Velkommen til GDPR NYT
|
|
Focus Advokaters nyhedsbrev, der sørger for, at du får de væsentligste nyheder på databeskyttelsesområdet direkte i din indbakke. I denne udgave bringer vi:
-
Lederen: 50 % af GDPR-compliance handler om IT – og IT handler i stigende grad om compliance
-
Artiklen: Softwareunderstøttelse af Compliance.
Og som altid "Kort nyt", hvor du kan få et hurtigt overblik over de seneste afgørelser på databeskyttelsesområdet.
God fornøjelse!
|
|
Leder
|
|
50 % af GDPR-compliance handler om IT – og IT handler i stigende grad om compliance
De fleste er nok klar over, at en stor del af arbejdet med GDPR-compliance handler om IT og IT-systemer. Men det kan måske alligevel godt komme bag på nogen, hvor stor en del af arbejdet med at efterleve kravene i GDPR, der forudsætter et tæt samarbejde med IT-afdelingen. Og ser man på de nyeste vejledninger og afgørelser fra datatilsynene rundt om i EU, herunder det danske, så afspejler de også et stigende behov for, at GDPR-ansvarlige har et løbende og tæt samarbejde med IT-afdelingen.
Først og fremmest er der en række af kravene i GDPR, som har en uundgåelig relation til IT-afdelingens arbejde, herunder:
- GDPR stiller et krav om tilstrækkelig sikkerhed baseret på risikovurderinger, jf. bl.a. artikel 32.
- Mange af en organisations IT-leverandører anses for at være databehandlere, jf. artikel 28.
- Det er også et krav at databeskyttelse tænkes ind i designet af alle organisationens IT-løsninger, jf. artikel 25.
- Sker der en brud på persondatasikkerheden udløser det en række krav, herunder at hændelsen som udgangspunkt skal anmeldes til Datatilsynet senest indenfor 72 timer, jf. artikel 33 og 34.
Ovenstående eksempler er ikke udtømmende, men afspejler de krav, hvor samspillet mellem arbejdet med GDPR-compliance og IT-afdelingens arbejde og ansvarsområder træder tydeligst frem.
Dette er formentlig ikke ny viden for de fleste, og jeg oplever også, at de i næsten alle IT-afdelinger har et stort fokus på eksempelvis cybersikkerhed. Men hovedbudskabet i denne leder er, at GDPR-compliance og IT-/cybersikkerhed ikke er det samme. Tværtimod er der flere væsentlige og principielle forskelle mellem det at arbejde med IT-sikkerhed fra et kommercielt/teknisk perspektiv, og så de krav, der følger af GDPR. Dette er også hovedbudskabet i en ny artikel publiceret på IAPP’s hjemmeside skrevet af Jeimy Cano.
Jeg vil her komme med nogle helt konkrete eksempler på mulige faldgruber som kan opstå, hvis man sidder i en organisation, hvor arbejdet med GDPR-compliance håndteres i én silo, og hvor IT-kontrakter og IT-sikkerhed håndteres i en anden silo, uden et tæt samarbejde mellem de to områder.
Alle processer, systemer og leverandører skal risikovurderes – med sigte på den registreredes risiko
Mange, inklusive IT-afdelinger, er klar over, at GDPR stiller krav om en ”risikobaseret tilgang”. Men det er formentlig ikke alle IT-afdelinger, som har nærlæst de krav, som følger af Datatilsynets vejledninger og praksis.
På Datatilsynets hjemmeside kan man således læse omfattende materiale om såvel generelle risikovurderinger og de mere dybdegående ”konsekvensanalyser”, som skal laves i forbindelse med ”høj risiko”-aktiviteter.
