GDPR NYT

Velkommen til GDPR NYT – Focus Advokaters nyhedsbrev, der sørger for, at du får de væsentligste nyheder på databeskyttelsesområdet direkte i din indbakke. I denne udgave ser vi i to artikler nærmere på emner, der i den grad har fået opmærksomhed på det seneste, da de begge er relevante for alle, der behandler personoplysninger; den såkaldte Schrems II-afgørelse og Datatilsynets opdateret vejledning om de lovpligtige fortegnelser. Endelig bliver du som altid opdateret med Kort Nyt fra ind- og udland. Som en ekstra ting får du adgang til gratis persondatabog.

1. Følg jeres interne procedure for håndtering af brud på persondatasikkerhed, herunder straks underretter den ansvarlige internt.
2. Vurder om de mulige konsekvenser af bruddet udgør en risiko for de registrerede, hvis oplysninger er impliceret.
3. Anmeld bruddet til Datatilsynet, hvis det vurderes, at der sandsynligvis vil være en risiko for de registrerede. Anmeldelse skal ske via virk.dk uden unødig forsinkelse og senest 72 timer efter, at I blev bekendte med bruddet.
4. Vurder om bruddet pga. bl.a. karakter og omfang udgør en høj risiko for de registrerede. I så fald skal de registrerede underrettes uden unødig forsinkelse.
5. Dokumentér bruddet i jeres interne log – uanset om bruddet anmeldes til Datatilsynet og uanset om der sker underretning af de registrerede. Loggen skal indeholde oplysninger om de faktiske omstændigheder ved bruddet, dets virkning og de trufne afhjælpende foranstaltninger.

Artikler

 

Kort nyt

Nationalt

• Gode råd til restaurationsbranchens registrering af gæster
  Datatilsynet har offentliggjort en række gode råd til de restaurationer, der følger sundhedsmyndighedernes anbefalinger om at registrere gæster. Registreringen sker med henblik på at kontakte de gæster, der har været i restauranten, hvis man efterfølgende finder ud af, at en anden har været smittet med COVID-19 under samme besøg. Focus Advokater har lavet et kort skriv herom og med link til en skabelon, som restauranter kan bruge til at indhente samtykke fra gæsterne.
   
• Alvorlig kritik efter orienteringsmail om sag mod tidligere medarbejder
  NCC Danmark modtager alvorlig kritik for sin håndtering af en opsagt medarbejder. Virksomheden sendte en intern orienteringsmail, hvor medarbejderens navn, årsag til afskedigelse, tidligere ansættelsesforhold og fagforeningsmæssig tilhørsforhold fremgik. NCC begrundede orienteringen med, at mediedækning af sagen havde skabt uro på arbejdspladsen. Datatilsynet fandt dog, at virksomheden ikke havde en legitim interesse i at orientere om disse både følsomme og fortrolige oplysninger.
   
• Personoplysninger ved tilbudspligt resulterer i bøde på 150.000 kr. til ejendomsadministrator
  Datatilsynet har indstillet PrivatBo til bøde pga. selskabets videregivelse af personoplysninger, da de i forbindelse med salg af tre ejendomme skulle opfylde tilbudspligten. Der blev videregivet materiale til lejerne via USB-nøgler med fortrolige personoplysninger og en enkelt helbredoplysning. PrivatBo fik i samme forbindelse udtalt alvorlig kritik, da der igen utilsigtet blev udleveret fortroligt materiale på USB-nøgler. Endelig fik PrivatBo alvorlig kritik for ikke at have anmeldt sikkerhedsbruddet rettidigt.
   
• Bøde på 1.100.000 kr. for opbevaring af personoplysninger i bookingsystem
  Endnu engang ser vi indstilling til bøde i millionklassen for manglende efterlevelse af kravet om sletning. Datatilsynet har i den konkrete sag konstateret, at et bookingsystem indeholdt adskillige personoplysninger, som burde have været slettet i henhold til Arp-Hansens egne slettefrister. Derudover eksisterede der ca. 500.000 kundeprofiler, som efter Datatilsynets opfattelse – og efter Arp-Hansens egne frister – burde have været slettet på tidspunktet for tilsynet.
   
