persondata.tips

universadvokater

persondata.tips er universadvokaters site med juridiske og andre tips vedrørende GDPR og beslægtede emner. Porten til effektiv advokatbistand til virksomheder og andre, for hvem det er vigtigt at være ajour og compliant.

Ring eller mail.

Det koster ikke noget ...
89 34 35 36
mail@universadvokater.dk

Hvad er personoplysninger?

Det lyder måske som et simpelt spørgsmål, men det kan faktisk være svært at skelne mellem, hvornår der er tale om en personoplysning, og hvornår der ikke er, og i særdeleshed hvornår der er tale om følsomme personoplysninger.

En almindelig personoplysning er en oplysning, der kan knyttes til en bestemt person. Dette gælder også, hvis personen kun kan identificeres ved en kombination af flere forskellige oplysninger. En mailadresse eller et telefonnummer er derfor eksempler på personoplysninger, men også sådan noget som et CVR-nr. kan efter omstændighederne være det, hvis der er tale om en enkeltmandsvirksomhed.

Når man har styr på, hvad en personoplysning er, er det vigtig at skelne mellem ikke-følsomme personoplysninger og følsomme personoplysninger. Dette skyldes, at behandlingen af følsomme personoplysninger kræver stærkere behandlingsgrundlag end behandlingen af ikke-følsomme personoplysninger.

Databeskyttelsesforordningen tager konkret stilling til hvilke oplysninger, der udgør følsomme personoplysninger. Det er blandt andet oplysninger om etnicitet, religion, helbred og seksualitet. Virksomheder skal derfor være ekstra opmærksomme, hvis behandlingen omfatter sådanne oplysninger, fx i forbindelse med personaleadministration.

En farlig faldgrube er oplysninger om CPR-numre. Oplysningen i sig selv er en almindelig personoplysning, men der gælder skrappe regler om, at CPR-numre skal behandles som om, det var en følsom oplysning, og man skal derfor stort set altid have samtykke for at behandle CPR-numre.

Derudover kommer også kategorien med fortrolige oplysninger, som blandt andet omfatter oplysninger om strafforhold.

Hvis du vil vide mere om personoplysninger eller har en konkret problemstilling, du skal bruge hjælp til, så kontakt os. Den indledende kontakt er altid gratis.

Vi hjælper jer sikkert gennem compliance-junglen

GDPR, persondatabeskyttelse, privatlivsbeskyttelse, cookieregler, compliance - kært barn omgiver sig med mange navne.

Som virksomhed skal man behandle personoplysninger om fx medarbejdere og kunder på sikker måde og kun i nødvendigt omfang. Siden foråret 2018 risikerer man betragtelige bøder, hvis man ikke efterlever reglerne.

GDPR-reglerne er udtryk for en bureaukratisering, der udgør en betydelig belastning for virksomheder i alle størrelser, men typisk er tungere at bære, jo mindre man er.

Vi har meget betydelig erfaring med GDPR og har bistået alt fra helt små virksomheder til multinationale koncerner med at efterleve reglerne ikke bare i Danmark, men i omkring 30 andre lande i og uden for Europa.

Vi hjælper også gerne jer. Vores tilgang er, at reglerne skal efterleves til punkt og prikke, men minimalistisk. Vi puster ikke opgaven og prisen op.

--------------------

Udarbejdelse af GDPR-dokumentation, herunder privatlivspolitikker, fortegnelser og interne politikker
Udarbejdelse af cookiepolitikker og rådgivning om cookie-reglerne
Gennemførelse af complianceprojekter
Undervisning om databeskyttelsesregler
Udarbejdelse af databehandleraftaler
Håndtering af sikkerhedsbrud, anmeldelser og underretninger
Rådgivning om overholdelse af databeskyttelsesregler, herunder de registreredes rettigheder og overførsel af persondata til lande uden for EU/EØS
Whistleblowerordninger
Rådgivning om GDPR-compliance i forbindelse med onlinesalg og krydsfeltet med forbrugerbeskyttelsesregler i bl.a. markedsføringsloven og forbrugeraftaleloven
TV-overvågning.

COOKIEREGLERNE

Som ejer af en hjemmeside bliver du nødt til at forholde dig til cookiereglerne.

Hovedreglen er, at du skal indhente et informeret samtykke fra besøgende, inden du og andre anvender cookies til fx markedsføringsformål. Det er kun, hvis hjemmesiden alene bruger eller tillader, at der bruges cookies til teknisk nødvendige formål, at du ikke behøver at informere besøgende og få deres samtykke til cookies.

