GDPR NYT FRA FOCUS ADVOKATER, DEC. 2021

GDPR NYT

Velkommen til GDPR NYT – Focus Advokaters nyhedsbrev, der sørger for, at du får de væsentligste nyheder på databeskyttelsesområdet direkte i din indbakke.

I denne udgave ser vi nærmere på:
 

  • Den stigende interesse for ”digital ansvarlighed”, og sammenholder dette med de krav, der følger af GDPR.

  • Seneste nyt om Schrems II-sagen.

  • De juridiske rammer for overvågning af medarbejdere.


Endelig er der som altid "Kort nyt", hvor du kan få et hurtigt overblik over de seneste afgørelser på databeskyttelsesområdet. 

God fornøjelse!

Digital ansvarlighed


Digitale teknologier har efterhånden sneget sig ind i alle dele af samfundet og i vores hverdag. I kølvandet herpå, er der kommet en større synliglighed for de negative sider ved en verden, hvor data er blevet en af verdens mest værdifulde ressourcer.

I lyset heraf er det ikke så overraskende, at vi fra flere sider ser en stigende interesse for at opstille mere moderne ”spilleregler” for myndigheders og virksomheders adfærd, når det kommer til behandling af data.

Et oplagt eksempel på dette er vedtagelsen af GDPR, der indeholder en lang række principper og krav for behandling af personoplysninger. To af de største ”nyskabelser” i GDPR, sammenholdt med de gamle regler i persondataloven, er ansvarlighedsprincippet samt kravet om Data Protection by Design.  Vi har omtalt ansvarlighedsprincippet i flere tidligere nyhedsbreve, og du kan også se eller gense et webinar om princippet her. Vi har ligeledes tidligere i år skrevet en artikel om Data Protection by Design. GDPR er som sagt ikke det eneste eksempel på denne udvikling, idet vi også har set andre tiltag, som helt eller delvist relaterer sig til digital ansvarlighed.

EU har eksempelvis iværksat en lang række tiltag med henblik på at regulere ansvarlig dataanvendelse, bl.a. i form af ny lovregulering. Denne udvikling kan du læse mere om i et blogindlæg skrevet tidligere på året af Jesper Løffler Nielsen, associeret partner hos Focus Advokater.

Vi har ligeledes set tiltag fra dansk side, bl.a. i januar 2021, hvor der trådte en ny ændring af årsregnskabsloven i kraft, hvorefter Danmarks største virksomheder fremover skal redegøre for deres overvejelser og indsats ift. at behandle data på en etisk måde. Man kan læse mere om det nye krav på Erhvervsstyrelsen hjemmeside, hvor man bl.a. kan læse, at de store virksomheder fremover skal forholde sig til spørgsmål såsom:
  • Hvilke typer data virksomheden anvender, og hvordan disse data tilvejebringes
  • Hvorvidt virksomheden anvender data fra eksterne parter såsom sociale medier, og hvilke dataetiske overvejelser det har givet anledning til
  • Hvilke dataetiske overvejelser virksomheden har gjort sig ifm. anvendelse af nye teknologier som kunstig intelligens og maskinlæring
  • Hvordan virksomheden træner og evaluerer medarbejdere i anvendelsen af data og dataetiske dilemmaer.
I samme retning kan nævnes, at det er lykkedes et hold forskere at rejse ikke mindre end 100 mio. kr. fra private fonde til et meget ambitiøst forskningsprojekt med overskriften: Algoritmer, Data og Demokrati. Følgende fremgår af projektets hjemmeside:

"Projektets overordnede problemstilling er den demokratiske udfordring, der ligger i, at flere og flere beslutninger af betydning for den enkeltes liv og for samfundets udvikling bliver taget automatisk på grundlag af data og algoritmer, som er uigennemskuelige for de fleste.

Projektets vision er, at Danmark om ti år er et foregangsland i forhold til befolkningens digitale indsigter og sikringen af demokratiske værdier og legitimitet i den konkrete udvikling af algoritmer og databrug i samfundets bærende institutioner og beslutningsprocesser.

Projektets formål er at bidrage til en sammenhængende indsats af samfundsmæssige, institutionelle, organisatoriske og ikke mindst tekniske løsninger, der kan imødegå udfordringerne og udvikle mulighederne til demokratiets og alle befolkningsgruppers bedste."

Endnu et eksempel er det spritnye danske ”D-mærke”, som ”tydeliggør hvilke virksomheder, der udviser digital ansvarlighed og giver dermed både forretningsværdi til virksomhederne, tryghed til forbrugerne og skaber et stærkere digitalt Danmark”.

