GDPR NYT FRA FOCUS ADVOKATER, FEBRUAR 2020

GDPR NYT

Velkommen til GDPR NYT – Focus Advokaters nyhedsbrev, der sørger for, at du får de væsentligste nyheder på databeskyttelsesområdet direkte i din indbakke. I denne udgave af GDPR NYT ser vi indledningsvist på Datatilsynets opdaterede skabelon til databehandleraftalen. Derudover har vi som altid udvalgt et par emner, som vi uddyber i korte og letlæselige artikler. Denne gang kommer vi ind på de seneste danske afgørelser om kryptering samt status på e-privacyforordningen.

Men altså først til Datatilsynets nye skabeloner. I december 2019 offentliggjorde tilsynet en nyhed om, at deres skabelon til databehandleraftalen er blevet revideret, således at den nu har karakter af såkaldte ”standardbestemmelser”. Det betyder, at skabelonen har været forbi Det Europæiske Databeskyttelsesråd (hvor alle tilsynsmyndigheder er repræsenteret), da det er et krav, at sådanne skabeloner godkendes af rådet, før de kan stemples ”standardbestemmelser”. Databeskyttelsesrådet kom med en række bemærkninger, som Datatilsynet tog til efterretning, og skabelonerne er nu godkendt på både dansk og engelsk.
 
Fordelen ved at have fået skabelonen godkendt som ”standardbestemmelser” er, at Datatilsynet under et eventuelt tilsyn ikke behøver at efterprøve, hvorvidt aftalen lever op til forordningen – selvfølgelig forudsat, at man ikke har ændret i standardbestemmelserne.
 
De ændringer, Datatilsynet har foretaget, er således særligt begrundet i, at aftalen skulle kunne godkendes som standardbestemmelser, hvilket bl.a. stiller høje krav til aftalens ordlyd, der skal ligge tæt op ad ordlyden i databeskyttelsesforordningen. Det er altså ikke begrundet i, at den gamle aftale ikke levede op til forordningens minimumskrav til en databehandleraftale.
 
Datatilsynet skriver da også i forbindelse med offentliggørelsen, at de databehandleraftaler, der er indgået forud for offentliggørelsen af den nye skabelon den 10. december 2019, fortsat kan anvendes. Underforstået bør man nok tage udgangspunkt i den nye skabelon ved indgåelse af kommende databehandleraftaler, såfremt man ønsker at anvende Datatilsynets skabelon. Hertil skal det bemærkes, at det af nyheden også fremgår, at det naturligvis (fortsat) ikke er et krav, at man anvender tilsynets skabelon, så længe man indgår en aftale, der lever op til forordningens artikel 28.
 
Fordelen ved at anvende Datatilsynets skabelon er, at den er letgenkendelig for mange, og at man er sikker på, at den lever op til forordningens indholdsmæssige krav. På den anden side er en standardskabelon neutral og forsøger at stille begge parter lige, hvorfor den ikke tager højde for den enkeltes situation, herunder hvorvidt man agerer databehandler eller dataansvarlig, karakteren af databehandlerydelsen eller særlige juridiske vilkår, der f.eks. afspejler ansvarsbegrænsninger i forsikringsvilkår. Det kan således være en betydelig fordel at få hjælp til at udarbejde en skræddersyet databehandleraftale, der tager udgangspunkt i netop jeres forhold og sikrer de mest optimale vilkår for jer, hvad enten I er på databehandler- eller dataansvarligsiden.
 
Datatilsynets reviderede skabeloner finder du her, og Datatilsynets nyhed herom kan læses her.

Status på Brexit
Få et overblik over konsekvenserne vedrørende Brexit på Datatilsynets hjemmeside, her. Det primære budskab er, at der som følge af den indgåede aftale om en overgangsperiode vil gælde de samme regler som forud for Brexit frem til 31. december 2020. Overførsel af personoplysninger til Storbritannien kan således ske som hidtil.  Overgangsperioden vil bl.a. gå med at tage stilling til, hvorvidt Storbritannien kan godkendes som et sikkert tredjeland, så der også kan ske overførsel af personoplysninger fra 2021. Vi følger selvfølgelig udviklingen og holder jer opdateret! 
 
Datatilsynet flytter
Vær opmærksom på, at Datatilsynet pr. 3. februar 2020 er flyttet til Carl Jacobsens Vej 35 i Valby. Såfremt I har angivet Datatilsynets fysiske adresse i privatlivspolitikker eller lignende om den registreredes ret til at klage til tilsynet, skal adressen således opdateres.
 

