelsen har den fornødne hjemmel til behandling af personoplysninger i § 3 og§ 17 i den danske lov om Sund og Bælt Holding A/S, jf. GDPR artikel 6, stk. 3, jf. artikel 6, stk. 1, litra e. Datatilsynet fremhævede, at A/S Storebæltsforbindelsen er forvalter af Storebæltsbroen, jf. § 3 i den danske lov om Sund og Bælt Holding A/S, og at denne forvaltning indebærer at sikre hensigtsmæssig trafik, hvilket blandt andet opnås gennem hastighedskontroller.

Datatilsynet vurderede herudover, at A/S Storebæltsforbindelsen har hjemmel i lovbekendtgørelse nr. 289 af 8. marts 2024 (»den danske lov om databeskyttelse«) § 8, stk. 3 og 4 til at videregive personoplysninger til politiet i forbindelse med konstaterede hastighedsoverskridelser.

Derudover udtalte Datatilsynet, at A/S Storebæltsforbindelsen har hjemmel til tv-overvågning, da de er undtaget forbuddet i lovbekendtgørelse nr. 182 af 24. februar 2023 (»den danske tv-overvågningslov«), jf. § 17, stk. 1, i den danske lov om Sund & Bælt Holding A/S.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/okt/behandling-af-personoplysninger-ved-hastighedskontrol-paa-storebaeltsbroen

Datatilsynet opdaterer vejledning om adfærdskodekser

Det danske Datatilsyn (»Datatilsynet«) har den 9. oktober 2025 opdateret sin vejledning om adfærdskodekser for behandling af personoplysninger med nye vejledende tekster og eksempler. Siden er målrettet brancheorganisationer, brancheforeninger og offentlige myndigheder, som overvejer at udarbejde et adfærdskodeks for deres branche. Et adfærdskodeks udarbejdet af en brancheforening, som repræsenterer en bestemt kategori af dataansvarlige eller databehandlere, kan anvendes til at løse databeskyttelsesretlige udfordringer som er sædvanlige for branchen. Den opdaterede side giver nu et samlet overblik over, hvad et adfærdskodeks er, hvem der kan udarbejde et, hvad det kan omfatte og, hvordan det godkendes og føres tilsyn med.

Læs Datatilsynets opdaterede vejledning her: https://www.datatilsynet.dk/regler-og-vejledning/adfaerdskodekser-og-certificeringsordninger

EDPB har udvalgt emner for den koordinerede håndhævelsesramme i 2026

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 14. oktober 2025 en række vedtagelser fra Det Europæiske Databeskyttelsesråds (»EDPB’s«) plenarmøde den 7. og 8. oktober 2025, herunder hvilket emne som bliver omdrejningspunkt for EDPB’s koordinerede håndhævelsesramme i 2026. Som emne for 2026 har EDPB valgt overholdelse af reglerne om gennemsigtighed og oplysningspligt, som følger af artikel 12, 13 og 14 i GDPR.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2025/okt/edpb-vaelger-emne-for-naeste-aars-cef

Forlængelse af Storbritanniens to tilstrækkelighedsafgørelser

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 20. oktober 2025, at Det Europæiske Databeskyttelsesråd (»EDPB«) har vedtaget to udtalelser om EU-Kommissionens (»Kommissionens«) udkast til afgørelser, som forlænger gyldighedsperioden for Storbritanniens to tilstrækkelighedsafgørelser.

EDPB er i deres udtalelser positive overfor Kommissionens udkast til afgørelser. EDPB fremhæver, at de databeskyttelsesretlige regler i Storbritannien og EU fortsat minder om hinanden men understreger samtidig, at Kommissionen er forpligtet til at overvåge udviklingen i Storbritannien.