Endelig kan det også nævnes, at den danske regering i august 2021 offentliggjorde et udspil med 35 tiltag målrettet tech-industrien, hvor en række af disse tiltag også omhandler digital ansvarlighed, herunder i relation online markedsføring, cookies og AI.

Alt i alt kan der ikke længere herske tvivl om, at vinden blæser i retning mod, at der stilles stigende krav til digitale løsninger. Den gode nyhed er dog, at har man styr på sin GDPR-compliance, så er man på rette vej, særligt hvis man formår at tænke databeskyttelsesreglerne ind, når man designer eller vælger en ny digital løsning. Vil du vide mere om, hvordan man gør dette i praksis, så kan vi anbefale at du ser dette webinar om ”Data Protection by Design” i praksis.
 


Artikler 

 

Overvågning og kontrol af dine medarbejdere

Moderne teknologier og arbejdsredskaber gør det muligt og let tilgængeligt for arbejdsgivere at kontrollere og overvåge medarbejderne på arbejdspladsen. Samtidig kan et øget omfang af hjemmearbejde have skabt et større behov for overvågning og kontrol. En sådan overvågning og kontrol vil typisk indebære en behandling af personoplysninger og vil derfor være omfattet af GDPR. Vi stiller her skarpt på, hvornår arbejdsgiver må overvåge og kontrollere medarbejderne, og hvilke krav der skal opfyldes i henhold til GDPR.

Seneste nyt i Schrems II-sagen

Der er nyt i sagen. Databeskyttelsesrådet er kommet med en endelig udgave af den længe ventede vejledning, hvor de uddyber de nye og skærpede krav til tredjelandsoverførsler. Også EU-Kommissionen er kommet med endelige udgaver af deres nye "standardklausuler". Ligesom Datatilsynet er kommet med en ny vejledning om tredjelandsoverførsler. Vi har samlet vejledninger, FAQ og video mv. - læs/se med her.

Kort nyt

Nationalt
 

AFGØRELSER
  • Alvorlig kritik efter optagelse af telefonsamtaler uden samtykke
    Datatilsynet udtaler alvorlig kritik af Erhvervsstyrelsens optagelse af telefonsamtaler uden samtykke. Erhvervsstyrelsen havde siden den 1. juni 2018 optaget samtlige indgående telefonopkald til styrelsens kundekontor med henblik på dokumentation ift. politianmeldelser om trusler mv. mod medarbejdere, samt i uddannelsesøjemed. Datatilsynet fandt, at der ikke forelå samtykke til optagelserne, og at optagelserne uden undtagelse ikke kunne anses for nødvendig af hensyn til udførelse af en opgave i samfundets interesse.
     
  • Afvisning af indsigtsretten leder til alvorlig kritik
    Datatilsynet udtaler alvorlig kritik af et forsikringsselskabs behandling af personoplysninger, efter at selskabet nægtede en tidligere kunde indsigt i overvågningsmateriale. Forsikringsselskabet begrundede afvisningen med, at kunden kunne bruge materialet i forbindelse med en mulig retssag mod forsikringsselskabet. Datatilsynet vurderede, at forsikringsselskabet ikke havde påvist afgørende hensyn til støtte for, at borgerens ret til indsigt burde vige. Materialet fandtes ikke at have et indhold, der kunne medføre en nærliggende fare for selskabets interesser.
     
  • Alvorlig kritik som følge af, at personoplysninger var gemt på fællesdrev
    Datatilsynet udtaler alvorlig kritik af Coops manglende sikkerhedsforanstaltninger, efter at virksomheden var blevet opmærksom på, at der var gemt personoplysninger på virksomhedens fællesdrev. Oplysningerne vedrørte i alt 447 medarbejdere og eksterne konsulenter, og adgangen hertil var ikke underlagt en tilstrækkelig adgangsstyring. Afgørelsen kommer på baggrund af, at Coop selv anmeldte det som sikkerhedsbrud, da de blev opmærksomme herpå.
     