Efter min erfaring er der særligt to faldgruber forbundet hermed:
For det første er det langt fra alle IT-folk og IT-sikkerhedsansvarlige, der sørger for at dokumentere alle deres risikovurderinger. Men dette er ikke desto mindre et krav efter Datatilsynets og Justitsministeriets fælles vejledning fra 2018:
”For at tilgodese påvisningen af overholdelse af forordningen, jf. også princippet i artikel 24, stk. 1, fordres en dokumentation for alle de vurderinger, som denne risiko-baserede tilgang er udtryk for. Den dataansvarlige kan med fordel føre en form for ”logbog”, der indeholder beskrivelserne og konklusionerne af de afvejninger, der er foretaget. Disse kan være en del af arbejdet efter ISO 27001, hvis dette rammeværk anvendes, men der er ikke noget formkrav til dokumentationen.”
Dernæst har vi også set eksempler på, at risikovurderinger måske nok laves og dokumenteres, men at man alene vurderer risikoen ud fra organisationens eget perspektiv. Det er der som sådan ikke noget underligt i, da det bl.a. er den tilgang, der følger af informationssikkerhedsstandarden ISO 27001. Men som Datatilsynet har slået fast i flere afgørelser, er det ikke tilstrækkeligt ift. at opfylde kravene i GDPR. I Datatilsynets og Rådet for Digital Sikkerheds fælles vejledning om ”Risikovurderinger” udtrykkes det på følgende måde:
”De fleste organisationer har allerede lavet risikovurderinger for at kunne vælge og implementere de rette sikkerhedsforanstaltninger. Genstanden for disse risikovurderinger har imidlertid været organisationerne selv – altså hvad sker der med organisationens bundlinje eller gode ry og rygte, hvis den bliver hacket. Det er absolut nødvendigt at have lavet sådanne risikovurderinger – men det er ikke sådanne vurderinger persondataforordningen lægger op til, at der skal laves.
Genstanden for persondataforordningens risikovurderinger er de registreredes rettigheder og frihedsrettigheder. Der skal altså laves en vurdering af, hvilke risici organisationen som dataansvarlig udsætter kunder, medarbejdere og andre samarbejdspartnere i form af fysiske personer for. Den dataansvarlige kan altså ikke genbruge sin risikovurdering, men er nødt til at lave en ny med de registrerede i centrum.”
Som et eksempel på en konkret afgørelse kan nævnes en sag fra 2021 omhandlende Club Matas, hvori tilsynet bl.a. udtalte:
”Datatilsynet skal i den forbindelse bemærke, at sådanne generelle overvejelser omkring overholdelsen af de databeskyttelsesretlige regler, ikke lever op til kravet om at identificere risici for de registrerede.
[…]
Datatilsynet bemærker imidlertid, at en risikovurdering med henblik på at sikre et tilstrækkeligt beskyttelsesniveau efter forordningens artikel 32, alene bør ske under hensyntagen til risikoen for den registrerede og ikke for virksomheden selv.” (mine fremhævninger)
Krav i forbindelse med indgåelse af IT- og cloudkontrakter
Forrige afsnit handlede specifikt om kravet om (dokumenterede) risikovurderinger fra et GDPR-perspektiv, men der er endnu flere krav man skal være opmærksom på i forbindelse med indgåelse af fx IT- og cloudkontrakter.
For det første følger det som nævnt af artikel 25, at de databeskyttelsesretlige krav og principper skal tænkes ind fra starten, hvad enten man udvikler løsningen selv eller køber den hos en leverandør – også selvom det er en standardløsning, man køber. I Datatilsynets nye cloudvejledning udtrykkes det på følgende måde:
”Du skal med andre ord foretage en risikovurdering vedrørende databeskyttelse. Disse krav følger af bestemmelserne om den dataansvarliges ansvar og om databeskyttelse gennem design og gennem standardindstillinger. Denne risikovurdering er selvstændig fra risikovurderingen vedrørende behandlingssikkerhed, der er nærmere omtalt nedenfor i afsnit 3.1.2.
[…]
Når du foretager din risikovurdering vedrørende databeskyttelse, skal du tage udgangspunkt i selve den påtænkte behandlingsaktivitet. Hvis behandlingsaktiviteten understøttes af et it-system, skal systemet og dets indretning dermed også indgå i vurderingen.