• Lovligt brug af fingeraftryk ved adgangskontrol
  Datatilsynet har på baggrund af en klage truffet afgørelse vedr. brug af fingeraftryk. I den konkrete sag skete behandlingen af fingeraftryk som en kontrolforanstaltning med henblik på entydig identifikation af, hvilke medarbejdere der tilgår og forlader arbejdspladsen. Virksomheden begrundede kontrolforanstaltningen med, at det var afgørende for sikkerheden, og at nøglebrikker ikke giver tilstrækkelig sikkerhed. Datatilsynet fandt ikke grundlag for tilsidesættelse af vurderingen.
   
• Manglende sletning af videooptagelser og billeder efter tilbagetrukket samtykke
  Datatilsynet udtaler alvorlig kritik af DMR A/S (Dansk Miljørådgivning), idet DMR ikke uden unødig forsinkelse slettede personoplysninger af en tidligere medarbejder efter, at vedkommende trak sit samtykke tilbage. Medarbejderen havde i forbindelse med sin ansættelse givet samtykke til, at virksomheden måtte anvende billeder og filmklip af vedkommende til brug for markedsføring. Medarbejderen trak sit samtykke tilbage og bad om, at filmen blev fjernet i forbindelse med ophør af ansættelsesforholdet. Datatilsynet konstaterede, at materialet ikke var fjernet 3 måneder efter anmodningen, trods DMR ellers havde oplyst medarbejderen, at han allerede var klippet ud af videomaterialet.
   
• Kritik af databehandler for manglende sikkerhed ved levering af inkassobreve
  Datatilsynet udtaler kritik af en databehandler, der ikke levede op til kravene om at sikre et passende sikkerhedsniveauved levering af inkassobreve til en borger. Konsulenten, der skulle aflevere et inkassobrev, kunne ikke lokalisere en postkasse, hvorfor inkassobrevet blev lagt i en kuvert med navn på og herefter placeret foran vedkommendes hoveddør. Datatilsynet har lagt vægt på oplysningernes karakter som en skærpende omstændighed samt risikoen for, at oplysningerne enten kunne gå tabt eller komme til uvedkommendes kendskab.
   
• Ingen kritik af Carlsbergs behandling af oplysninger om ansøgere
  Carlsbergs behandling af ansøgeres personoplysninger, herunder opbevaring og sletning, har været forbi Datatilsynet, der ikke fandt anledning til yderligere. Carlsberg behandlede først og fremmest oplysninger om ansøgere efter selskabets legitime interesser i at sikre dokumentation for korrekt rekrutteringsforløb i tilfælde af eventuelle klager. Derudover indhentede Carlsberg den registrerede samtykke til at opbevare ansøgninger med henblik på fremtidige jobmuligheder i virksomheden. Ansøgeren havde desuden altid selv mulighed for at slette sin profil, der ellers automatisk blev slettet efter seks måneder. Carlsberg kunne ligeledes fremvise nedskrevne procedurer, redegørelser og lignende dokumentation vedr. sletning af oplysninger om ansøgere.
   
• Offentliggørelse af gamle klubblade var okay for at sikre og informere om virksomhedens historie
  En sejlklub har offentliggjort tre af foreningens klubblade fra hhv. 1981 og 1982, hvor en registreredes navn, adresse, alder og billede fremgik. Foreningen afviste at slette de pågældende oplysninger. Datatilsynet fastslår, at behandlingen er i overensstemmelse med GDPR, henset til foreningens legitime interesse i at værne, beskytte og informere om sin historie i en naturlig kontekst. Denne afgørelse er således også relevant for virksomheders jubilæumsblade eller lignende dokumentation af sin historie, men det kræver selvfølgelig en konkret vurdering af de pågældende oplysninger og den registreredes interesser.
   
• Det var okay at videregive kundeoplysninger til brug for markedsføring
  Stofa A/S’ videregivelse af kundeoplysninger til Syd Energi med henblik på at kontakte kunder med et tilbud på en el-aftale, var okay, selvom der ikke forelå et samtykke fra den registrerede til videregivelsen. Så længe der alene er tale om generelle kundeoplysninger navn, adresse, telefonnummer og kundenummer, kan videregivelsen ske i overensstemmelse med databeskyttelsesloven. Ved vurdering af interesseafvejningen har Datatilsynet lagt vægt på, at der ikke er tale om oplysninger af særlig beskyttelsesværdig karakter, og at videregivelsen er sket med henblik på at kunne tilbyde borgeren en el-aftale, som vil kunne føre til besparelser.
   
