Året der gik med GDPR og cybersecurity law

Vi giver et overblik over årets vigtigste afgørelser, lovgivning og nyheder inden for persondataret og cybersecurity law.

 

RETSPRAKSIS FRA DATATILSYNET


Hjemmel til behandling – kontrakt eller samtykke?

Datatilsynet har den 10. september 2018 offentliggjort en afgørelse i en sag om en modelaftale. En model klagede over, at en fotograf nægtede at slette billeder taget af hende, herunder billeder af intim karakter, med henvisning til gyldig aftale. Modellen ønskede at tilbagekalde sit samtykke, hvilket fotografen nægtede, medmindre hun betalte ham 5.000 kr. Datatilsynet fandt, at modelaftalen var en kontrakt af almindelig karakter inden for modelbranchen, og da modellen var fyldt 18 år, da hun underskrev kontakten, havde den indgåede aftale ikke karakter af et databeskyttelsesretligt samtykke (som kan tilbagekaldes), men karakter af en kontrakt, hvorfor betingelserne for at kræve billederne slettet efter databeskyttelsesforordningens artikel 17, stk. 1, ikke var opfyldt. Datatilsynet fandt, at fotografen havde hjemmel i databeskyttelsesforordningens artikel 6, stk. 1, litra b, til at behandle oplysningerne.

Klage over manglende sletning – læs mere om afgørelsen her.

 

Offentliggørelse af personoplysninger fra CVR er som udgangspunkt lovligt

Datatilsynet offentliggjorde den 13. august 2018 afgørelse i en sag vedrørende Lasso X ApS’ offentliggørelse af personoplysninger fra CVR (Det Centrale Virksomhedsregister). Sagen omhandlede en klage over behandling af personoplysninger vedrørende tidligere tilknytning til en række virksomheder. Lasso X ApS afviste at imødekomme indsigelsen, med den begrundelse at der var tale om oplysninger, enhver kunne få adgang til gennem CVR.

Datatilsynet udtalte, at en dataansvarlig inden for rammerne af forordningens art. 6, stk. 1, litra f, som udgangspunkt lovligt kunne behandle personoplysninger indhentet fra offentligt tilgængelige registre, såsom CVR, og også offentliggøre disse.

Klage over Lasso X ApS’ behandling af oplysninger – læs mere om afgørelsen her.

 

SKAT’s brug af oplysninger fremskaffet ulovligt af anden myndighed

Datatilsynet har ved en udtalelse publiceret den 17. maj 2018 uddelt kritik til SKAT for SKAT’s brug af personoplysninger, der var fremskaffet ulovligt af SØIK. SKAT havde i forbindelse med en sag om skattesvig modtaget en række dokumenter fra SØIK om klager til brug for SKAT’s skatteansættelse. Både by- og landsretten havde fastlagt, at oplysningerne var blevet tilvejebragt af SØIK i strid med retsplejeloven, men SKAT anførte, at materialet var lovligt tilvejebragt, idet politiet havde vurderet, at det var berettiget at udveksle materialet med SKAT – SKAT havde derfor modtaget det lovligt, uanset det var tilvejebragt ulovligt af SØIK.
Datatilsynet fandt, at SKAT behandlede oplysninger om klager i strid med den dagældende persondatalovs § 5, stk. 1, om god databehandlingsskik, idet tilsynet udtalte:

”Efter Datatilsynets praksis medfører princippet om god databehandlingsskik bl.a., at en behandling, der er i strid med anden lovgivning end persondataloven, heller ikke lovligt vil kunne foretages efter persondataloven”

Datatilsynet vurderede, at afgørelsen ville være den samme efter databeskyttelsesforordningen.

SKAT’s brug af ulovligt fremskaffede oplysninger – læs mere om afgørelsen her.

 

RETSPRAKSIS FRA ØVRIGE TILSYNSMYNDIGHEDER MV. OM BØDER


Portugisisk tilsynsmyndighed: Barreiro Hospital

En af de første bøder givet på baggrund af forordningen lød på 400.000 EUR og blev givet til det offentlige hospital Barreiro Hospital af det portugisiske datatilsyn i oktober. I denne sag havde både læger og personer uden medicinsk baggrund adgang til patienters følsomme oplysninger. Som yderligere skærpende omstændigheder fandt tilsynet, at hospitalet havde 1.000 adgangsprofiler, selvom kun omkring 300 ansatte havde en medicinsk baggrund samt en uforsvarlig opbevaring af patienters data. Selvom Portugal ikke officielt har implementeret forordningen, anvendte tilsynet reglerne i sagen mod hospitalet.


Tysk tilsynsyndighed: Knuddels.de

Tilsynsmyndigheden i den tyske delstat Baden-Württemberg har den 21. november 2018 idømt en tysk social media udbyder en bøde på 20.000 EUR efter manglende opfyldning af databeskyttelsesforordningens artikel 32.