Som nævnt ovenfor er det imidlertid karakteristisk for cloudservices, at disse leveres som standardløsninger, hvor der er intet eller alene et begrænset rum for dig som den dataansvarlige at anmode om tilpasninger af leverancemodellen eller applikationerne. Der kan derfor være et begrænset rum for at træffe de nødvendige tekniske foranstaltninger for at imødegå eventuelle databeskyttelsesrisici eller alternativt ændre systemets indretning således, at den identificerede risiko helt fjernes.
Det betyder, at der kan være cloudservices, som du på baggrund af din risikovurdering vedrørende databeskyttelse er nødt til at fravælge, hvis – og i det omfang – det ikke er muligt at implementere tekniske foranstaltninger, som du vurderer som nødvendige.” (mine fremhævninger)
Et oplagt eksempel herpå kunne være at sikre, at systemet kan understøtte kravet om løbende og systematisk sletning af alle personoplysninger.
Udover ovenstående kan også nævnes en række andre krav, som skal tilgodeses i forbindelse med indgåelse af aftaler med IT- og cloudleverandører, eksempelvis:
Barren for, hvad der forventes i relation til struktureret og systematisk arbejde med IT-sikkerhed, bliver hele tiden hævet
I takt med den stigende digitalisering af alle dele af vores samfund, og den af følgende stigende afhængighed af IT-systemer og data, stiger også behovet for at have fokus på IT-sikkerhed.
På myndighedssiden har vi bl.a. set at statslige myndigheder siden 2014 har haft pligt til at efterleve ISO 27001, hvorimod regioner og kommuner kan nøjes med at følge ”principperne” i standarden. Også på erhvervssiden har der været et stigende interesse for emnet, herunder i forbindelse med Bestyrelsesforeningens udarbejdelse af ” anbefalinger til styrkelse af cyberkompetencer i bestyrelser”.
Og af andre eksempler kan nævnes Erhvervsstyrelsens og Digitaliseringsstyrelsens fælles hjemmeside www.sikkerdigital.dk, samt det nye ” D-mærke”, som er ” Danmarks nye mærkningsordning for it-sikkerhed og ansvarlig dataanvendelse”.
Parallelt med denne udvikling har vi også set de forskellige EU datatilsyn stille højere og højere forventninger til myndigheder og virksomheders ”modenhed”-relation til det systematiske arbejde med sikkerhed. For nyligt har det danske datatilsyn således afsluttet en modenhedsanalyse hos udvalgte virksomheder og myndigheder og på baggrund heraf konkluderede tilsynet bl.a.:
”at der generelt er fokus på arbejdet med informationssikkerhed herunder databeskyttelse. Datatilsynet har dog noteret sig, at de dataansvarlige i flere tilfælde med fordel kunne have et større fokus på at etablere beredskab og beredskabsplaner for håndtering af situationer, hvor behandlingssikkerheden påvirkes, ligesom det er væsentligt gennem sin sikkerhedsorganisation at sikre en effektiv ledelsesmæssig forankring.”
Afrunding: ”I have a dream…”
Det er nok de færreste, som kan læse ovenstående citater, og med overbevisning sige, at de har styr på det hele. Hovedbudskabet i denne leder er da også, at man skal lade være med at gå i panik, og i stedet gentænke den måde, hvorpå man organiserer sit arbejde med hhv. GDPR-compliance og IT/IT-sikkerhed. Det er således svært at se nogen vej udenom, at GDPR-folk og IT-folk i fremtiden er nødt til at kunne arbejde tæt sammen.
Af: Advokat Jesper Løffler Nielsen
|
|
Artikel
|
|
Softwareunderstøttelse af Compliance
De fleste kan efterhånden tale med om, hvordan deres virksomhed har digitaliseret dele af forretningen. Hvad enten der er tale om Software-as-a-Service løsninger til eksempelvis regnskab og revision eller udvikling af automatiserede produktionslinjer, så er der gang i en enorm udvikling både hos SMV’er og større virksomheder.
