Retten i Viborg tilkendte godtgørelse for uberettiget videregivelse af personoplysninger til skadevolder

Retten i Viborg afsagde den 12. januar 2026 dom i sag BS-53777/2023-VIB. Sagen angik, hvorvidt den danske Civilstyrelse (»Civilstyrelsen«) skulle betale godtgørelse til A og hendes mor, B, for uberettiget at have videregivet personoplysninger fra A’s sag hos det danske Erstatningsnævn (»Erstatningsnævnet«) til skadevolderen C.

A blev som 13-årig udsat for seksuelle overgreb begået af C. Erstatningsnævnet tilkendte A godtgørelse for svie og smerte på 80.000 kr., hvilket beløb blev udbetalt af Civilstyrelsen. Da Civilstyrelsen efterfølgende rejste regreskrav mod C for det udbetalte beløb, udleverede Civilstyrelsen sagsakter til C’s advokat. Det danske Datatilsyn (»Datatilsynet«) udtalte efterfølgende alvorlig kritik af videregivelsen, idet den skete i strid med Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«). Civilstyrelsen anerkendte, at videregivelsen udgjorde en culpøs retsstridig handling, og at der var grundlag for godtgørelse for tort efter § 26, stk. 1 i lovbekendtgørelse nr. 1080 af 30. august 2025 om erstatningsansvar (»den danske lov om erstatningsansvar«), dog ikke overstigende 15.000 kr.

Retten bemærkede indledningsvist, at enhver videregivelse af oplysninger i sager om seksuelle overgreb kræver en særlig grundig gennemgang af nødvendigheden i videregivelsen af de enkelte oplysninger og en afvejning af behovet for videregivelse over for de berørtes ret til fortrolighed. Retten fandt, at navnlig de nærmere beskrivelser af A’s psykiske forhold i de børnefaglige undersøgelser samt sundhedsoplysninger om hendes fysiske helbred var særdeles personfølsomme, og at videregivelsen udgjorde en krænkelse af A’s ret til respekt for privatliv efter artikel 8 i Den Europæiske Menneskerettighedskonvention (»EMRK«), idet indgrebet hverken var proportionalt med det tilsigtede mål eller nødvendigt i et demokratisk samfund. Retten tillagde det betydning, at de videregivne oplysninger fra Civilstyrelsen oversteg, hvad der var nødvendigt for at løfte bevisbyrden med hensyn til regreskravet, idet fraværsrapporter og psykolognotater i tilstrækkelig grad ville have dokumenteret grundlaget for det rejste krav.

Retten fastsatte godtgørelsen til A til 112.500 kr. svarende til referencebeløbet efter Den Europæiske Menneskerettighedsdomstols praksis. For B fandt retten, at videregivelsen udgjorde en krænkelse af hendes ret til privatliv efter EMRK artikel 8, men at selve anerkendelsen heraf udgjorde en tilstrækkelig kompensation.

Læs Retten i Viborgs dom her: https://domsdatabasen.dk/#/sag/10379/12211

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2026/mar/hvad-maa-partierne-bruge-om-dig-i-folketingsvalgkampen

Datatilsynet eskalerer undersøgelse af Rejsekort-app til Det Europæiske Databeskyttelsesråd

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 14. januar 2026, at tilsynet fortsat undersøger den nye Rejsekort-app, som Datatilsynet indledte en nærmere undersøgelse af i 2024. Datatilsynets initiale undersøgelse blev omtalt i 4. udgave af Lov og Data i 2024 (nr. 160). På baggrund af uklarheder i retstilstanden har Datatilsynet i den forbindelse planlagt, som godkendt af Datatilsynets øverste organ, det danske Dataråd (»Datarådet«), at anmode om en formel udtalelse fra Det Europæiske Databeskyttelsesråd (»EDPB«).

Datatilsynets undersøgelse fokuserer på, hvorvidt appens indsamling af personoplysninger lever op til GDPR artikel 5, stk. 1, litra c, om dataminimering, samt om appen er designet i overensstemmelse med GDPR artikel 25, stk. 1, om databeskyttelse gennem design. Den nye Rejsekort-app sporer brugernes fysiske placering under rejsen, bl.a. for at beregne billetprisen. Kernen i undersøgelsen angår, hvor mange personoplysninger om brugerne er nødvendige for at levere en digital billetteringsløsning, herunder om det er nødvendigt at brugere fortsat kan spores, efter rejsen er afsluttet.