Begge Kommissionens udkast til afgørelser er blevet vedtaget, og gyldighedsperioden, som ellers ville have udløbet den 27. december 2025, blev dermed forlænget til 27. december 2031.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2025/okt/edpb-vedtager-udtalelser-om-tilstraekkelighedsafgoerelser-for-storbritannien

Datatilsynet præciserer rækkevidden af EU-Domstolens afgørelse om pseudonymiserede personoplysninger i databehandlerkonstruktioner

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 22. oktober 2025 yderligere vejledning om rækkevidden af EU-Domstolens afgørelse i sag C-413/23 EDPS v. SRB om pseudonymiserede personoplysninger. Vejledningen blev udsendt efter, at Datatilsynet havde modtaget et stort antal henvendelser om afgørelsens betydning.

EU-Domstolen fastslog i afgørelsen, at pseudonymisering, afhængigt af de konkrete omstændigheder, kan være så effektiv, at den registrerede ikke vil kunne identificeres af andre end den dataansvarlige. Det, at en personoplysning er blevet pseudonymiseret, medfører derfor ikke i sig selv, at den pseudonymiserede oplysning i alle behandlingssituationer og for alle personer skal betragtes som en personoplysning. EU-Domstolen udtalte endvidere, at det relevante perspektiv for vurderingen af, om den registrerede er identificerbar, afhænger af de omstændigheder, der kendetegner behandlingen af oplysningerne i det konkrete tilfælde.

Datatilsynet har fortolket EU-Domstolens afgørelse og taget stilling til, hvorvidt pseudonymiserede oplysninger skal anses for personoplysninger for en databehandler i en databehandlerkonstruktion.

I en databehandlerkonstruktion vil personoplysninger, som er pseudonymiseret af den dataansvarlige, forblive personoplysninger, så længe oplysningerne behandles på den dataansvarliges vegne og efter dennes instruks, idet den dataansvarlige har nøglen til at identificere den registrerede. Perspektivet i databehandlerkonstruktion er, at enhver behandling udelukkende kan ske, fordi den dataansvarlige bestemmer det og har råderet over alle formål og midler. Databehandleren kan ikke behandle disse oplysninger udenfor instruksen, og vurderingen skal derfor foretages fra den dataansvarliges perspektiv. I denne situation er databehandlerens lovlige, tekniske eller kontraktuelle mulighed for at (re-)identificere de registrerede derfor ikke relevant for vurderingen.

Hvis en databehandler ønsker at behandle personoplysninger, der er pseudonymiseret af den dataansvarlige, til egne formål udover instruksen, er oplysningerne stadig personoplysninger for den oprindelige dataansvarlige. Den oprindelige dataansvarlige skal derfor have hjemmel til at videregive personoplysningerne til databehandleren som ny dataansvarlig, uanset om oplysningerne i den nye behandlingskontekst vil kunne falde udenfor definitionen af personoplysninger.

Præciseringen er vigtig, fordi den fastslår, at selvom effektiv pseudonymisering kan betyde, at oplysninger ikke udgør personoplysninger for alle parter i alle situationer, vil pseudonymiserede data fortsat skulle anses som personoplysninger inden for en databehandlerkonstruktion, når databehandleren handler efter instruks, og den dataansvarlige besidder nøglen til identifikation. Vurderingen af, om der er tale om personoplysninger, skal således foretages ud fra den konkrete behandlingskontekst.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2025/okt/mere-nyt-om-eu-domstolens-afgoerelse-om-pseudonymiserede-personoplysninger

Læs dommen fra EU-Domstolen her: https://infocuria.curia.europa.eu/tabs/document?source=document&text=&docid=303863&pageIndex=0&doclang=EN&mode=req&dir=&occ=first&part=1&cid=16526693

Datatilsynet finder ikke tilstrækkeligt grundlag for kritik af DR’s krav om login på DRTV

Det danske Datatilsyn (»Datatilsynet«) traf den 23. oktober 2025 afgørelse i en sag om den danske public service-institutions (»DR’s«) krav om login på streamingtjenesten DRTV. Datatilsynet fandt ikke fuldt tilstrækkeligt grundlag for at udtale kritik af det obligatoriske login på DRTV, men udtalte kritik af DR’s indsamling af brugernes navne. Sagen blev behandlet under journalnummer 2024-432-0041.