Men det er ikke kun i forhold til virksomhedernes kerneforretning, at digitaliseringen har gjort sit indtog. Compliance spiller en fortsat stigende rolle, og særligt med ikrafttrædelsen af GDPR tilbage i 2018 er banen blevet kridtet op til en ny omgang digitalisering - denne gang på efterlevelse af den hurtigt voksende bunke af regulatoriske krav.
I artiklen her stiller vi skarpt på complianceværktøjer, der understøtter den løbende compliance, samt de fordele som virksomheder kan opnå, både direkte og indirekte, ved bedre strukturering af den løbende compliance.
|
|
|
Kort nyt
|
|
Nationalt
BØDESAGER
- Bøde på 10 mio. kr. til Danske Bank for manglende sletning
Datatilsynet har indstillet Danske Bank til en bøde på 10. mio. kr. som følge af manglende sletning. Bødeindstillingen kom på baggrund af et tilsyn, hvor det viste sig, at banken i mere end 400 systemer ikke kunne dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger, samt at der var foretaget manuel sletning af personoplysninger. Der var i de pågældende systemer tale om oplysninger om flere millioner personer.
- Bøde på 50.000 for manglende høring af Datatilsynet
Datatilsynet har indstillet Nationalt Genom Center (NGC) til en bøde på 50.000 kr. som følge af, at virksomheden var påbegyndt behandling uden at foretage høring af Datatilsynet. Datatilsynet havde modtaget en konsekvensanalyse (DPIA), hvoraf det fremgik, at NGC, efter at have påbegyndt behandlingen, var blevet gjort opmærksom på forhold, der kunne udgøre en høj risiko for de registrerede rettigheder. Datatilsynet vurderede, at NGC ikke havde ageret i overensstemmelse med reglerne, da de havde påbegyndt denne behandling af personoplysninger, herunder oplysninger gensekventering, uden at høre Datatilsynet.
- Første GDPR-bøde til offentlig myndighed
Retten i Roskilde har idømt Lejre Kommune til at betale en bøde på 50.000 kr. for manglende behandlingssikkerhed. Datatilsynet indstillede i juni 2020 kommunen til bøden idet kommunen ikke levede op til kravene om behandlingssikkerhed. Sagen omhandlede en fast praksis, hvor kommunen uploadede mødereferater indeholdende følsomme oplysninger på kommunens medarbejderportal, hvor adgangen ikke var begrænset. Dommen er den første, hvor en offentlig myndighed straffes for overtrædelse af GDPR.
AFGØRELSER
- Kommune videregav oplysninger om en ansats fertilitetsbehandling til øvrige medarbejdere
Datatilsynet har udtalt alvorlig kritik af en kommunes behandling om en medarbejder. Kritikken kommer på baggrund af kommunens orientering om en ansats skånehensyn som følge af fertilitetsbehandling til den ansattes afdeling med over 50 personer. Datatilsynet lagde til grund, at det ikke havde været nødvendigt at informere klagers kollegaer om årsagen til hendes skånehensyn.
- Manglende differentiering af adgangsrettigheder hos kommune
Datatilsynet har i forbindelse med et tilsyn udtalt kritik af Høje-Taastrup kommunes manglende behandlingssikkerhed i forbindelse med deres adgangsrettigheder i filsystemer. Datatilsynet fandt, at kommunen ikke levede op til regler om behandlingssikkerhed, bl.a. under hensyn til, at kommunen ikke havde retningslinjer eller objektive kriterier for, hvem der fik adgang til de mapper med personoplysninger. Kommunen kunne ligeledes ikke dokumentere, at der var blevet foretaget en vurdering af de pågældende medarbejderes arbejdsbetingede behov for adgang til den pågældende database.