Den tyske virksomhed, “knuddels.de”, anmeldte den 8. september 2018 et sikkerhedsbrud til det tyske datatilsyn efter at være blevet opmærksom på, at ca. 330.000 brugeres personoplysninger, herunder e-mailadresser og adgangskoder, var blevet offentliggjort i starten af september måned. Oplysningerne var blevet stjålet under et hackerangreb, som virksomheden havde været udsat for i juli 2018.

Ved den efterfølgende undersøgelse af sikkerhedsbruddet fandt den tyske tilsynsmyndighed, at virksomheden opbevarede brugernes oplysninger, herunder deres adgangskoder, i et ikke-krypteret format. Tilsynet vurderede dette som værende et brud på databeskyttelsesforordningens artikel 32, stk. 1 om behandlingssikkerhed.

Databeskyttelsesforordningens artikel 32 fastsætter, at den dataansvarlige, via tekniske og organisatoriske foranstaltninger, skal sikre et passende sikkerhedsniveau for beskyttelsen af personoplysninger. Det tyske datatilsyn tog med afgørelsen stilling til, at dataansvarlige ved opbevaring af især fortrolige personoplysninger, herunder adgangskoder, skulle kryptere oplysningerne for at leve op til sikkerhedskravene.

Bøden er den første udstedt i Tyskland efter ikrafttrædelsen af databeskyttelsesforordningen. Ved fastsættelsen af bødens størrelse lagde tilsynet vægt på, at virksomheden havde underrettet sine brugere om databruddet, og at virksomheden hurtigt havde indført væsentlige forbedringer af datasikkerheden, hvilket blev anset som formildende omstændigheder.


Østrigsk tilsynsmyndighed

Den østrigske tilsynsmyndighed har også udstedt en administrativ bøde efter databeskyttelsesforordningen. Bøden blev givet til en iværksættervirksomhed, der havde installeret et overvågningskamera foran sin bygning. Kameraet lavede optagelser af det område, der tilhørte virksomheden men også en stor del af fortovet. Virksomheden fik en bøde på EUR 4.800, idet TV-overvågningen af det offentlige område (fortovet) ikke var tilladt, og fordi det ikke var tilstrækkeligt angivet, at kameraet foretog videoovervågning. Dette var en overtrædelse af princippet om gennemsigtighed.

Tilsynet udtalte, at bøden blev udmålt under hensyntagen til proportionalitetsprincippet. Iværksættervirksomheden havde en årlig omsætning på omkring EUR 40.000, og sådanne virksomheder burde ikke kunne mødes med en bøde på 20 millioner EUR.

GDPR og arbejdsgiverens pligt til at undervise og kontrollere sine medarbejdere
Det britiske datatilsyn, ICO, har udstedt en bøde på 120.000 britiske pund til Heathrow Airport, efter en civilperson fandt et ukrypteret USB-stik tilhørende lufthavnen, der indeholdt personoplysninger. Samtidig har den britiske Court of Appeal i efteråret 2018 i en afgørelse bestemt, at en arbejdsgiver efter de persondataretlige principper kan gøres ansvarlig for medarbejderes forsætlige brud på datasikkerheden.

Hændelserne i begge sager fandt sted inden GDPR trådte i kraft, hvorfor sagerne blev behandlet efter dagældende databeskyttelsesdirektiv 95/46 og reglerne i den engelske Data Protections Act, som implementerede disse.

Omdrejningspunktet for begge afgørelser er dagældende Data Protection Acts syvende princip, der lyder således: “Appropriate technical and organisational measures shall be taken against unauthorised or unlawful processing of personal data and against accidental loss or destruction of, or damage to, personal data”. Principperne for databeskyttelsen er ført videre i de nugældende regler, hvorfor afgørelserne kan have betydning for de krav, der stilles til arbejdsgiverens kontrol med og undervisning af sine ansatte. De to afgørelser er beskrevet nærmere nedenfor:


Engelsk appeldomstol: Morrison Supermarkets vs. Various Claimants

Den britiske supermarkedskæde Morrisons tabte en sag, hvor den engelske Court of Appeal fastslog, at en arbejdsgiver kunne gøres indirekte ansvarlig overfor en medarbejders forsætlige brud på datasikkerheden, selvom virksomheden havde iagttaget sine sikkerhedsforanstaltninger og ikke bar noget strafansvar.

Sagen drejede sig om en tidligere medarbejder, der offentliggjorde tæt på 100.000 ansattes og tidligere ansattes personlige oplysninger, såsom personnumre, adresser og kontooplysninger.