DR indførte i efteråret 2024 kravet om login for at afspille streamingindhold på DRTV. Datatilsynet modtog i den forbindelse en række klager fra borgere og igangsatte derfor i foråret 2025 en undersøgelse af, hvorvidt DR’s behandling af personoplysninger var i overensstemmelse med GDPR.

Datatilsynet fandt ikke fuldt tilstrækkeligt grundlag for at kritisere, at DR i medfør af GDPR artikel 6, stk. 1, litra e, indsamler oplysninger i forbindelse med brugen af DRTV ved at kræve login. Datatilsynet lagde vægt på, at rækkevidden af DR’s public service-forpligtelse ikke entydigt kan fastlægges, og at en sådan fastlæggelse beror på medieretlige vurderinger uden for Datatilsynets kerneområde.

DR anførte at moderne public service kræver en sammenhængende og individuel brugeroplevelse, og at en streamingtjeneste uden login og de dertil svarende funktioner ikke udgør et tidssvarende tilbud, som lever op til DR’s public service-forpligtelser.

Datatilsynet kritiserede imidlertid, at DR indtil den 5. september 2025 havde indsamlet oplysninger om brugernes navne i strid med princippet om dataminimering i GDPR artikel 5, stk. 1, litra c. Login-siden angav »Fortæl os dit navn«, selvom DR selv havde erkendt, at det ikke var nødvendigt at kende brugernes navne. DR har nu ændret teksten til »Vælg et profilnavn«, hvor brugerne ikke behøver at benytte deres rigtige navn.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/okt/datatilsynet-har-undersoegt-dr%e2%80%99s-obligatoriske-login

Datatilsynet har politianmeldt to virksomheder for manglende stillingtagen til indsigtsanmodning

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 30. oktober 2025, at tilsynet havde politianmeldt virksomhederne Klein2 ApS og Nordic Cleaning ApS for manglende efterlevelse af Datatilsynets påbud vedrørende en indsigtsanmodning.

Datatilsynet havde ved en tidligere lejlighed påbudt de to virksomheder at tage stilling til en indsigtsanmodning, som begge virksomheder havde modtaget, men ikke havde besvaret. Datatilsynet udtalte, at da ingen af de to virksomheder har efterlevet påbuddet, har Datatilsynet valgt under hensyntagen til GDPR artikel 83, stk. 2 at politianmelde virksomhederne med indstilling til bøde.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/okt/klein2-aps-og-nordic-cleaning-aps-indstilles-til-boede

EDPB har vedtaget udtalelse om tilstrækkelighedsafgørelse for Brasilien

Det danske datatilsyn (»Datatilsynet«) offentliggjorde den 5. november 2025, at Det Europæiske Databeskyttelsesråd (»EDPB«) har vedtaget en udtalelse om EU-Kommissionens (»Kommissionens«) udkast til en tilstrækkelighedsafgørelse for Brasilien.

Grundlaget for Kommissionens udkast til en tilstrækkelighedsafgørelse er Brasiliens nylige vedtagelse af en databeskyttelseslov. EDPB’s udtalelse er positiv, men opfordrer dog Kommissionen til at fremkomme med visse præciseringer, heriblandt angående uklarheder om de dataansvarliges forpligtelse til at foretage konsekvensanalyse, beføjelserne for det brasilianske datatilsyn med hensyn til retshåndhævelse samt rækkevidden af undtagelsesbestemmelsen vedrørende national sikkerhed.

Kommissionens udkast til tilstrækkelighedsafgørelse forventes vedtaget i 2026.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2025/nov/edpb-vedtager-udtalelse-om-tilstraekkelighedsafgoerelse-for-brasilien

Datatilsynet anbefaler lovfæstelse af politiets anvendelse af ansigtsgenkendelse

Det danske Datatilsyn (»Datatilsynet«) afgav den 17. november 2025 høringssvar til Rigspolitiets konsekvensanalyse vedrørende et pilotprojekt om politiets brug af ansigtsgenkendelsesteknologi i efterforskning. Sagen havde forinden været behandlet i Datarådet.