- Alvorlig kritik af databehandler for manglende behandlingssikkerhed
Datatilsynet har udtalt alvorlig kritik af en databehandlers behandling af personoplysninger. Afgørelsen kommer på baggrund af 30 kommuners anmeldelse om brud på persondatasikkerheden i systemet Aula, der medførte at brugere fik adgang til andre brugeres sikre filer, hvilket indeholdt følsomme personoplysninger. Fejlen skyldtes en programmeringsfejl i forbindelse med udviklingen af en ændring til loginløsningen. Datatilsynet fandt, at databehandleren ikke havde levet op til reglerne om behandlingssikkerhed, idet der ikke var foretaget tilstrækkelige test af Aula i forbindelse med ændringen af koden i Aula.
- Kritik for uberettiget indsamling af CPR-nummer og manglende besvarelse af indsigtsanmodning
Datatilsynet har udtalt alvorlig kritik af virksomheden Nuuday A/S for indsamling af oplysninger om CPR-nummer, uden at have hverken formål eller hjemmel hertil, samt efter at have besvarede en indsigtsanmodning for sent. Virksomheden erkendte selv, at de ikke havde hjemmel til at indsamle oplysninger om CPR-nummer, og at indsamlingen skyldtes en menneskelig fejl. Datatilsynet lagde desuden til grund, at en indsigtsanmodning fra den 5. december 2020, først blev besvaret den 3. maj 2021, hvilket ikke var rettidigt.
- Kodningsfejl og påvirkning af øvrigt it-system medførte alvorlig kritik, påbud og advarsel
Datatilsynet har, på baggrund af to sikkerhedsbrud, udtalt alvorlig kritik af Region Hovedstaden samt udstedt et påbud og en advarsel. Sikkerhedsbrudene opstod som følge af en integration mellem Regionens Sundhedsplatform og Fælles Medicin Kort. I forhold til det første sikkerhedsbrud, skete der ændringer i et bagvedliggende regelhierarki, hvilket påvirkede den tekniske opsætning i Sundhedsplatformen. I forhold til det andet sikkerhedsbrud, var der tale om en kodefejl ved opgradering i Sundhedsplatformen, der medførte en uoverensstemmelse i produktbeskrivelserne for 1654 varenumre. Datatilsynet udtalte bl.a. alvorlig kritik af, at Regionen ikke havde kvalificeret, relevante testscenarier med henblik på bedre at kunne identificeres afhængigheder til andre it-systemer og ikke havde gennemført nødvendige test inden ændringerne blev sat i produktion.
- Underdatabehandler var omfattet af den oprindelige dataansvarliges instruksbeføjelse
Datatilsynet udtaler alvorlig kritik af en underdatabehandler, efter at denne afviste at tilbagelevere en række kundeoplysninger til den dataansvarlige. Underdatabehandleren anførte, at denne som forhandlerens underdatabehandler ikke var underlagt den oprindelige dataansvarliges direkte instruksbeføjelse. Datatilsynet anførte, at i den pågældende sag behandlede både databehandleren og underdatabehandleren oplysninger på vegne af den oprindelige dataansvarlige, hvorfor en aftale mellem underdatabehandleren og databehandleren ikke kunne føre til et andet resultat. Datatilsynet bemærkede desuden, at idet underdatabehandleren selv havde fastlagt formålet med opbevaringen ved ikke at imødekomme den dataansvarliges anmodning, var denne underdatabehandler selvstændig dataansvarlig for den fortsatte opbevaring af kundeoplysningerne.
- Manglende kontrol med adgangsrettigheder til e-postkasser
Datatilsynet udtaler kritik af Gentofte kommunes rettighedsstyring til e-mailpostkasser. Datatilsynet fandt, at kommunen ikke havde foretaget de fornødne kontroller af, om adgangsrettighederne til e-postkasserne var korrekte, hvilket ikke var i overensstemmelse med regler om behandlingssikkerhed. Datatilsynet lagde vægt på, at kravet om passende sikkerhed normalt vil indebære, at den dataansvarlige løbende kontrollerer om adgangsrettigheder til postkasser er begrænset til de personoplysninger, som er nødvendige og relevante for den pågældende brugers arbejdsbetingede behov. Datatilsynet fandt desuden, at kommunens kontrolomfang ikke var tilstrækkelige, bl.a. som følge af, at kommunen ved seneste kvartalsvise stikprøve kun kontrollerede 2 postkasser ud af 564.