  • Borgers samtykke til videregivelse var ikke frivilligt
    Aalborg kommune får kritik efter afholdelse af et Teams-møde, hvor kommunen havde videregivet en af deltagernes e-mailadresse til de andre deltagere. Kommunen har anvendt klagers e-mailadresse for at kunne invitere til det pågældende Teams-møde, hvorefter e-mailadressen havde være synlig for de øvrige 24 deltagere. Videregivelse skete på grundlag af samtykke, som Datatilsynet ikke anså for frivilligt, da videregivelsen var en forudsætning for deltagelse på mødet, hvilket var en forudsætning for modtagelse af dagpenge.
BØDESAGER
  • Kræftens Bekæmpelse indstillet til bøde på 800.000 kr.
    Kræftens Bekæmpelse er blevet indstillet til bøde på 800.000 kr. efter gentagne problemer med utilstrækkelig beskyttelse af borgeres helbredsoplysninger. Sagen tager udgangspunkt i fire tilfælde, hvor Kræftens Bekæmpelse har konstateret brud på sikkerheden og selv anmeldt dem til Datatilsynet. Datatilsynet har vurderet, at alle fire brud skyldes manglende implementering af sikkerhedsforanstaltninger.
     
  • Vejle Kommune indstillet til bøde 200.000 kr.
    Vejle Kommune er blevet indstillet til en bøde på 200.000 kr. for manglende gennemførelse af passende sikkerhedsforanstaltninger. Sagen omhandler et brud på sikkerheden, efter at en kommunal tandplejer som fast praksis sendte velkomstbreve indeholdende begge forældres adresser, trods der i nogle tilfælde, forelå en navne- og adressebeskyttelse.
     
  • Privat virksomhed indstillet til bøde 400.000 kr.
    Datatilsynet har indstillet Nordbornholms Byggeforretning ApS til en bøde på 400.000 kr. for uberettiget at have videregivet oplysninger om strafbare forhold om en tidligere medarbejder til to af virksomhedens kunder. Datatilsynet vurderer, at virksomheden gerne må videregive informationer, om at den pågældende medarbejder ikke længere er ansat, men at detaljerede beskrivelser af anklagerne mod den tidligere medarbejdere ikke er nødvendige for at varetage en legitim interesse. 
     
  • Medicals Nordic I/S indstillet til bøde 600.000 kr.
    Datatilsynet har indstillet Charlottenlund Lægehus Medicals Nordic I/S til en bøde på 600.000 kr., for at have behandlet fortrolige oplysninger og helbredsoplysninger om borgere i forbindelse med COVID-19 test, uden at virksomheden havde etableret den fornødne sikkerhed omkring behandlingen. Sagen kommer efter Datatilsynet opdagede, at medarbejdere hos virksomheden anvendte deres private telefoner til at transmittere fortrolige oplysninger om borgere gennem WhatsApp.
     
  • Region Syddanmark indstillet til bøde 500.000 kr.
    Region Syddanmark er blevet indstillet til en bøde på 500.000 kr. for ikke at have overholdt sine forpligtelse som dataansvarlig ifm. gennemførelse af passende sikkerhedsforanstaltninger. Sagen omhandler en periode på mere end 1,5 år, hvor Region Syddanmark havde haft en database til forskningsmæssige og kliniske formål, men hvor regionen ikke havde sikret en tilstrækkelig sikkerhed imod uvedkommende kunne opnå uautoriseret adgang til PDF-dokumenter i databasen, ved blot at ændre URL-adressen.
     
  • Udlændingestyrelsen indstillet til bøde 150.000 kr.
    Datatilsynet har indstillet udlændingestyrelsen til en bøde på 150.000 kr. efter at have vurderet, at styrelsen ikke lever op til kravene om passende sikkerhedsniveau. Sagen omhandler en række sikkerhedshændelser vedr. logningsfejl i et IT-system tilknyttet et udrejsecenter. De manglende registreringer førte til, at der blev påbegyndt sagsbehandling vedrørende nedsættelse af en række beboeres kontante ydelser samt politianmeldelse af en række beboere for manglende overholdelse af regler i udlændingeloven.
     
  • Region Midtjylland indstillet til bøde 400.000 kr.
    Datatilsynet har indstillet Region Midtjylland til en bøde på 400.000 kr. for ikke at have sikret et tilstrækkeligt højt sikkerhedsniveau omkring regionens opbevaring af patientjournaler i et arkiv. Sagen omhandler et brud på sikkerheden, hvor medarbejdere i et livstilscenter havde adgang til en bygning, hvor der blev opbevaret op mod 100.000 fysiske patientjournaler. Den utilsigtede adgang skyldtes, at de udleverede adgangskort gav adgang til alle bygninger, uanset om der var behov for en sådan adgang.
     
  • Favrskov Kommune indstillet til bøde 75.000 kr.
    Farskov Kommune er indstillet til en bøde på 75.000 kr., som følge af manglende sikkerhed. Sagen vedrører en anmeldelse om sikkerhedsbrud efter en computer, indeholdende oplysninger om navne og personnumre for omkring 100 personer med nedsat fysisk eller psykisk funktionsevne, var blevet stjålet i forbindelse med et indbrud i kommunens lokaler. Den pågældende harddisk var ikke krypteret og programmet, hvor personoplysningerne blev opbevaret, var ikke forsynet med sikkerhedsforanstaltninger, der kunne logge anvendelsen af programmet.
     