Artikler

 

Datatilsynets praksis om kryptering af e-mails

Datatilsynet skærpede fra 1. januar 2019 kravene til brug af e-mails i den private sektor, således at e-mails, der indeholder følsomme og/eller fortrolige personoplysninger, skal krypteres ved transmissionen. Som opfølgning herpå førte Datatilsynet tilsyn med private virksomheders overholdelse af krypteringskravene i 2019. Læs mere her

Forslag til E-privacyforordningen 

Det var oprindeligt hensigten, at E-privacyforordningen skulle træde i kraft samtidig med databeskyttelses-forordningen (GDPR). Dette skyldes, at begge forordningers formål er at styrke de europæiske privatlivsrettigheder. E-privacyforordningen blev offentliggjort i 2017 men forelægger stadig kun i forslagsform. Det er endnu uvist, hvornår forslaget bliver vedtaget. I skrivende stund er forordningen stadig under forhandling, og forslagets ordlyd er stadig omdiskuteret. Følgende artikel er derfor alene en beskrivelse af de områder, hvor forordningen forventes at få særlig betydning. Læs mere her

Kort nyt

Nationalt

 

  • Kedelig sag for Arbejdsmarkedets Feriefond
    Datatilsynet har udtalt alvorlig kritik til Arbejdsmarkedets Feriefond for manglende overholdelse af oplysningspligten og kritik for rod i behandlingsgrundlaget. Fonden gav først og fremmest manglende oplysninger til den registrerede om behandlingen af vedkommende oplysninger, og disse oplysninger kom drypvist over flere måneder, hvilket er en overtrædelse af GDPR art. 14, stk. 1 og 3, og art. 12, stk. 1. Derudover havde fonden først oplyst den registrerede, at behandlingen skete med henblik på at indkræve et pengekrav, hvorfor samtykke ikke var nødvendigt, men da den registrerede tog kontakt til fondens databeskyttelsesrådgiver fremgik det pludselig, at vedkommende alene ved at have taget kontakt til Arbejdsmarkedets Feriefond havde givet samtykke til behandlingen – hvilket Datatilsynet understreger er et ulovligt samtykke. 
     
  • Alvorlig kritik af databehandler, der handlede uden for instruks
    En databehandler for en kommune fik i en afgørelse udtalt alvorlig kritik for at have handlet uden for den dataansvarliges instruks ved at benytte en underdatabehandler, der ikke fremgik af databehandleraftalen. Underdatabehandleren havde medarbejdere uden for EU, hvorfor der også var tale om en overførsel til tredjelande, hvilket databehandleren ikke havde særskilt tilladelse til. For den behandling databehandleren foretog uden for instruks, blev databehandleren selvstændig dataansvarlig, og virksomheden fik alvorlig kritik for manglende overholdelse af sine forpligtelser i den forbindelse, herunder manglende behandlingsgrundlag.
     
  • Opbevaring af oplysninger til indkaldelse til jubilæer og lign. arrangementer
    Datatilsynet har den 6. december 2019 besvaret et folketingsspørgsmål om opbevaring af oplysninger om tidligere medlemmer af en fodboldklub mhp. at indkalde disse til 25-års jubilæum eller lignende arrangementer. Invitation til et sådan arrangement vil umiddelbart være foreneligt med de oprindelige formål, da f.eks. et jubilæum har nær tilknytning til en fodboldklubs almindelige aktiviteter. Oplysningerne vil kunne behandles efter interesseafvejningsreglen i artikel 6, stk. 1, litra f). De oplysninger, der opbevares, skal behandles i overensstemmelse med de øvrige principper i artikel 5, dvs. begrænset til hvad der er nødvendigt, relevant og tilstrækkeligt. 
     
  • ID-validering kan ikke stilles som generelt krav til anmodninger
    Datatilsynet har udtalt kritik af Pandora for at bede en registreret om billeddokumentation som betingelse for, at selskabet ville tage stilling til en anmodning om sletning. Datatilsynet udtaler, at krav om ID ikke kan stilles generelt, men at der i den enkelte sag skal tages stilling til, om det er nødvendigt for at identificere vedkommende.
     
  • Interessant afgørelse om indsigt i cookies
    DSB afviste at give en borger indsigt i de personoplysninger, de havde indsamlet ved hjælp af cookies. Datatilsynet fandt i det konkrete tilfælde, at denne afvisning var i overensstemmelse med GDPR, da DSB ikke via cookierne vil være i stand til at identificere borgeren uden at sammenholde disse med andre oplysninger. 
     
  • Datatilsynet offentliggør spørgsmål fra tilsynsbesøg
    En række eksempler på de spørgeskemaer, som Datatilsynet benytter under tilsynsbesøg, er igen blevet offentliggjort. Spørgsmålene kredser især om slettepligten og oplysningspligten og understreger endnu engang vigtigheden af at kunne dokumentere sine procedurer, politikker og øvrige foranstaltninger.
     
  • Intern lægekonsulentvurdering kunne ikke undtages indsigtsretten
    Datatilsynet har udtalt alvorlig kritik af Juristernes og Økonomernes Pensionskasse (JØP) for at afvise en borgers anmodning om indsigt i en lægekonsulentvurdering. JØP havde argumenteret for, at det var fast forretningspraksis, og at der var tale om interne dokumenter. Disse argumenter blev afvist af Datatilsynet.
     
  • Tilsyn med behandlingssikkerhed hos fire dataansvarlige
    Som omtalt i dette nyhedsbrevs artikel, traf Datatilsynet i november måned afgørelse i fire sager med særligt fokus på behandlingssikkerheden, herunder anvendelse af kryptering ved fremsendelse af fortrolige og/eller følsomme oplysninger via internettet. 
     