Idet der ofte er tale om behandling af persondata, når du anvender cookies på din hjemmeside, er det som regel også nødvendigt at sørge for overholdelse af databeskyttelsesregler ved brugen af cookies.

Hurtigt overblik:

Medmindre hjemmesiden alene anvender cookies til rent tekniske nødvendige formål, gælder følgende regler:

Besøgende skal informeres tydeligt om indsamlingen af deres oplysninger, herunder om hvilken type oplysninger, der vil blive behandlet og til hvilke formål.
Besøgende skal give et frivilligt samtykke ved et aktivt tilvalg.
Besøgende skal let kunne finde yderligere information om brugen af cookies på hjemmesiden.
Såfremt oplysninger bruges til forskellige formål, skal besøgende let kunne give samtykke til nogle formål og ikke andre.
Det skal være let for besøgende at afstå fra at give samtykke og til at trække samtykket tilbage.
Det skal kunne dokumenteres, hvad besøgende har givet samtykke til og hvordan samtykket er indhentet.

Hvis du vil vide mere om cookiereglerne eller fx ønsker at få udarbejdet en cookiepolitik, så kontakt os. Den indledende kontakt er altid gratis.

Kontakt

Er du databehandler eller dataansvarlig?

Når du eller din virksomhed indsamler, registrerer, videregiver eller sletter personoplysninger, er det vigtigt at være opmærksom på, om du er dataansvarlig eller databehandler. Der er nemlig forskel på, hvilket ansvar og hvilke forpligtelser, der er, alt efter om du er det ene eller det andet.

Den dataansvarlige bestemmer formålet med databehandlingen, altså hvorfor de pågældende personoplysninger behandles, og på hvilken måde databehandlingen foregår, herunder hvilke procedurer der skal følges, hvordan oplysningerne skal opbevares osv.

Som dataansvarlig skal man blandt andet sikre sig, at man har ret til at behandle de personoplysninger, som man rent faktisk behandler, ligesom det er den dataansvarliges ansvar at indberette eventuelle sikkerhedsbrud.

En databehandler er den, der foretager selve behandlingen af personoplysninger på vegne af og efter instruks fra den dataansvarlige.

Det sker meget ofte, at en dataansvarlig beder en databehandler om at behandle personoplysninger på vegne den dataansvarlige, og i disse tilfælde er man forpligtet til at indgå en databehandleraftale.

Der forekommer også tilfælde, hvor der er flere selvstændige dataansvarlige, eller hvor flere dataansvarlige bærer et fælles dataansvar, og så skal der i nogle tilfælde også laves en særskilt aftale herom.

Det kan være meget svært at gennemskue, hvornår man har hvilken rolle. Du er derfor altid velkommen til at kontakte os, hvis vi skal hjælpe jer med afklaringen og hjælpe med at sikre, at de rigtige aftaler kommer på plads.

Besøg vores øvrige hjemmesider

.tips

universadvokater arbejder med et stort antal fagområder. Kun enkelte af fagområderne har deres egen hjemmeside.

Formalia

universadvokater.dk

Vores hovedhjemmeside

Overfører din virksomhed personoplysninger til såkaldte tredjelande uden for EU/EØS?

Som udgangspunkt er der tale om en overførsel til et tredjeland, når personoplysninger forlader EU/EØS eller gøres tilgængelige uden for EU/EØS.

Selv når oplysningerne ikke fysisk forlader EU/EØS, og der kun gives fjernadgang, som giver mulighed for at se oplysningerne, vil der være tale om en overførsel til et tredjeland, hvis det er muligt for dataimportøren i tredjelandet at tilgå oplysningerne uden for EU/EØS.

Hvis en virksomhed ønsker at overføre personoplysninger til tredjelande, skal særlige regler i databeskyttelsesforordningens iagttages. Der er flere metoder, man kan bruge for lovligt at overføre personoplysninger til tredjelande, men for de fleste virksomheder vil overførsler til tredjelande godkendt af EU-Kommissionen med en såkaldt tilstrækkelighedsafgørelse eller overførsler via standardbestemmelser vedtaget af EU-Kommissionen d. 4. juni 2021 være mest relevante.

Tilstrækkelighedsafgørelse

Når man vil overføre personoplysninger til et tredjeland, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som sikkert ved en tilstrækkelighedsafgørelse. Er det tilfældet, kan der overføres til landet, forudsat at forordningens øvrige bestemmelser overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz, Storbritannien, Sydkorea og Uruguay.