Datatilsynet vurderede, at konsekvensanalysen var gennemarbejdet og opfyldte kravene i lov nr. 410 af 27. april 2017 (»den danske retshåndhævelseslov«) § 25.

Datatilsynet fandt dog, at anvendelsesområdet for ansigtsgenkendelse bør præciseres. Særligt brugen af begrebet »lignende overtrædelser« kan skabe tvivl om, i hvilke situationer teknologien må anvendes. Datatilsynet henstillede derfor til, at det præciseres, helst ved lov, hvilke strafbare forhold der kan begrunde anvendelse af værktøjet. Dette følger af principperne om god databehandlingsskik, formålsbegrænsning og dataminimering i § 4, stk. 1-3 i den danske retshåndhævelseslov.

Datatilsynet anbefalede desuden, at politiet udarbejder retningslinjer for, hvordan der i konkrete sager skal tages stilling til anvendelse af værktøjet.

Høringssvaret understreger vigtigheden af klar lovfæstelse af anvendelsesområdet for nye teknologier med høj risiko for den registreredes rettigheder samt behovet for konkrete retningslinjer for anvendelsen i praksis.

Læs Datatilsynets høringssvar her: https://www.datatilsynet.dk/Media/638996545615404211/Svar%20til%20Rigspolitiet.pdf

Forslag til forenkling af digitale retsakter i EU’s digitale omnibus

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 20. november 2025, at EU-Kommissionen (»Kommissionen«) har fremsat forslag til en lovpakke med en række forslag til forenklinger af EU’s digitale retsakter herunder GDPR. Forslaget omtales som den digitale omnibus.

Forud for Kommissionens forslag, havde Kommissionen anmodet om høringssvar til den digitale omnibus, hvorigennem den danske regering indgav høringssvar. I høringssvaret kom den danske regering med deres forslag til, hvordan EU’s digitale regulering kan forenkles og ensrettes på tværs af retsakter. Forslagene vedrører områderne; data, cookies og ePrivacy, AI Act samt elektronisk identifikation.

Det Europæiske Databeskyttelsesråd (»EDPB«) og Den Europæiske Tilsynsførende for Databeskyttelse (»EDPS«) skal afgive udtalelse om den digitale omnibus, og forslaget skal behandles af EU-Parlamentet og Rådet. Forslaget forventes færdigbehandlet i slutningen af 2026.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2025/nov/digital-omnibus-forslag-til-aendringer-af-bestemmelser-i-gdpr

Læs regeringens høringssvar (på engelsk) her: https://www.ft.dk/samling/20251/almdel/DIU/bilag/5/3081852.pdf

Interesseafvejningsreglen kan anvendes ved videregivelse af medarbejderoplysninger til dokumentation for arbejdsklausuler

Det danske Datatilsyn (»Datatilsynet«) fastslog i en udtalelse den 20. november 2025, at leverandører som udgangspunkt kan anvende interesseafvejningsreglen i GDPR artikel 6, stk. 1, litra f, om behandling på grundlag af legitime interesser, som hjemmel til at videregive medarbejderoplysninger til ordregivere med henblik på dokumentation for overholdelse af arbejdsklausuler. Udtalelsen er vejledende og kom på baggrund af en anmodning fra et dansk advokatfirma.

Arbejdsklausuler anvendes i vidt omfang af både offentlige og private ordregivere for at sikre rimelige løn- og arbejdsvilkår hos leverandører og derved modvirke social dumping. Ordregivere stiller ofte krav om, at leverandøren fremlægger dokumentation for overholdelse af arbejdsklausulerne, typisk i form af lønsedler, timesedler og ansættelseskontrakter. Dette rejser spørgsmål om leverandørens hjemmel til at videregive sådanne personoplysninger.

Datatilsynet vurderede, at leverandører som udgangspunkt kan anvende interesseafvejningsreglen GDPR artikel 6, stk. 1, litra f. Henset til arbejdsklausulernes formål vil der almindeligvis være tale om så tungtvejende legitime interesser, at disse kan danne grundlag for videregivelsen, medmindre der konkret foreligger særlige omstændigheder, der taler imod.