Anmodningen udspringer af, at det ikke har været muligt at udlede et entydigt billede af retstilstanden gennem Datatilsynets indhentning af uformelle udtalelser fra øvrige europæiske tilsynsmyndigheder om lignende billetløsninger baseret på lokationssporing. Datatilsynet har bedt Rejsekort & Rejseplan A/S om at besvare en række spørgsmål om appens funktionalitet og tekniske opbygning, og virksomheden har fremsendt flere redegørelser.

Datatilsynet forventer ikke at modtage svar fra EDPB før sommeren 2026, hvorefter Datarådet skal tage endelig stilling til sagen. Afhængigt af udfaldet kan sagen føre til kritik, påbud eller politianmeldelse af Rejsekort & Rejseplan A/S.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2026/jan/datatilsynet-undersoeger-fortsat-den-nye-rejsekort-app

Læs Datatilsynets pressemeddelelse fra 2024 her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2026/mar/hvad-maa-partierne-bruge-om-dig-i-folketingsvalgkampen

Datatilsynet udtaler alvorlig kritik af 51 kommuners brug af Google-produkter i folkeskolen

Det danske Datatilsyn (»Datatilsynet«) traf den 29. januar 2026 afgørelse i den såkaldte Chromebook-sag om 51 kommuners brug af Googles produkter til undervisning i folkeskolen. Sagen blev behandlet under journalnummer 2025-431-0053.

Sagen omhandler kommunernes brug af Google Workspace for Education og Google Chrome Education til undervisningsformål i de danske folkeskoler og er det sidste led i et større sagskompleks, som Datatilsynet har behandlet over flere år og som også har været behandlet i de tidligere udgivelser af Lov og Data. Afgørelsen er truffet som opfølgning på Udtalelse 22/2024 fra Det Europæiske Databeskyttelsesråd (»EDPB«) om den dataansvarliges forpligtelser ved brug af databehandlere. Datatilsynet havde i tilsynets tilbagevenden til sagskomplekset i nærværende sag et særligt fokus på kommunernes overvejelser og dokumentation for lovliggørelsen af den behandling af personoplysninger, der fandt sted hos Googles underdatabehandlere uden for EU.

Datatilsynet udtalte alvorlig kritik af kommunerne, eftersom tilsynet fandt, at kommunernes behandling af personoplysninger ikke var sket i overensstemmelse med GDPR, herunder GDPR’s principper om lovlig og gennemsigtig behandling samt reglerne om den dataansvarliges ansvar og brug af (under-)databehandlere.

Datatilsynet advarede endvidere kommunerne om, at det sandsynligvis vil være i strid med GDPR artikel 6, stk. 1, jf. artikel 6, stk. 3, om behandlingens lovlighed, hvis kommunerne ikke har konfigureret deres opsætning af de pågældende programmer i overensstemmelse med de krav, Kommunernes Landsforening (»KL«) har specificeret, og hvilke indstillinger tjener til formål at afgrænse kommunernes brug af Googles services ud af de behandlinger, som der ikke er hjemmel til. Datatilsynet advarede tilsvarende om, at det sandsynligvis vil være i strid med GDPR artikel 28, stk. 1, at antage en databehandler, hvis der ikke kan sikres et beskyttelsesniveau svarende til EU/EØS, ved viderebehandling hos underdatabehandlere i tredjelande.

Datatilsynet bemærkede afslutningsvist, at hele forløbet kunne have været undgået ved, at de relevante databeskyttelsesretlige vurderinger var blevet foretaget, inden det konkrete produkt var blevet anskaffet, og at det ikke er muligt lovligt at købe og ibrugtage et produkt, der behandler personoplysninger, hvis den dataansvarlige ikke kan skabe klarhed over de behandlinger, der finder sted.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2026/jan/datatilsynet-giver-51-kommuner-alvorlig-kritik-i-chromebook-sag

Datatilsynet afslutter tilsyn med skolefotoudbydere

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 6. januar 2026 resultatet af sit tilsyn med skolefotoudbyderes behandling af personoplysninger. Sagen blev behandlet under journalnummer 2025-41-0140.