USA er ikke godkendt p.t., men EU-Kommissionen og de amerikanske myndigheder er i dialog om at finde en erstatning for den tidligere gældende Privacy Shield-ordning, som i visse situationer gjorde det muligt at overføre personoplysninger til USA uden et overførselsgrundlag.

Nye standardbestemmelser

EU-Kommissionen vedtog den 4. juni 2021 et sæt nye standardbestemmelser til brug for overførsler til tredjelande. De nye standardbestemmelser består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i.

Når man benytter standardbestemmelserne, skal man sikre sig, at kontrakterne er korrekt indgået, samt at man i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Hvis man i dag benytter standardbestemmelser vedtaget i henhold til det tidligere gældende persondatadirektiv, kan man fortsat benytte disse frem til den 27. december 2022 forudsat, at aftalen om overførsel af personoplysninger ved brug af disse gamle standardbestemmelser blev indgået inden den 27. september 2021, og at den behandling, der er genstand for aftalen, forbliver uændret, samt at anvendelsen af disse standardbestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier.

Oplysningspligten

Når man som dataansvarlig vil overføre personoplysninger til et tredjeland, får det betydning for opfyldelse af oplysningspligten. Det gælder både, når oplysningerne er indsamlet direkte hos den registrerede, og når oplysningerne er indsamlet hos andre. Hvis EU-Kommissionen ikke har truffet en tilstrækkelighedsafgørelse, skal man oplyse den registrerede om, hvilke tredjelande personoplysningerne vil blive overført til, og hvilket overførselsgrundlag man anvender.

Skal I have en DPO?

Skal din virksomhed have en DPO? Er svaret nej, er næste spørgsmål: Bør den have en DPO?

DPO står for Data Protection Officer, der er en person i eller uden for virksomheden, som sikrer, at databeskyttelseslovgivningen overholdes. DPOen har en særlig stilling i forhold til Datatilsynet, idet DPOen er kontaktled til og skal samarbejde med tilsynet. Virksomhedens DPO skal derfor løbende inddrages i spørgsmål vedrørende behandling af personoplysninger, sikkerhedsbrud og systemopsætning mv.

Hvem skal have en DPO?

Det er forholdsvis sjældent, at private virksomheder omfattes af reglerne om pligt til at udpege en DPO. For private virksomheder er det kun en pligt, hvis virksomhedens kerneaktivitet består i at behandle følsomme personoplysninger eller oplysninger om strafbare forhold i et stort omfang, eller hvis virksomheden foretager regelmæssig og systematisk overvågning af personer i væsentligt omfang. Dette gælder uanset, om virksomheden er dataansvarlig eller databehandler.

Det er således de færreste private danske virksomheder, der rent faktisk har pligt til at have en DPO. En virksomhed, der behandler personoplysninger, fx oplysninger om medarbejdere og kunder som led i almindelig virksomhedsdrift, vil som udgangspunkt ikke være forpligtet til at have en DPO.

Hvem bør have en DPO eller compliance-rådgiver?

Det gør de virksomheder, der jævnligt behandler personoplysninger og vil sikre sig, at behandlingen sker korrekt og i overensstemmelse med persondataforordningen og databeskyttelsesloven, og som gerne vil have en person klar til at tage over med det samme i tilfælde af, at der indgives klage mod virksomheden, Datatilsynet kommer på tilsynsbesøg eller lignende, og som i det hele taget sørger for, at virksomheden løbende holder sig ajour med persondatareglerne.

Selv om det ikke er et krav at have en DPO, kan der altså være mange gode grunde til at have nogen til at varetage de opgaver, der normalt ligger hos en DPO. I de tilfælde, hvor der frivilligt, men officielt, udpeges en DPO, gælder de samme krav til DPOen, som hvis virksomheden havde været forpligtet til at udpege en DPO. Det betyder, at kravene til DPOens opgaver, kvalifikationer, stilling, beskyttelse og inddragelse skal efterleves. Vælger en virksomhed derimod at udpege en medarbejder eller ekstern konsulent, som man fx kalder compliance-rådgiver, er virksomheden ikke forpligtet til at efterleve forordningens krav til en DPO til punkt og prikke.

universadvokater tilbyder at være jeres DPO eller compliance-rådgiver, så I har en fast kontaktperson, der er klar til at handle, når det er nødvendigt. Kontakt os, hvis I vil høre mere om fordele og vilkår. Den første kontakt er altid gratis.