- Ugyldigt samtykke til cookies og behandlingsgrundlag til Google Analytics
Datatilsynet udtaler alvorlig kritik af Den Blå Avis’ (DBA) samtykkeløsning bl.a. som følge af, at DBA’s samtykkeløsning ikke opfyldte det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed, samt reglerne om behandlingsgrundlag. Datatilsynet anførte, at den registrerede blev stillet overfor valget mellem ”Accepter” eller ”Indstillinger”, hvorefter den registrerede ved at trykke ”Accepter”, gav samtykke til flere forskellige behandlingsformål, som ikke var opdelte og præcist angivet. Den registrerede havde ligeledes ikke mulighed for at til- og fravælge behandlingsformål, samtidig med at formålsbeskrivelsen ikke var præcis og granuleret.
Datatilsynet anførte desuden om DBA’s brug af Google Analytics, at der sker overførsel af personoplysninger til USA. Datatilsynet vurderede, at denne behandling af personoplysninger til statistiske formål ikke kunne ske på baggrund af interesseafvejningsreglen, idet hensynet til de hjemmesidebesøgende oversteg DBA’s legitime interesser.
- Manuel ændring af URL gav adgang til andre borgeres personoplysninger
Datatilsynet udtalte kritik af Herning Kommunes behandling af personoplysninger i IT-systemet ”Affaldsweb”. Kritikken kom på baggrund af, at det gennem systemet i nogle tilfælde var muligt at tilgå oplysninger om, hvem der sidst havde redigeret eller bestilt affaldscontainere samt eventuelle kontaktoplysninger, som borgerne selv havde indtastet. Muligheden opstod, idet brugerens unikke kode på 5 tegn indgik i URL’en og ved manuelt at ændre i denne, var det potentielt muligt at tilgå oplysninger om andre brugere. Datatilsynet vurderede, at en adgangsbeskyttelse baseret på en kode med 5 cifre ikke var passende sikkerhed, samt at brugen af fortløbende numre/bogstaver eller genkendelige sekvenser af karakterer i den URL, der benyttes til individualiseret adgang, ikke er udtryk for en passende beskyttelse.
- Automatisk udfyldning af oplysninger ved køb på hjemmeside manglede sikkerhed
Datatilsynet udtalte kritik af en virksomheds automatiske udfyldning af oplysninger ved køb på hjemmeside. Kritikken kom på baggrund af, at virksomheden anvendte en funktion, hvor indtastning af en allerede kendt e-mail, automatisk udfyldte en række felter med personoplysninger, der tidligere er blevet anvendt i tilknytning til e-mailadressen. Dette medførte, at ved indtastningen af tidligere kunders e-mailadresser kunne andre uvedkommende brugere således potentielt tilgå oplysninger om disse personer. Datatilsynet vurderede, at dette ikke leverede op til kravet om passende sikkerhed. Datatilsynet bemærkede i forbindelse med sagen, at løsninger med automatisk udfyldning, hvor den registrerede på forhånd havde verificeret sig tilstrækkeligt på en anden måde, f.eks. ved login, vil leve op til kravene om passende sikkerhed.
- Billeder af både nuværende og tidligere medarbejdere i markedsføringsøjemed kræver samtykke
Datatilsynet udtaler kritik af et apotek efter brug af en tidligere medarbejder i en markedsføringsvideo på Facebook. Datatilsynet anførte, at brugen af billeder af såvel tidligere som nuværende medarbejdere i markedsføringsøjemed som udgangspunkt forudsætter samtykke, hvilket apoteket ikke havde indhentet. Apoteket havde imidlertid anført, at behandlingsgrundlaget var interesseafvejningen, hvilket Datatilsynet afviste som behandlingsgrundlag i nærværende sag.