Leverandører kan således fremadrettet som udgangspunkt anvende interesseafvejningsreglen som hjemmel til at videregive medarbejderoplysninger til ordregivere med henblik på dokumentation for overholdelse af arbejdsklausuler, forudsat at der foretages en konkret vurdering i hvert enkelt tilfælde.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/nov/videregivelse-af-personoplysninger-som-dokumentation-for-overholdelse-af-arbejdsklausuler

Datatilsynet har ført tilsyn med ejendomsadministratorers håndtering af registreredes rettigheder

Det danske Datatilsyn (»Datatilsynet«) afsluttede i december 2025 tilsyn med fem ejendomsadministratorers overholdelse af databeskyttelsesreglerne, herunder reglerne om indsigt, sletning og oplysningspligt. Tilsynet omfattede DAB, KAB, DAB-Lejerbo, DEAS og Boligexperten. Sagen blev behandlet under journalnummer 2025-41-0139.

Tilsynet viste generelt, at ejendomsadministratorerne havde godt styr på reglerne og alle havde udarbejdet interne retningslinjer til sikring af overholdelse af databeskyttelsesreglerne.

Datatilsynet identificerede dog flere områder med behov for forbedring. Ved indsigtsanmodninger kan dataansvarlige ikke blot henvise til privatlivspolitikken, men skal udlevere alle oplysninger efter GDPR artikel 15, stk. 1. Dataansvarlige skal desuden fortolke anmodninger bredt uanset terminologi, og eksempelvis kan »aktindsigt« fra private borgere reelt udgøre en anmodning om indsigt efter GDPR. Ved delvis afvisning af sletteanmodninger skal begrundelsen være konkret med henvisning til den specifikke lovgivning, der begrunder, at personoplysninger ikke slettes. Centrale værktøjer til at overholde databeskyttelsesreglerne i praksis er interne retningslinjer og løbende medarbejderuddannelse.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/dec/datatilsynet-har-foert-tilsyn-med-ejendomsadministratorer

Digitaliseringsstyrelsen har udgivet vejledning om forbudte AI-systemer

Den danske Digitaliseringsstyrelse (»Digitaliseringsstyrelsen«) udgav i oktober 2025 en vejledningspakke om forbudte former for AI-praksis i henhold til Europa-Parlamentets og Rådets Forordning (EU) 2024/1689 af 13. juni 2024 om harmoniserede regler for kunstig intelligens (»AI-forordningen«). Vejledningen supplerer EU-Kommissionens retningslinjer og består af en hovedvejledning samt fem supplerende vejledninger om de områder, som Digitaliseringsstyrelsen fører tilsyn med.

AI-forordningen forbyder i artikel 5 en række AI-systemer, der udgør en uacceptabel risiko mod menneskers sundhed, sikkerhed og grundlæggende rettigheder. Forbuddet omfatter blandt andet skadelig AI-baseret manipulation, skadelig AI-baseret udnyttelse af sårbarheder, sociale scoringer, ikkemålrettet skrabning fra internettet eller kameraovervågning til ansigtsgenkendelse samt følelsesgenkendelse på arbejdspladser og uddannelsesinstitutioner. Forbuddet trådte i kraft den 2. februar 2025 og gælder inden for EU’s grænser. Digitaliseringsstyrelsen er udpeget som markedsovervågningsmyndighed i Danmark for hovedparten af de forbudte former for AI-praksis.

Digitaliseringsstyrelsens vejledning understreger, at både virksomheder og offentlige myndigheder skal sikre, at deres AI-anvendelse ikke falder ind under de forbudte kategorier. Det anbefales at foretage grundige risikovurderinger inden ibrugtagning af AI-systemer for at undgå overtrædelse af forbuddet.

Læs vejledningspakken fra Digitaliseringsstyrelsens her: https://digst.dk/tilsyn/ai-forordningen/reglerne-i-ai-forordningen/forbudte-former-for-ai-praksis/#accordion-oversigt-over-de-forbudte-former-for-ai-praksis