Datatilsynet offentliggør spørgeskemaet om brug af cloud-løsninger

Datatilsynet har i 2022 ført tilsyn med brugen af cloud-løsninger hos flere offentlige myndigheder og private virksomheder. I forbindelse med tilsynene udarbejdede Datatilsynet et spørgeskema, som var fremsendt til myndighederne og virksomhederne. Spørgeskemaet blev offentliggjort af Datatilsynet den 1. august 2022.

Spørgeskemaet er inddelt i fire dele:

Kend dine services
Kend dine leverandører
Tilsyn med leverandører
Overførsel til tredjelande

Datatilsynet oplyser, at spørgeskemaet kommer omkring de fleste punkter, man som dataansvarlig skal være opmærksom på, hvis man benytter sig af cloud samt, at skemaet er offentliggjort for at hjælpe dataansvarlige, der benytter sig af cloud-løsninger, med at undersøge, om de lever op til reglerne for databeskyttelse. Man kan finde spørgeskemaet på Datatilsynets hjemmeside https://www.datatilsynet.dk/.

Hvis man gerne vil læse op på, hvad man som dataansvarlig skal være opmærksom på, hvis man ønsker at bruge cloud-services, har Datatilsynet også udgivet en vejledning om brugen af cloud.

European Commission proposal for a new directive to combat greenwashing

The European Commission published its proposal for a green claims directive on March 22, 2023. In recent times European countries, including Denmark, have also been developing their national laws and taking steps to accelerate the process at a national level.

The European Commission's proposal is known as the "Directive on substantiation and communication of explicit environmental claims", and it aims specifically to regulate green claims and protect consumers from greenwashing and misleading environmental claims.

If the Directive is implemented, it will impose new obligations on businesses when making green claims. These obligations will apply in addition to general obligations under already existing advertising laws that claims must not be misleading.

The Directive provides, among other things, that before making any green claims, businesses must carry out a life-cycle assessment based on widely recognised scientific evidence (where possible). The assessment must then be made available to consumers and for independent verification. Businesses must keep the life-cycle assessment under review and update it either when the science evolves or, as a minimum, after 5 years. There is also a new provision related to the regulation of mission statement claims which, if implemented, will mean that when a business decides to make a mission statement claim about how it intends to improve its environmental impact, it must set a deadline for when it intends to complete the mission.

In Denmark, the Marketing Practices Act already regulates this area and violation of the relevant provisions of the Act is punishable by fine. The Consumer Ombudsman plays an important role in enforcing the rules in the Act that regulate greenwashing. In 2021 the Consumer Ombudsman published a Quick Guide for businesses on environmental marketing as part of its efforts to combat misleading greenwashing in Denmark.

The Consumer Ombudsman investigated several companies use of green claims in 2022 and emphasised that when a company uses green claims in its marketing, for example by claiming that its products are less harmful to the environment than other products, the company must be able to document its claims.

Whilst the Consumer Ombudsman has responsibility for investigating alleged greenwashing cases in Denmark, financial sanctions can only be imposed by the Courts following a police investigation and trial. Whilst the Consumer Ombudsman did not report any greenwashing cases to the police in 2022, the increasing focus on the regulation of environmental marketing means that it can only be a matter of time before a police report is made in a greenwashing case in Denmark.

You can access the Consumer Ombudsmans Quick Guide in Danish here:

https://www.forbrugerombudsmanden.dk/media/56731/kvikguide-om-miljoemarkedsfoering.pdf

Det nye direktiv om cybersikkerhed, NIS2

Cybersikkerheden har i stigende grad været truet i den seneste tid. Dette hænger tæt sammen med den digitale omstilling.

Derfor har EU for nyligt vedtaget et nyt direktiv, NIS2, som har til formål at sikre et højere og mere ensartet niveau af cyber- og informationssikkerhed på tværs af EU. Derudover skal der med det nye direktiv nu føres skarpere tilsyn, og såfremt ledelsen i virksomheder ikke lever op til direktivets krav, kan den gøres ansvarlig for brud på loven.

Er din virksomhed omfattet?

NIS2-direktivet finder anvendelse på offentlige og private enheder, der kategoriseres som vigtige enheder eller væsentlige enheder, og som udøver aktivitet eller leverer ydelser inden for EU.

Vigtige enheder er eksempelvis enheder, der beskæftiger sig med fremstilling af elektronik og maskiner, eller enheder, der beskæftiger sig med fremstilling af fødevarer eller kemikalier, hvorimod væsentlige enheder eksempelvis er bankvirksomhed, energi og offentlig forvaltning.