Morrisons påstod, at de ikke kunne gøres ansvarlige for den ansattes kriminelle handlinger. Den engelske domstol fandt, at den ansatte var dataansvarlig, da han forsætligt havde overført data til egen privat pc. Morrisons kunne således ikke være direkte ansvarlig for sikkerhedsbruddet, men retten fandt, at virksomheden ikke havde opfyldt sine forpligtelser efter dagældende Data Protection Acts syvende princip. Dette skete uanset at den tidligere medarbejder i 2015 fik en dom på otte års fængsel som følge af sikkerhedsbruddet.

Blandt de afgørende omstændigheder for, at Morrisons var indirekte ansvarlig for den medarbejderens forsætlige sikkerhedsbrud var, at hans arbejdsområde og arbejdsopgaver gav ham adgang til disse data, hvorfor Morrisons allerede der påtog sig den risiko og uden at føre kontrol. Som nævnt bestemte dagældende Data Protection Act syvende princip, at passende tekniske og organisatoriske foranstaltninger skal iværksættes, men hvad der er passende tekniske foranstaltninger vil afhænge af den konkrete situation. Denne dom peger i retning af, at selv særligt betroede medarbejdere skal underlægges en streng kontrol.


ICO: Heathrow Airport

ICO indledte en undersøgelse af Heathrow Airport’s sikkerhedsforanstaltninger, efter en civilperson i efteråret 2017 fandt et ukrypteret USB-stik i lufthavnens serviceområde. Personen gennemså materialet og udleverede det til en avis, der efter at have taget kopier af materialet afleverede USB-stikket tilbage til lufthavnen.

ICO fandt, at Heathrow Airport generelt havde et utilfredsstillende sikkerhedsniveau. Den manglende datasikkerhed var ikke kun i det område, hvor USB-stikket blev fundet, men der manglede passende sikkerhedsforanstaltninger i hele organisationen.

ICO fandt også som en skærpende omstændighed, at Heathrow Airport kun havde undervist 2 % af deres medarbejdere om databeskyttelse og informationssikkerhed. Dette var uanset, at de 2 % som faktisk havde modtaget undervisningen, var det personale, som oftest behandlede personoplysninger.

Heathrow Airport iværksatte straks efter datalækket begrænsningsforanstaltninger, men uanset dette var Heathrow Airport’s generelle sikkerhedsforanstaltninger ikke tilstrækkelige og på et niveau, som ICO forventede. Herudover var ICO af den opfattelse, at Heathrow Airport burde prioritere databeskyttelse højt henset til, at der var tale om en lufthavn og typen af de personoplysninger, som behandles her.

Godtgørelse for overtrædelse af arbejdstidsdirektivet og persondataloven
Østre Landsret har for afsagt en dom i en sag om tortgodtgørelse for overtrædelse af den tidligere persondatalov og godtgørelse for overtrædelse af arbejdstidsloven.

Læs mere her: Godtgørelse for overtrædelse af arbejds­tidsdirektivet og person­dataloven.

 

LOVGIVNING


Ny EU-lovgivning om cybersecurity på vej

EU-Parlamentet, Rådet og EU-Kommissionen blev den 10. december 2018 enige om ny lovgivning, der skal styrke cybersikkerheden inden for EU’s digitale indre marked.

EU vil med the Cybersecurity Act styrke cybersikkerhedsreglerne for at imødekomme den stigende trussel, som cyberangreb udgør mod det digitale indre marked. I 2016 var der mere end 4.000 ransomware angreb om dagen, og 80% af de europæiske virksomheder har været udsat for mindst ét angreb på deres cybersikkerhed.

Læs mere om Cybersecurity Act her.

 

Implementering af NIS-direktivet: Nye krav til sikkerheden i net- og informationssystemer

Databeskyttelsesreglerne, som er indført i maj 2018, er ikke de eneste regler, der skærpede kravene til it-sikkerheden. Implementeringen af det såkaldte NIS-direktiv i dansk ret har indført en række forpligtelser i forhold til sikkerhed i net- og informations­systemerne, som navnlig forsyningsvirksomheder, offentlige myndigheder m.fl. i sundhedssektoren og andre operatører af væsentlige tjenester bør være opmærksomme på.

Læs mere om direktivet her: Implementering af NIS-direktivet: Nye krav til sikkerheden i net- og informationssystemer.

 

Arbejdsgivers adgang til personoplysninger om medarbejdere begrænses
Folketinget har vedtaget en ændring til sygedagpengeloven og til lov om aktiv socialpolitik, som regulerer arbejdsgiverens adgang til de helbredsmæssige og lægelige oplysninger om den ansatte, der indgår i sager i kommunen eller i Ankestyrelsen.

Læs mere her: Arbejdsgivers adgang til person­oplysninger om medarbejdere begrænses.