Tilsynene havde fokus på ansvars- og rollefordelingen mellem skolefotoudbyderen og skolerne, særligt i forhold til sikring af de registreredes rettigheder samt udbydernes opbevaring og sletning af oplysninger. Tilsynene er en del af Datatilsynets planlagte tilsynsaktiviteter og har omfattet fem skolefotoudbydere.

Datatilsynet bemærkede, at en skolefotoudbyder og en skole er selvstændige dataansvarlige for den behandling af personoplysninger, der finder sted som led i klasse- og portrætfotografi, idet parterne selvstændigt fastsætter formålet og midlerne for behandlingen. For skolefotoudbyderen er det særlig relevant at overveje, i hvilken udstrækning behandlingen kan ske med hjemmel i nødvendigheden af opfyldelse af de kontrakter, der indgås med de registrerede, jf. GDPR artikel 6, stk. 1, litra b.

Fire ud af fem skolefotoudbydere oplyste at have en opbevaringsperiode for fotos og dertilhørende identifikationsoplysninger på 1-3 år, mens en enkelt skolefotoudbyder havde en opbevaringsperiode på 10 år; perioder der alle primært begrundes i muligheden for at genbestille skolefotos. Datatilsynet bemærkede, at formålet med opbevaringen i sig selv er sagligt, men at nødvendighedskravet forudsætter et dokumenteret forretningsmæssigt behov for genbestillinger, og at der for fotos ældre end 2-3 år ikke synes et egentligt forretningsmæssigt behov herfor. Datatilsynet fandt derfor anledning til at anmode én af skolefotoudbyderne om at tilpasse sin opbevaringsperiode, om end tilsynet samtidig bemærkede, at opbevaringsperioden på 2-3 år blot var et pejlemærke, der kunne modificeres af den enkelte ved tilstrækkelig dokumentation af et sagligt forretningsmæssigt behov.

Læs Datatilsynets afsluttende brev her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2026/jan/datatilsynet-afslutter-tilsyn-med-skolefotoudbydere

Datatilsynet offentliggør fokusområder for tilsyn i 2026

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 7. januar 2026 sine fokusområder for det kommende tilsynsarbejde i 2026. Fokusområderne afspejler den teknologiske udvikling samt områder, hvor Datatilsynet vurderer, at der er særlige risici for borgernes rettigheder.

I 2026 vil Datatilsynet særligt rette opmærksomheden mod overvågning gennem nye teknologier, herunder brugen af kunstig intelligens til overvågning og kontrol af borgere i pleje, måle- og overvågningsenheder til patientbehandling i hjemmet, danske hjemmesiders sporing af borgere samt overvågning af ansatte.

Derudover vil Datatilsynet have fokus på persondatasikkerhed og de registreredes rettigheder, herunder sikker anvendelse af auto-complete, tilsyn med store databehandlere, registreredes ret til gennemsigtighed samt behandling af personoplysninger i fælleseuropæiske informationssystemer og tilsyn med behandling af PNR-oplysninger.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2026/jan/datatilsynets-fokusomraader-for-tilsyn-i-2026

Datatilsynet orienterer om databeskyttelsesregler for politiske partier og opdaterer vejledning om valgkampagner

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 6. marts 2026 en pressemeddelelse om reglerne for politiske partiers behandling af personoplysninger i forbindelse med den igangværende folketingsvalgkamp. Pressemeddelelsen inddrog databeskyttelseskrav i medfør af GDPR samt Europa-Parlamentets og Rådets forordning (EU) 2024/900 af 13. marts 2024 om gennemsigtighed og målretning i forbindelse med politisk reklame (»forordningen om politisk reklame«), som trådte i kraft den 10. oktober 2025.

Datatilsynets pressemeddelelse præciserede, at partiernes behandling af personoplysninger som alder, bopæl, eller telefonnummer til målretning af budskaber skulle ske på et lovligt grundlag, og at partierne skulle informere klart om, hvilke oplysninger de behandlede, hvorfra oplysningerne stammede, samt behandlingens formål. Manglende overholdelse af informationspligterne kunne gøre udsendelsen af de politiske budskaber ulovlig.