  • Kritik af løbende abonnement på CPR-oplysninger
    Københavns Kommune har modtaget kritik fra Datatilsynet, fordi de havde abonneret på personoplysninger om en borger i CPR-registret, selvom borgeren ikke havde haft bopæl i kommunen i årevis. Datatilsynet udtalte, at abonnementet ikke var nødvendigt, da kommunen i stedet havde mulighed for at foretage enkeltopslag i CPR-registret.  

Internationalt

 

  • Stor bøde til spansk selskab for brud på cookiereglerne
    Det spanske datatilsyn har uddelt en bøde på € 30.000 til et spansk selskab for mangelfuld overholdelse af cookiereglerne. Det primære problem var, at man ved tilgang til deres hjemmeside kun havde mulighed for at acceptere cookies men ikke havde mulighed for til-/fravalg. Det var altså ikke tilstrækkeligt at have en cookiepolitik, der oplyste om brugen af cookies og muligheden for at fjerne dem. Brugeren skulle have mulighed for via en granuleret opbygning at vælge cookies helt fra, inden de blev placeret i brugerens udstyr.
     
  • Bøde på EUR 14,5 mio. til udlejer i Berlin
    En udlejningsvirksomhed i Berlin har modtaget en bøde på EUR 14,5 mio. for brud på reglerne om slettepligt. Sagens kerne var, at udlejeren opbevarede oplysninger om lejere i et arkivsystem, der ikke gav mulighed for at fjerne forældede oplysninger. Det er dermed ikke kun i Danmark, at tilsynsmyndigheden slår hårdt ned på overtrædelse af slettereglerne, og det understreger endnu engang vigtigheden af, at man har styr på sine sletteprocedurer og har systemer, der understøtter løbende sletning.
     
  • Endnu en cookie-afgørelse: Forhåndsafkrydset felt er ikke OK
    En EU-dom har slået fast, at et forhåndsafkrydset felt ikke udgør et gyldigt samtykke til placering af cookies. For at lagre cookies skal man have samtykke fra brugeren af hjemmesiden, og dette samtykke skal gives aktivt. Et forhåndsafkrydset felt til ”ja tak” er ikke givet aktivt og dermed ikke et gyldigt samtykke – og lagringen af cookies vil i så fald være ulovlig.
     
  • Bøde til polsk selskab for ikke at gøre det nemt at tilbagetrække samtykke til markedsføring
    Et polsk leadgenereringsfirma fik en bøde på PLN 201.000 (ca. kr. 365.000) for at forhindre muligheden i at tilbagetrække samtykke til markedsføring på en nem og gennemsigtig måde. Når brugeren ønskede at tilbagekalde sit samtykke, fik denne ikke klare informationer om, hvordan det skulle gøres, og brugeren skulle bl.a. angive årsagen til at trække sit samtykke tilbage, hvilket ikke er et lovkrav. Brugeren fik heller ikke mulighed for at få slettet sine oplysninger, hvilket ikke var i overensstemmelse med retten til at blive glemt. Det er vigtigt at huske på, at et samtykke skal være lige så nemt at tilbagekalde, som det er at give.

     
  • Tysk datatilsyn uddeler bøde på EUR 9,5 mio. til tysk teleselskab
    Det tyske teleselskab havde ifølge det tyske datatilsyn ikke fastsat tilstrækkelige sikkerhedsforanstaltninger. Hvis blot man havde en kundes navn og fødselsdato, kunne man via hotline få oplyst yderligere oplysninger om den pågældende. Bødens størrelse afspejler den potentielle risiko for alle teleselskabets kunder, på trods af at kun relativt få kunder blev berørt. Man tog dog også hensyn til, at teleselskabet var samarbejdsvillig under sagens behandling. 
     
  • Bøde på £ 275.000 til apotek
    Det britiske datatilsyn, ICO, har udstedt en bøde på £ 275.000 til et apotek, for at have opbevaret 500.000 patientdokumenter indeholdende følsomme oplysninger i ulåste containere på apotekets grund. Dokumenterne var ikke tilstrækkeligt beskyttet imod utilsigtet adgang fra uvedkommende eller mod at blive ødelagt som følge af bl.a. vandskade fra regnvejr. Apoteket fik desuden et påbud om at rette op på sin behandlingssikkerhed for at undgå yderligere sanktioner. 

Er det noget, vi kan hjælpe med?

Vi står altid klar til at yde kvalificeret rådgivning.
Kontakt vores GDPR-team
Besøg vores hjemmeside Besøg vores hjemmeside
Send os en mail Send os en mail
+45 63 14 20 20 +45 63 14 20 20
FOCUS ADVOKATER P/S ∙ CVR-nr. 34045666

ODENSE ∙ KOLDING ∙ SVENDBORG ∙ KØBENHAVN ∙ HAMBORG


Du er tilmeldt vores nyhedsbrev på <<Email Address>>,
du kan opdatere dine oplysninger her eller afmelde her.