  • Region Syddanmark indstillet til bøde 500.000 kr.
    Datatilsynet indstiller Region Syddanmark til en bøde på 500.000 som følge af en utilsigtet offentliggørelse af personoplysninger på regionens hjemmeside. Sagen omhandler en PowerPoint præsentation, udarbejdet til uddannelsesforhold på Odense Universitetshospital, med diagrammer indeholdende personoplysninger – herunder helbredsoplysninger og personnumre på 3915 patienter - der havde været tilgængelig på Regionens hjemmeside siden maj 2011. Oplysningerne fremgik af bagvedliggende data, hvorfor regionens screeningsværktøj ikke fandt oplysningerne.

ØVRIGE NYHEDER
  • Ny praksis for kommuners offentliggørelse af oplysninger i offentligt tilgængelige webarkiver
    Datatilsynet ændrer sin praksis ift. kommunernes offentliggørelse af personoplysninger i byggesagsarkiver. Tidligere har praksis være således, at kommunerne i deres byggesagsarkiver har kunnet offentliggøre personoplysninger, som ikke var fortrolige. Fremadrettet vil det være Datatilsynets praksis, at e-mailadresse og telefonnumre ikke kan offentliggøres i de offentligt tilgængelige webarkiver, lige så vel som korrespondancer, som ikke vedrører den konkrete ejendom, heller ikke kan offentliggørelses.

    Der kommer til at gælde en overgangsperiode indtil den 1. januar 2022, hvorefter tilsynet forventer, at kommunerne har indrettet deres praksis og procedurer i overensstemmelse med Datatilsynets nye praksis.
     
  • Kirkeministeriets adfærdskodeks er godkendt
    Et nyt adfærdskodeks udarbejdet af Kirkeministeriet og Landsforeningen af Menighedsråd er nu godkendt af Datatilsynet. Adfærdskodekset har til formål at opstille konkrete retningslinjer og procedurer for en række områder for at sikre en lovlig behandling af personoplysninger for menighedsrådet som dataansvarlig.
     
  • Ny praksis fra Erhvervsstyrelsen vedr. cookies
    Erhvervsstyrelsen har meddelt, at de ikke fremadrettet vil prioritere tilsyn med hjemmesiders indhentning af samtykke i forbindelse med simpel statistik. Datatilsynet bemærker dog, at reglerne forsat gælder, og Datatilsynet fører tilsyn med, at de bliver overholdt.
     
  • Ny vejledning til det praktiske tilsyn med databehandlere
    Datatilsynet har lavet en praktisk anvendelig vejledning om, hvordan der kan føre tilsyn med databehandlere. Vejledningen består af en pointskala, som kan give en fornemmelse af, hvor risikofyldt behandlingen af personoplysninger er. Dertil er der seks tilsynskoncepter, der gradvist stiller større og større krav til gennemførelsen af tilsynet, hvor koncept 1 er den mindst ressourcekrævende, og koncept 6 er det mest ressourcekrævende.
     
  • Ny vejledende tekst om dataansvaret mellem private leverandører og offentlige myndigheder
    Datatilsynet har lavet et supplement til den generelle vejledning om dataansvarlige og databehandlere. Den nye vejledende tekst har fokus på dataansvaret mellem private leverandører og offentlige myndigheder. Vejledningen indeholder nogle nye og konkrete eksempler på dataansvaret herved.
     
  • Vejledning om udmåling af bøder til fysiske personer
    Datatilsynet har i samarbejde med Rigspolitiet og Rigsadvokaten udarbejdet en vejledning om udmåling af bøder til fysiske personer. Vejledningen omhandler de situationer, hvor en fysisk person, f.eks. en medarbejder bliver dataansvarlig, hvis medarbejderen eksempelvis behandler oplysninger til egne formål, der ligger klart uden for arbejdsgiverens aktiviteter. I vejledningen er der en oversigt over ”Datatilsynets bødeindstillinger i ”standard-sager”, hvor det bl.a. følger, at bødeindstillingen for offentliggørelse af personoplysninger omfattet af art. 6 vil være 10.000 kr.