- Kritik for ikke at følge egne retningslinjer om kontrol
Datatilsynet har udtalt kritik af Allerød Kommune for ikke at følge sine egne retningslinjer for kontrol. Datatilsynet fandt generelt, at kommunens procedurer for stikprøvekontrol var meget tilfredsstillende i forhold til risikobilledet, men at kommunen ikke fulgte sine egne retningslinjer for kontrol, hvilket ikke var i overensstemmelse med kravet om passende sikkerhed.
ØVRIGE NYHEDER
- Ny vejledning og ekspertgruppe om brug af cloud
Datatilsynet har offentliggjort en ny vejledning om brugen af cloudservices. Vejledningen er målrettet dataansvarlige og gennemgår de overvejelser, der skal gøres, når cloudservices ønskes benyttes. Det er Datatilsynets formål, at vejledningen bl.a. skal hjælpe med at skabe et overblik og komme med råd til, hvordan man vurderer sine databehandlere samt, hvordan man dokumenterer sine valg. Vejledningen kan læses her.
Datatilsynet nedsætter samtidig en ekspertgruppe, der skal se på tiltag, som kan sikre en lovlig brug af cloudservices. Gruppen skal bl.a. se på udfordringerne ved de nuværende cloudservices samt på mulige tiltag og foranstaltninger, der kan sikre en ansvarlig og lovlig brug af cloudservices. Datatilsynet har i samme forbindelse offentliggjort en kort oversigt over spørgsmål og svar om brugen af cloudservices. Oversigten kan findes her.
- Tjekliste til vuggestuer og børnehaver ved brug af billeder og video
Datatilsynet har offentliggjort en tjekliste, der skal hjælpe børnehaver og vuggestuer med at overholde databeskyttelsesreglerne, når de bruger billeder og videoer af børn og medarbejdere. Tjeklisten er opbygget som en kvikguide med gode råd og konkrete eksempler, samt udbydende forklaringer. Tjeklisten kan findes her.
|
|
Internationalt
AFGØRELSER
- Bøde på 17 mio. EUR for brud på datasikkerheden
Det irske datatilsyn har pålagt Meta Platforms (tidl. Facebook) en bøde på 17 mio. EUR for brud på datasikkerheden. Datatilsynet lagde til grund, at virksomheden havde undladt implementeringen af passende tekniske og organisatoriske foranstaltninger, der ville sætte dem i stand til let at påvise de sikkerhedsforanstaltninger, som de gennemførte i praksis.
- AI virksomhed pålægges bøde på 20 mio. EUR
Det italienske datatilsyn har pålagt virksomheden Clearview AI en bøde på 20 mio. EUR. Bøden er bl.a. pålagt på baggrund af, at virksomheden behandlede personoplysninger, herunder biometrisk data og geolokaliseringsoplysninger på grundlag af virksomhedens legitime interesser, hvilket datatilsynet vurderede ikke var et passende retsgrundlag. Derudover overtrådte virksomheden flere grundlæggende principper i GDPR, herunder gennemsigtighed, formålsbegrænsning og opbevaringsbegrænsning og manglende oplysningspligt.
- Belgisk afgørelse kan have betydning for danske hjemmesider
Det belgiske datatilsyn har truffet afgørelse i en klagesag vedrørende en it-service og et rammeværk, der bliver benyttet til indsamling og formidling af samtykke ved annoncering. Det pågældende rammeværk er baseret på betingelser samt et teknisk set-up, og anvendes bl.a. til registrering af cookiesamtykker og præferencer mv., hvorefter annoncører kan købe sig ind på de af brugernes præferencer, der er relevante for dem med henblik på markedsføring. Det belgiske datatilsyn har vurderet, at designerne bag det tekniske set-up for rammeværket findes at være dataansvarlige for de personoplysninger, der behandles i rammen, hvilket har afgørende betydning for overholdelsen af reglerne i GDPR.
Det danske datatilsyn anfører, at denne afgørelse kan få stor betydning for danske hjemmesider, idet mange annoncører, medier og udbydere af reklamer benytter dette rammeværk, samt at danske hjemmesider er understøtter af reklamer udbudt ved hjælp af denne metode til samtykkeformidling.
- Afgørelse om brug af Google Analytics fra det østrigske datatilsyn
Det østrigske datatilsyn har truffet afgørelse i en sag vedrørende Google Analytics, som konkluderer, at virksomheden under de pågældende omstændigheder ikke lovligt kunne benytte sig af Google Analytics. Det østrigske datatilsyn fandt, at der var sket overførsel af personoplysninger til Google i USA på baggrund fa EU-Kommissionens standardkontraktsbestemmelser, der efter Schrems II-sagen ikke længere kan anvendes som gyldigt overførselsgrundlag. Det østrigske datatilsyn fandt desuden, at de supplerende foranstaltninger, som virksomheden havde implementerede ikke var effektive, idet de ikke forhindrede mulighederne for overvågning af og adgang til de overførte oplysninger fra amerikanske retshåndhævende myndigheder.
Det danske datatilsyn er opmærksom på, at dette vil påvirke danske virksomheder og forventer derfor at udarbejde en vejledning om brugen af værktøjer som Google Analytics.
ØVRIGE NYHEDER
- Vejledning om brug af adfærdskodekser som overførselsgrundlag
Det Europæiske Databeskyttelsesråd har vedtaget en ny vejledning om anvendelsen af adfærdskodekser, herunder den praktiske brug af adfærdskodekser som overførselsgrundlag. Vejledningen kan findes på engelsk her.
- Vejledning om retten til indsigt
Det Europæiske Databeskyttelsesråd har vedtaget en ny vejledning om den registreredes rettigheder, herunder retten til indsigt efter GDPR artikel 15. Vejledningen indeholder en gennemgang af formålet med retten til indsigt, rækkevidden heraf, de supplerende informationer den dataansvarlige skal give om behandlingen, hvordan de dataansvarlige kan give indsigt, undtagelser til retten til indsigt, samt en række eksempler på selve håndteringen af anmodningen om indsigt. Vejledningen kan findes på engelsk her.
- Sydkorea anerkendes som et sikkert tredjeland
EU-Kommissionen har godkendt Sydkorea som et sikkert tredjeland i relation til GDPR. Dette betyder, at der nu kan overføres personoplysninger til Sydkorea uden et overførselsgrundlag. EU-Kommissionens pressemeddelelse kan læses på engelsk her.
- Vejledning om eksempler på underretning om sikkerhedsbrud
Det Europæiske Databeskyttelsesråd har vedtaget en ny vejledning om den praktiske underretning i forbindelse med et sikkerhedsbrud. Vejledningen indeholder derved mere praksisorienteret vejledning samt konkrete anbefalinger, hvis formål er at hjælpe de dataansvarlige med at beslutte, hvordan databrud skal håndteres, samt hvilke faktorer der skal overvejes under risikovurderingen.Vejledningen kan findes på engelsk her.
- Vejledning om samspillet mellem GDPR’s territoriale anvendelsesområde og bestemmelserne om tredjelandsoverførelser
Det Europæiske Databeskyttelsesråd har vedtaget en ny vejledning om samspillet mellem GDPR’s territoriale anvendelsesområde (artikel 3) og bestemmelserne om tredjelandsoverførsler. Retningslinjerne har til formål at bistå dataansvarlige og databehandlere i EU med at identificere om en behandling udgør en international overførsel. Vejledningen kan læses på engelsk her.
|
|
Er der noget, vi kan hjælpe med?
Vi står altid klar til at yde kvalificeret rådgivning.
Kontakt vores GDPR-team
|
|
|
|
|
|