 


ANDRE NYHEDER

Justitsministeriet har offentliggjort to nye vejledninger i december 2018

Justitsministeriet har i december 2018 offentliggjort vejledning om behandling af personoplysninger i SSP-samarbejdet samt vejledning med ofte stillede spørgsmål om frivillige foreningers behandling af personoplysninger.

Vejledningerne kan ses her.

 

Datatilsynets råd om at undgå simple sikkerhedsbrud

Slå funktionen “auto-complete” fra på dit mailprogram. Sådan lyder opfordringen fra Datatilsynet, som den 14. december 2018 informerede om, at en del af de underret-ninger om brud på persondatasikkerhed, som tilsynet får, vedrører oplysninger sendt med mail til den forkerte adresse.

Herudover informerede Datatilsynet om de hyppigste menneskelige og tekniske fejl, som har resulteret i sikkerhedsbrud.

Læs Datatilsynets nyhed her.

 

Det Europæiske Databeskyttelsesråd udtaler sig om Datatilsynets konsekvensanalyseliste

Det Europæiske Databeskyttelsesråd er den 4. december 2018 kommet med sin udtalelse om Datatilsynets liste over, hvornår der skal udarbejdes en konsekvensanalyse.

Læs mere om udtalelsen her.

 

Kunstig intelligens, GDPR og andre juridiske udfordringer

Kunstig intelligens er en af de digitale teknologier, der anses for at have et enormt stort potentiale for både den private og offentlige sektor. Vi stiller i en artikel skarpt på en række af de væsentlige juridiske spørgsmål for særligt offentlige aktører, der er relevante ved brug af kunstig intelligens ud fra nugældende lovgivning og regler, herunder navnlig de persondataretlige udfordringer.

Læs artiklen her.


GDPR og ansættelsesforhold

Datatilsynet har den 26. november 2018 publiceret vejledning om databeskyttelse i relation til ansættelsesforhold. Vejledningen gennemgår de mest gængse GDPR-problemstillinger i ansættelsesforhold. Vejledningen bør læses i sammenhæng med Datatilsynets øvrige vejledninger.

Læs mere om vejledningen her.


Datatilsynet og tilsyn – eksempler på tilsynsskemaer og gennemførte tilsyn

Datatilsynet har offentliggjort eksempler på en række af deres spørgeskemaer, som de har benyttet på tilsyn. Læs mere om spørgeskemaerne her.

Herudover har Datatilsynet offentliggjort, hvor tilsyn har været gennemført efter 25. maj 2018. Læs nærmere her.


Datatilsynet præciserer praksis for kryptering af e-mails

Pr. 1. januar 2019 skal alle kryptere e-mails, der indeholder fortrolige eller følsomme personoplysninger. Datatilsynet har i en vejledning præciseret, at det ud fra en risikovurdering er nødvendigt at tage stilling til, om der kun skal foretages kryptering på transportlaget, eller om den mere sikre end-to-end-kryptering er nødvendig.

Læs mere om udtalelsen her.


Datatilsynet fortolker EU-dom om dataansvar for Facebook-sider

EU-Domstolen afsagde den 5. juni 2018 dom i en sag (C-210/16), som bl.a. omhandler dataansvaret for fansider på Facebook. Datatilsynet offentliggjorde i den forbindelse den 13. juni 2018 en udtalelse, hvori de gennemgik dommen og gav et bud på, hvad den kan komme til at betyde.

Læs mere om udtalelsen her.


Kommuner, frivillige og persondata

Kommuner anvender frivillige i mange forskellige funktioner, særligt på de sociale og kulturelle områder. I den forbindelse behandler både den frivillige og kommunen en række personoplysninger, hvilket rejser en række problemstillinger, som vi har beskrevet i en artikel, som kan læses her.


Lovlig behandling af personoplysninger efter databeskyttelsesforordningen

Databeskyttelsesforordningen sondrer i artikel 9 og artikel 6 mellem følsomme og almindelige personoplysninger og indeholder forskellige regler for, hvornår behandlingen af hver af disse kategorier må finde sted. Det er derfor ikke blot vigtigt at overveje, om man behandler personoplysninger, men også hvilken kategori af personoplysninger der behandles. Læs mere her.


Ny portal om informationssikkerhed

Erhvervsstyrelsen og Digitaliseringsstyrelsen har den 31. oktober 2018 lanceret informationsportalen www.sikkerdigital.dk, hvorigennem blandt andet danske virksomheder og myndigheder kan finde viden, vejledning og værktøjer til at forbedre deres it-sikkerhed.

Læs mere om portalen her.

 

Læs flere nyheder her

Tilmeld dig vores nyhedsmail HER – så er du altid opdateret som den første

 


Artiklen er forfattet af: