GDPR NYT

Velkommen til GDPR NYT – Focus Advokaters nyhedsbrev, der sørger for, at du får de væsentligste nyheder på databeskyttelsesområdet direkte i din indbakke. I denne udgave ser vi nærmere på den nye Quickguide til brugen af Cookies, på den løbende compliance i jeres organisation og på den nuværende håndhævelse af GDPR, hvor vi bl.a. retter blikket mod ILVA-dommen. Endelig er der som altid Kort nyt, hvor du kan få et hurtigt overblik over de seneste afgørelser på databeskyttelsesområdet.

Artikler 

 

Kort nyt

Nationalt
 

• Overvågningsprogram ved online eksamen var lovligt
  Datatilsynet har vurderet, at IT-Universitetets (ITU) brug af et tilsynsprogram for at kontrollere snyd ved eksamen skete inden for reglerne i GDPR. Tilsynsprogrammet indebar, at der ved en onlineeksamen blev foretaget både video-, lyd og skærmoptagelser samt registrering af browsersøgehistorik fra de studerendes computere. Datatilsynet vurderede, at brugen var inden for rammerne af GDPR og lagde blandt andet vægt på, at der var foretaget en nødvendighedsvurdering for behovet, og at denne vurdering var sket for hver enkelt fag. Dertil var der valgt det, efter omstændighederne, mindst indgribende overvågningsprogram, alle studerende var blevet orienteret om behandlingen, og ITU havde truffet en række sikkerhedsmæssige foranstaltninger.
   
• Påbud og alvorlig kritik efter optagelse af telefonsamtaler hos lægevagt
  Datatilsynet har udtalt alvorlig kritik af Lægevagten Region Syddanmark samt meddelt et påbud om sletning efter optagelse og opbevaring af 7,6 mio. telefonsamtaler siden januar 2013. Lægevagten var af den opfattelse, at optagelserne skulle indgå som en del patientjournalerne og derfor gerne måtte opbevare disse samtaler i 10 år, hvilket Datatilsynet afviste. Datatilsynet fandt i stedet, at en opbevaringsperiode på 5 år ville være i overensstemmelse med GDPR, og Datatilsynet lagde vægt på, at det alene er muligt at klage i op til 5 år efter, at klageforholdet fandt sted.
   
• Offentliggørelse af personnummer på kommunal hjemmeside grundet utilstrækkelig sikkerhed
  Datatilsynet har behandlet en klage vedr. Vejen kommune, der ikke havde sikret et tilstrækkeligt sikkerhedsniveau i forbindelse med offentliggørelse af oplysninger på kommunens hjemmeside. Klagen kom efter, at Vejen Kommune skulle offentliggøre et høringssvar indsendt af en borger, hvor kommunen ved en fejl kom til at offentliggøre borgerens personnummer. Vejen Kommune anmeldte sikkerhedsbruddet til Datatilsynet tre dage efter hændelsen. Datatilsynet fandt dog, at kommunen ikke havde iagttaget kravet om passende sikkerhed som følge af manglende kontrolforanstaltninger. Datatilsynet udtalte derfor kritik af kommunens manglende sikkerhedsforanstaltninger.
   
• Behandling af personoplysninger i familiemæssigt øjemed er ikke omfattet af GDPR
  Datatilsynet har truffet afgørelse i en sag om orienteringsret.dk’s behandling af personoplysninger. En far havde brugt siden til at få informationer om sine børn, hvem han ikke havde forældremyndigheden over. Børnenes mor klagede efterfølgende til Datatilsynet over, at orienteringsret.dk videregav oplysninger om forældremyndighed og personnummer til skoler, myndigheder, institutioner mv., samt at der ikke forelå en passende sikkerhed. Datatilsynet vurderede indledningsvist, at farens behandling skete som led i personlig eller familiemæssig aktivitet og var derfor ikke omfattet af GDPR, men at Orienteringsret.dk er omfattet af reglerne om databeskyttelse, fordi ”de tilvejebringer midlerne til behandling af personoplysninger til personlige eller familiemæssige aktiviteter”. Datatilsynet fandt ikke grundlag for at konstatere, at der ikke var fastsat passende sikkerhedsforanstaltninger, da der bl.a. var anvendt ”https” (den krypterede udgave af ”http”), samt at hjemmesiden understøttede TLS-kryptering.
   
• Alvorlig kritik af manglende sikkerhedsforanstaltninger og databehandleraftale
  Datatilsynet har udtalt alvorlig kritik af Familieretshusets behandling af personoplysninger, som ikke skete i overensstemmelse med artikel 32, stk. 1 vedr. sikkerhed, bl.a. fordi der ikke var udført tilstrækkelige og regelmæssige afprøvninger af de udviklede selvbetjeningsløsninger, inden de blev sat i drift. Samtidig burde Familieretshusets løsninger, der indeholdte følsomme og fortrolige personoplysninger, heller ikke have været designet til som udgangspunkt at eksponere data, men i stedet til som udgangspunkt at beskytte oplysninger og kun eksponere, når det var relevant. Derudover havde Familieretshuset ikke sikret, at medarbejderne havde haft den fornødne omhu ved behandlingen. Der blev derudover udtalt alvorlig kritik af, at der ikke var iagttaget kravet om skriftlig databehandleraftale med Familieretshusets databehandler i medfør af artikel 28, stk. 3, dels fordi der manglede indgåelse af en databehandleraftale, og dels fordi en anden databehandleraftale ikke opfyldte de formelle krav.
   
• Offentliggørelse af billeder på Facebook manglede lovligt samtykke
  Datatilsynet har af egen drift undersøgt Epic Bookings offentliggørelse af knap 500.000 festbilleder af navnlig børn og unge på Facebook fra 2013 og frem. Datatilsynet endte med at udtalte alvorlig kritik af virksomhedens behandling, der ikke var i overensstemmelse med artikel 5, stk. 1, litra e samt artikel 6, stk. 1, herunder at samtykket fra børnene ikke levede op til kravene om et informeret, specifikt og frivilligt samtykke, da det bl.a. ikke var muligt at til- eller fravælge de forskellige behandlingsformål. Der blev endvidere udtalt alvorlig kritik for manglende opfyldelse af oplysningspligten i medfør af artikel 13. Epic Bookings hang en informationstekst op og afgav en ”speak” til arrangementet. Datatilsynet vurderede, at dette ikke levede op til kravene, da der blandt andet manglede information om formålene, opbevaringstiden og de registreredes rettigheder. Datatilsynet meddelte endvidere virksomheden et påbud om at slette alle billeder, der var behandlet uden gyldigt samtykke, samt et påbud om at fastsætte en generel frist på maksimalt 60 dage for sletning fremover.
   
• Ny vejledning: Videregivelse af personoplysninger til Politiet
  Datatilsynet er kommet med en ny vejledning om, hvornår der må deles personoplysninger med politiet. Vejledningen gennemgår det retlige grundlag for udveksling af personoplysninger og viser gennem en række praktiske eksempler, de typiske situationer og hvor grænsen går for videregivelse.
   
• Alvorlig kritik af Statens Serum Institut
  Datatilsynet har udtalt alvorlig kritik af Statens Serums Instituts behandling af personoplysninger. Kritikken kommer blandt andet på baggrund af mangler ift. tilstrækkelig risikovurdering, konsekvensanalyse, høring af Datatilsynet, databehandleraftaler samt manglende passende sikkerhedsforanstaltninger. Datatilsynet lagde vægt på, at ISS som følge af sin egen høje risikovurdering, skulle have foretaget en konsekvensanalyse forinden behandlingens begyndelse. Datatilsynet konstaterede endvidere, at der først fem uger efter behandlingens begyndelse var indgået de fornødne databehandleraftaler. Derudover var der ved valget af IT-løsning ikke taget højde for risikoen for uautoriseret adgang, særligt under hensyn til oplysningernes karakter og derved interessen for disse.
   
• Utilstrækkelig kryptering ved selvbetjeningsløsning hos politiet
  Datatilsynet udtaler kritik af Rigspolitiet efter at have undersøgt en selvbetjeningsløsning til ansøgning om våbentilladelse. Rigspolitiets selvbetjeningsløsning understøttede imidlertid alene krypteringen TLS i version 1.0. Datatilsynet bemærkede, at TLS version 1.0 og 1.1 indeholder kendte sårbarheder og derfor ikke sikrer den fornødne fortrolighed af de pågældende oplysninger. Datatilsynet bemærkede ligeledes, at formularer og webløsninger til håndtering af personoplysninger stiller krav til sikkerheden, særligt for de dataansvarlige.
   
• Tilsyn med kommuners DPO'er
  Datatilsynet har gennemført i alt 17 tilsyn hos kommuner omkring deres databeskyttelsesrådgivere (DPO). Samlet set vurderer Datatilsynet, at kommunernes respektive løsninger vedrørende brugen af databeskyttelsesrådgivere ligger inden for rammerne af GDPR. Der blev blandt andet ført tilsyn med DPO’ens stilling, ekspertise, faglige kvalifikationer og ressourcer, i hvilket omfang DPO’en blev inddraget i spørgsmål relateret til databeskyttelse, de registreredes muligheder for at kontakte DPO’en, DPO’ens underretning og rådgivning af kommunen og dens ansatte samt DPO’ens overvågning af overholdelsen med GDPR.
   
• Tilsyn med oplysningspligt hos testudbydere
  Datatilsynet har foretaget tilsyn med tre udbydere af COVID-19-test, herunder Statens Serums Institut, SOS International A/S, Carelink A/S. Tilsynenes fokus var, hvorvidt testudbyderne havde iagttaget oplysningspligten, herunder hvorvidt testudbyderne underrettede de registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form, samt i et klart og enkelt sprog. Sammenfattende fandt Datatilsynet, at testudbydernes iagttagelse af oplysningspligten var i overensstemmelse med reglerne og henstillede alene en enkelt udbyder til at supplere underretningen af borgeren med overordnede informationer på selve teststedet, så informationerne ikke først blev givet i forbindelse med modtagelse af testsvar.
   

Internationalt
 

• Holland: Booking.com får bøde efter for sen anmeldelse om databrud
  Den hollandske tilsynsmyndighed har pålagt Booking.com en bøde på EUR 475.000, efter at virksomheden anmeldte et sikkerhedsbrud 22 dage for sent. Sikkerhedsbruddet skete om følge af telefonsvindel rettet mod 40 hoteller, hvorved kriminelle fik overtalt hotellernes personale til at afsløre loginoplysninger, og fik derfor adgang til data fra 4.109 personer, herunder navn, adresser, telefonnummer, oplysninger om reservation samt, i 283 tilfælde, også kreditkortoplysninger.
   
• Norge: Bøde på EUR 10 mio. til appen Grindr
  Det norske datatilsyn har meddelt datingappen Grindr, at de agter at udstede en bøde på EUR 10 mio. for manglende overholdelse af reglerne om samtykke. Grindr er en placeringsbaseret socialnetværk app til bl.a. LGBTQ-personer. Appen behandler derfor følsomme oplysninger om deres burgere, herunder deres seksualitet. Appen havde imidlertid videregivet oplysninger om brugere til markedsføringsformål, herunder GPS-placering, brugerprofildata og det faktum, at de pågældende har en bruger på Grindr. Der var ikke indhentet gyldigt samtykke hertil, da brugerne blev tvunget til at acceptere privatlivspolitikken i sin helhed for at bruge appen, og der var derfor ikke mulighed for specifikt at afgive eller afstå fra at afgive samtykke til deling af deres data med tredjeparter.
   
• Belgien: Bøde på EUR 50.000 for manglende samtykke
  Et belgisk marketingfirma har fået en bøde på EUR 50.000 for at videregive personoplysninger til tredjeparter til brug for markedsføringsformål uden gyldigt samtykke fra kunderne. Samtykket var ikke informeret og heller ikke specifikt, idet kunderne blot havde givet samtykke til at modtage produkterne, hvilket ifølge samtykket involverede overførsel af data. Det var ligeledes ikke muligt at afstå fra at give samtykke til behandlingen.
   
• Norge: Bøde for kreditvurderingen uden retsgrundlag
  Det norske datatilsyn har udstedt en bøde på EUR 10.000 til Lindstrand Trading AS for at have foretaget fire kreditvurderinger af hhv. enkeltpersoner og enkeltmandsvirksomheder uden retsgrundlag. Bøden kommer på baggrund af en klage fra en person, der havde været udsat for kreditvurderingen, uden at have nogen form for kundeforhold eller anden tilknytning til Lindstrand Trading.
   
• Norge: Bøde for deling af optagelse af overvågningsbilleder
  Det norske datatilsyn har udstedt en bøde på EUR 40.000 til Coop Finmark SA efter at lederen af en butik havde lavet en optagelse med sin telefon af overvågningsoptagelser fra butikken og delt disse. Bøden blev givet for manglende behandlingsgrundlag. Datatilsynet lagde i deres vurdering vægt på, at kameraoptagelserne viste billeder af børn og at delingen potentielt indebar en stor risiko for deres privatliv.
   
• Polen: Bøde for manglende overholdelse af påbud
  Det polske datatilsyn har pålagt en virksomhed en bøde på EUR 20.000 for manglende overholdelse af et påbud, som virksomheden var blevet pålagt ved en tidligere afgørelse. Datatilsynet pålagde dengang virksomheden at kommunikere den pågældende overtrædelse ud til de registrerede, hvilket virksomheden imidlertid undlod. Der blev ved udmåling af den nye bøde lagt vægt på overtrædelsens lange varighed og den øgede risiko for de registrerede, samt overtrædelsens forsætlige karakter.
   
• Spanien: Bøde for manglende overholdelse af generelle principper i GDPR
  En ejerforening er blevet pålagt en bøde på EUR 15.000 efter ejerforeningen hang et referat fra et møde i boligforeningen op i elevatoren. I referatet fremgik lister over deltagerne og deres adresser, samt lejlighedsnumre på de naboer, der var blevet klaget over på mødet. Ejerforeningen havde begrundet det med en foreliggende retssag, som parterne skulle informeres om, men det fandt det spanske datatilsyn ikke tilstrækkeligt.
   
• Spanien: Bøde for manglende behandlingsgrundlag
  En spansk virksomhed er blevet pålagt en bøde på EUR 20.000 efter en identitetstyv uautoriseret havde foretaget en ansøgning om kredit hos virksomheden under den registreredes identitet. Virksomheden godkendte lånet og behandlede i den forbindelse oplysninger, som tilhørte den registrerede og ikke den faktiske lånemodtager (identitetstyven). Tilsynsmyndigheden slog fast, at der ikke var et lovligt behandlingsgrundlag for virksomhedens behandlingen af den registreredes personoplysninger. Bøden var oprindeligt fastsat til 20.000 EUR, men blev nedsat til 12.000 EUR som følge af øjeblikkelige betaling.