Små virksomheder, der har en omsætning på mindre end 10 mio. euro og færre end 50 ansatte, bliver som udgangspunkt ikke omfattet af lovgivningen, idet der dog er visse undtagelser.[1]

Hvilke krav stiller direktivet til din virksomhed?

Hvis man er omfattet af direktivet, betyder det, at ledelsen i organisationen skal kende til de regler, der findes i direktivet. Ledelsen har nemlig ansvaret for, at cyberrisici bliver forebygget.

Der er i direktivet krav til risikostyring og generel robusthed. Det vil sige, at virksomheden skal bekæmpe og mindske risikoen for skade. Det nuværende NIS-direktiv, der bliver byttet ud med det nye, bestemmer, at de enheder, der er omfattet af direktivet, skal have rimelige regler og procedurer til sikring af cybersikkerheden.

Det nye direktiv supplerer med krav om visse sikkerhedstiltag, som en virksomhed som minimum skal have. Dette indebærer bl.a., at der skal være procedurer, som skal hjælpe med håndtering af hændelser. Det kunne f.eks. være et konkret cyberangreb.

Derudover skal organisationen havde generelle retningslinjer for at vurdere og analysere trusler mod cybersikkerheden. Hertil kommer endvidere, at den interne kommunikation, korrekt brug af kryptering, forsyningskæder mv. skal sikres i organisationen.

Direktivet indeholder også regler om sanktioner. Den primære sanktion mod organisationer, som ikke opfylder direktivets krav, vil være bødestraf.

Hvad er næste skridt, hvis din virksomhed er omfattet af direktivet?

Som virksomhed, der er omfattet af direktivet, er det for det første vigtigt, at man sætter sig ind i direktivets regler. Dette kan ske ved, at ledelsen inkorporerer de minimumskrav, der findes i direktivet. Derudover bør ledelsen danne sig et overblik over de nuværende tiltag, som sikrer cybersikkerheden i virksomheden, og hvordan disse kan bringes i overensstemmelse med de nye krav.

Medlemsstaterne skal implementere NIS2-direktivet senest den 17. oktober 2024.

Som med meget andet EU-retlig lovgivning kan kravene virke overskuelige og omfattende. Derfor kan det være nødvendigt at søge advokatbistand eller teknisk bistand, så man sikrer sig, at kravene i direktivet efterleves.

------------------------

NIS2-direktivet kan ses i EU-tidende.

[1] https://globeteam.com/sikkerhed/compliance/nis2/

AI-forordning vedtaget

Formål

EU har den 8. december 2023 vedtaget AI-forordningen, som er verdens første lovgivning om kunstig intelligens. AI-forordningens formål er at fastsætte en global standard for håndteringen og reguleringen af AI, herunder at skabe en naturlig balance mellem at fremme udviklingen af AI og beskytte borgernes rettigheder og sikkerhed.

Indhold

AI-forordningen er en såkaldt risikobaseret EU-lovgivning, hvilket betyder, at jo større skade eller risici, AI-teknologien potentielt kan forvolde borgere og samfundet, desto strengere regler underlægges AI-udbydere og AI-systemet.

AI-forordningens risikobaserede tilgang kommer til udtryk ved at forordningen opererer med fire forskellige sikkerhedsniveauer, hvor hvert sikkerhedsniveau indeholder særskilte regler om håndteringen af AI. Disse niveauer er: (1) Minimale risici, (2) Høje risici, (3) Begrænsede risici og (4) Uacceptable risici.

Sanktioner

Virksomheder, som overtræder reglerne i AI-forordningen vil blive pålagt bøder, hvis niveau og størrelse vil variere, alt afhængig af overtrædelsens karakter. Karakteristisk for bøderne er dog, at overtrædelser af forordningens regler vil blive straffet hårdt.

Til illustration kan nævnes, at hvis virksomheder leverer forkerte oplysninger om brugen af

kunstig intelligens i deres systemer, kan der tildeles bøder på op til 50 millioner kroner.

EU har dog indført andre mere proportionale bøder for små og mellemstore virksomheder, herunder særligt start-ups, ved overtrædelser af forordningen.

Ikrafttrædelse

Den forventede ikrafttrædelsesdato for AI-forordningen vil være i det første halvår af 2026, men en række bestemmelser og forbud vil allerede gælde 6 måneder fra vedtagelsen af forordningen.