• Utilstrækkelige sikkerhedsforanstaltninger hos Region Syddanmark
  Datatilsynet har udtalt alvorlig kritik efter, at medarbejdere i en årrække potentielt havde adgang til flere borgeres personoplysninger, end de havde behov for. Regionen havde siden 2013 anvendt et netværksdrev til opbevaring af midlertidige dokumenter, hvorved der skulle være sket automatisk sletning efter behandling. Enkelte dokumenter blev dog ikke slettet automatisk og lå derfor på et netværksdrev uden tilstrækkelig adgangsbegrænsning. Behandlingen af personoplysninger levede således ikke op til kravene om passende tekniske og organisatoriske sikkerhedsforanstaltninger.
   
• Kritik af databehandler for at handle uden for instruks
  En databehandler for flere gymnasier har fået alvorlig kritik for at have videregivet personoplysninger uden at have fået instruks herom fra den dataansvarlige. Det var således på databehandlerens eget initiativ, da denne videregav dele af elevers opgavebesvarelser til forskere ved Københavns Universitet med henblik på udvikling af plagiatprogrammer. Selvom de videregivne opgavebesvarelser alene bestod i uddrag, fandt Datatilsynet, at der var tale om pseudonymiserede personoplysninger, eftersom databehandleren stadig opbevarede en kopi af den samlede opgavebesvarelse, der kunne henføres til en bestemt studerende.
   
• Manglende oplysningspligt og mangelfulde privatlivspolitikker
  Fynbus har modtaget alvorlig kritik for ikke at iagttage oplysningspligten i forbindelse med indsamling og behandling af personoplysninger i deres app- og webtjenester. Brugeren blev alene mødt af en pop-op besked, der henviste til virksomhedens cookies- og privatlivspolitik, men som forsvandt efter 5-10 sek. Dertil fik Fynbus kritik for deres mangelfulde privatlivspolitikker. Det fremgår bl.a. af disse, at behandlingen er baseret på samtykke, men retten til at trække samtykke tilbage fremgår ikke af deres privatlivspolitik. Endelig blev det fremhævet, at det ikke er tilstrækkeligt at oplyse, at personoplysninger gemmes til det ikke længere er nødvendigt – der skal være foretaget en vurdering af det nødvendige tidsrum.
   
• Virksomheder oplyser ikke tilstrækkeligt om brugen af kontrolforanstaltninger over for medarbejdere
  Datatilsynet har foretaget fem skriftlige tilsyn med fokus på efterlevelse af oplysningspligten ved brug af kontrolforanstaltninger over for medarbejdere. De fem planlagte tilsyn har ført til hhv. kritik eller alvorlig kritik hos dem alle. Det generelle problem er, at informationen om behandlingen ikke har været tilstrækkelig og tydelig nok, særligt i forhold til formålet med behandlingen samt de registreredes rettigheder, herunder muligheden for at klage til Datatilsynet. De fleste anvender kontrolforanstaltninger som f.eks. logning af brugen af internet og systemer, adgang til medarbejders e-mails, TV-overvågning, GPS-sporing og telefonoptagelser.
  Virksomheden skal give oplysning om brug af kontrolforanstaltninger over for medarbejdere på en tydelig, gennemsigtig og letforståelige måde. Oplysningen skal både indeholde en konkret beskrivelse af formålet med behandlingen samt en tydelig beskrivelse af de registreredes rettigheder, herunder muligheden for at klage til Datatilsynet.

Internationalt

• Opkrævning af gebyr for de registrerede resulterer i bøde på 830.000 EUR
  Det nationale kreditregister BKR i Holland pålægges en bøde for opkrævning af gebyr fra personer, der ønsker at få adgang til de personoplysninger, BKR har om dem. Den hollandske tilsynsmyndighed lagde vægt på, at BKR havde skabt for mange hindringer for de registrerede, der ønskede at få indsigt.
   
• Tysk sundhedsforsikring pålægges bøde på 1.240.000 EUR for manglende samtykke til markedsføring
  Virksomheden pålægges bøden efter at have lavet en række forskellige konkurrencer og i den forbindelse indsamlet deltagernes personoplysninger, herunder kontaktoplysning og tilknytning til sundhedsforsikring. Oplysningerne skulle bl.a. anvendes til markedsføring, forudsat at de registrerede forinden havde givet samtykke hertil. Virksomheden skulle gennem deres tekniske og organisatoriske foranstaltninger, bl.a. interne retningslinjer, sikre, at der alene blev anvendt personoplysninger til reklameformål fra de registrerede der havde givet samtykke. Disse interne foranstaltninger var dog ikke tilstrækkelige, hvorfor personoplysninger fra mere end 500 deltagere blev anvendt til reklameformål uden deres samtykke.
   
• Belgisk tilsynsmyndighed pålægger Google Belgien bøde på 600.000 EUR
  Bøden pålægges, idet Google Belgien ikke respekterede retten til at blive glemt og for virksomhedens manglende gennemsigtighed. Dette sker som følge af en anmodning om sletning fra en registreret, som uberettigede blev afvist. Google levede heller ikke op til kravet om gennemsigtighed i deres svar til den registrerede.
   
• EDPB offentliggør FAQ vedr. Schrems II-dommen
  Dokumentet er vedtaget og offentliggjort med henblik på at give første afklaring og en foreløbig vejledning til interessenter vedr. overførsel af personoplysninger til tredjelande, herunder USA.
  Dokumentet vil løbende blive udviklet og suppleret med en vejledning.
   
• EDPB opdaterer retningslinjer for GDPR-samtykke
  Opdateringen sker for at præcisere (a) at gøre adgang til et websted betinget af at acceptere cookies – kendt som “cookie-vægge” – ikke udgør gyldigt samtykke og (b) at ”rulle” eller ”stryge” gennem en webside ikke kan udgøre samtykke under nogen omstændigheder.
   
• ICO lancerer vejledning om kunstig intelligens og databeskyttelse
  Vejledningen indeholder anbefalinger om praktiske og tekniske foranstaltninger, som organisationer kan anvende til at mindske de risici, der opstår ved brugen af kunstig intelligens. Vejledningen afspejler den aktuelle AI-praksis og er praktisk anvendelig.
   
• Nye vejledninger fra EDPB
  Det Europæiske databeskyttelsesråd (EDPB) har sendt to  nye vejledninger I høring; “Guidelines on the concepts of controller and processor in the GDPR” og “Guidelines on the targeting of social media users”. Derudover er der oprettet en taskforce “Taskforce to look into complaints filed in the aftermath of the CJEU Schrems II judgement”.
  
  Guidelines on the concepts of controller and processor in the GDPR indeholder en beskrivelse af begreberne Dataansvarlig, databehandlere samt fælles dataansvar. Derudover indeholder vejledningen en beskrivelse af retsvirkningen ved at være hhv. dataansvarlig, databehandler og fælles dataansvarlig samt indeholde relevant praksis.
  
  Guidelines on the targeting of social media users hovedformål er tydeliggøre den sociale medieudbyders rolle og ansvar. Vejledningen identificerer blandt andet potentielle risici, hovedaktørerne og deres roller og anvendelse af databeskyttelseskrav.
  
  Taskforce to look into complaints filed in the aftermath of the CJEU Schrems II judgement. Den nedsatte taskforce skal udarbejde anbefalinger til at hjælpe dataansvarlige og databehandlere med deres pligt til at identificere og gennemføre passende supplerende foranstaltninger for at sikre tilstrækkelig beskyttelse, når de overfører data til tredjelande.
   
• Nye værktøjer til efterlevelse af ansvarlighed
  Det engelske datatilsyn, ICO, har udarbejdet og offentliggjort nogle meget nyttige værktøjer til virksomheder og organisationer for at hjælpe til overholdelse af ansvarlighedsprincippet i GDPR. Det første værktøj er Accountability Framework, som er vejledende tekster om ansvarlighed i praksis. De er opdelt i 10 kategorier, herunder Ledelse og tilsyn, uddannelse og bevidsthed, politikker og procedure, som alle indeholder vejledende tekster og eksempler på, hvordan din organisation skal demonstrere ansvarlighed. Dernæst har de udarbejdet Accountability Tracker, som er en exceloversigt til dokumentation af virksomhedens ansvarlighed. Endelig er der udarbejdet et online værktøj, Self assessment, som hjælper med at vurdere, i hvilket omfang din organisation i øjeblikket lever op til ICO’s forventninger i forhold til ansvarlighed og dermed også på hvilke områder din virksomhed skal sætte ind.

Gratis persondatabog