Datatilsynet opdaterede den 17. marts 2026 endvidere vejledningen om databeskyttelsesreglerne i forbindelse med valgkampagner med henblik på at inkorporere de nye krav efter forordningen om politisk reklame.

Forordningen om politisk reklame har indført nye krav om samtykke fra den enkelte vælger forud for målretning af politisk onlinereklame, informationskrav over for vælgerne, samt dokumentations- og offentliggørelsesforpligtelser. Forordningen forbyder endvidere profilering på baggrund af særlige kategorier af personoplysninger, herunder oplysninger om politisk eller religiøs overbevisning, fagforeningsmæssigt tilhørsforhold samt helbredsoplysninger. Den nye forordning finder anvendelse sideløbende med GDPR.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2026/mar/hvad-maa-partierne-bruge-om-dig-i-folketingsvalgkampen

Datatilsynet præciserede retstilstanden for tredjelandsoverførsler i databehandleraftaler

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 29. januar 2026 et svar på en konkret forespørgsel fra Det Fælleskommunale Databehandlersekretariat (»DBS«) om vilkår i databehandleraftaler, hvor databehandleren forbeholdt sig retten til at overføre personoplysninger til tredjelande i særlige tilfælde. Sagen blev offentliggjort under journalnummer 2025-211-3556.

Som led i sit tilsyn med databehandlere for kommunerne havde DBS en tilbagevendende problemstilling i, hvornår sådanne vilkår i databehandleraftaler skulle anses som instrukser i databeskyttelsesretlig forstand, og hvorvidt den dataansvarlige hertil skulle sikre et overførselsgrundlag efter GDPR, kapitel V, om overførsler af personoplysninger til tredjelande.

Datatilsynet havde tidligere forholdt sig til dele af problematikken i tilsynets udtalelse til KOMBIT om tilsigtede og utilsigtede overførsler til tredjelande, offentliggjort under journalnummer 2022-212-3529, men ifølge DBS bestod der stadig en vis usikkerhed om de vilkår, der fremgår af databehandleraftaler ved brug af cloudleverandører.

Datatilsynets besvarelse var med afsæt i Det Europæiske Databeskyttelsesråds (»EDPB«) Udtalelse 22/2024 om brugen af databehandlere, der havde skabt et afgrænset område, som hverken udgjorde tilsigtede eller utilsigtede overførsler. Det ville ifølge Datatilsynet sige, at der i praksis ikke foreligger utilsigtede overførsler, og dermed overførsler uden for instruks, medmindre den dataansvarlige aktivt har instrueret databehandleren udtømmende i hvilke overførsler der er accepteret eller ved at instruere om ikke at overføre oplysninger på baggrund af en uafgrænset og/eller uspecifik formulering. Hvor der er en uklarhed i det aftalte, vil der ifølge Datatilsynet opstå en situation, hvor den dataansvarlige ud fra dolus eventualis-betragtninger potentielt kan ifalde et strafferetligt ansvar efter databeskyttelsesreglerne, ved at have forholdt sig accepterende til den mulige ulovlige følge af en eller flere uspecifikke formuleringer.

Datatilsynet understregede, at dette beror på ansvarlighedsprincippet, hvorefter den dataansvarlige til enhver tid har ansvaret for at overholde databeskyttelsesreglerne, herunder kravene i GDPR kapitel V. Det indbefatter også den dataansvarliges indirekte accept i form af at lade uklare formuleringer være indeholdt i databehandleraftalen, som kunne skabe fortolkningstvivl.

Datatilsynet opfordrede på den baggrund dataansvarlige til nøje at gennemgå databehandleraftaler for åbne formuleringer, gå i dialog med databehandleren om, hvorvidt de pågældende formuleringer skulle udgøre en instruks, og hvis ikke, aktivt instruere databehandleren i, at formuleringen ikke måtte føre til, at visse overførsler vil finde sted, eller alternativt sørge for, at en sådan formulering udgik af kontrakten.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2026/jan/vilkaar-i-databehandleraftalen-om-overfoersler-af-personoplysninger-til-tredjelande

Læs Datatilsynets besvarelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2026/jan/vilkaar-i-databehandleraftalen-om-overfoersler-af-personoplysninger-til-tredjelande