Internationalt
 

AFGØRELSER
  • Holland: Bøde for registrering af årsag til sygefravær
    Den hollandske databeskyttelsesmyndighed har pålagt en bøde på EUR 15.000 til en virksomhed for overtrædelse af GDPR i forbindelse med behandling af medarbejderes sundhedsdata. Virksomheden havde registreret årsagerne til sygefraværet og derved behandlet flere oplysninger end nødvendigt. Registreringen indeholdt oplysninger om den fysiske og mentale sundhed af medarbejdere, herunder navne på sygdomme og specifikke symptomer. Registreringen var desuden ikke tilstrækkeligt sikret.
     
  • Sverige: Bøde efter brug af kropskameraer i offentlig transport
    Den svenske databeskyttelsesmyndighed har udsted en både på SRK 16 mio. som følge af at billetkontrollører udstyres med kropskameraer, der optager video og lyd. Formålet med kameraerne er at forhindre truende situationer og dokumentere hændelser, der har fundet sted, samt at sikre, at den rigtige person får en bøde for at have rejst med offentlig transport uden gyldig billet. Myndigheden konkluderer, at kropsbårne kameraer kan bruges til forebyggelse og dokumentation af truende situationer, men ikke til at bekræfte identiteten på personer, der rejser uden billet. Dertil var der ikke i tilstrækkelig grad informeret om brugen af kameraovervågning.
     
  • Norge: Bøde efter utilstrækkelige risikovurdering og sikkerhedsforanstaltninger
    Den norske databeskyttelsesmyndighed har idømt det norske sportsforbund en både på NOK 1.250.000 for utilstrækkelige sikkerhedsforanstaltninger. Sagen omhandler en test af en cloud computing løsning, hvor der i forbindelse med denne test, lå personoplysninger på omkring 3,2 mio. personer offentligt tilgængeligt i 87 dage. Datatilsynet finder derved, at testen blev igangsat uden tilstrækkelige risikovurderinger og uden at gennemføre specifikke procedurer eller foranstaltninger til at holde dataene sikre. Sportsforbundet havde ligeledes ikke behandlingsgrundlag for at udføre testen med disse personoplysninger, idet behandlingen ikke var nødvendig for at opnå det tilsigtede formål.
     
  • Frankrig: Bøde for manglende overholdelse af opbevaringsbegrænsning og oplysningspligt
    Det franske datatilsyn har pålagt en bøde på EUR 1.750.000 for manglende overholdelse af opbevaringsbegrænsning og oplysningspligt. Sagen omhandler en virksomhed, der ikke havde implementeret opbevaringsperiode, trods de var fastlagte. Dette resulterede i, at data blev opbevaret i mere end hhv. 3 og 5 år, trods deres fastlagte opbevaringsperiode pålagde sletning efter hhv. 3 og 5 år. Derudover blev telefonopkald, foretaget af virksomhedens databehandlere, registreret uden at oplysningspligten blev iagttaget overfor en registrerede.
     
  • Holland: Bøde for manglende oplysningspligt overfor børn
    Den hollandske datatilsyn har pålagt TikTok en bøde på EUR 750.000 for manglende oplysningspligt overfor børn. Informationerne, der blev givet i forbindelse med at brugerne hentede TikTok, blev alene givet på engelsk. Dette gjorde, at mange brugere, herunder særligt børn, ikke havde let ved at forstå denne og oplysningerne derved ikke blev givet på en let forståelig måde.
     
ØVRIGE NYHEDER
  • EDPB's årsberetning 2020: Påvirkningen fra Corona
    EDPBs årsberetning for 2020 giver et overblik over EDPBs arbejde, hvor bl.a. Corona har spillet en stor rolle. Pandemien medførte bl.a. at befolkningen er blevet mere kritiske og bevidste for så vidt angår databeskyttelsesrettigheder. Mange medlemsstater begyndte desuden at træffe foranstaltninger om overvågning, inddæmme og hindre spredningen af Corona. Der blev derfor udstedt vejledninger om bl.a. placerings- og kontaktsporingsapp, behandling af sundhedsdata til videnskabelig forskning, begrænsninger af de registreres rettigheder i undtagelsestilstand og datadeling i forbindelse genåbning af grænserne.

Er der noget, vi kan hjælpe med?

Vi står altid klar til at yde kvalificeret rådgivning.
Kontakt vores GDPR-team
Besøg vores hjemmeside Besøg vores hjemmeside
Send os en mail Send os en mail
+45 63 14 20 20 +45 63 14 20 20
FOCUS ADVOKATER P/S ∙ CVR-nr. 34045666

ODENSE ∙ KOLDING ∙ SVENDBORG ∙ KØBENHAVN ∙ HAMBORG


Du er tilmeldt vores nyhedsbrev på <<Email Address>>,
du kan opdatere dine oplysninger her eller afmelde her.