Som virksomhed skal man behandle personoplysninger om fx medarbejdere og kunder på sikker måde og kun i nødvendigt omfang. Siden foråret 2018 risikerer man betragtelige bøder, hvis man ikke efterlever reglerne.
GDPR-reglerne er udtryk for en bureaukratisering, der udgør en betydelig belastning for virksomheder i alle størrelser, men typisk er tungere at bære, jo mindre man er.
Vi har meget betydelig erfaring med GDPR og har bistået alt fra helt små virksomheder til multinationale koncerner med at efterleve reglerne ikke bare i Danmark, men i omkring 30 andre lande i og uden for Europa.
Vi hjælper også gerne jer. Vores tilgang er, at reglerne skal efterleves til punkt og prikke, men minimalistisk. Vi puster ikke opgaven og prisen op.
--------------------
- Udarbejdelse af GDPR-dokumentation, herunder privatlivspolitikker, fortegnelser og interne politikker
- Udarbejdelse af cookiepolitikker og rådgivning om cookie-reglerne
- Gennemførelse af complianceprojekter
- Undervisning om databeskyttelsesregler
- Udarbejdelse af databehandleraftaler
- Håndtering af sikkerhedsbrud, anmeldelser og underretninger
- Rådgivning om overholdelse af databeskyttelsesregler, herunder de registreredes rettigheder og overførsel af persondata til lande uden for EU/EØS
- Whistleblowerordninger
- Rådgivning om GDPR-compliance i forbindelse med onlinesalg og krydsfeltet med forbrugerbeskyttelsesregler i bl.a. markedsføringsloven og forbrugeraftaleloven
- TV-overvågning.
Som ejer af en hjemmeside bliver du nødt til at forholde dig til cookiereglerne.
Hovedreglen er, at du skal indhente et informeret samtykke fra besøgende, inden du og andre anvender cookies til fx markedsføringsformål. Det er kun, hvis hjemmesiden alene bruger eller tillader, at der bruges cookies til teknisk nødvendige formål, at du ikke behøver at informere besøgende og få deres samtykke til cookies.
Idet der ofte er tale om behandling af persondata, når du anvender cookies på din hjemmeside, er det som regel også nødvendigt at sørge for overholdelse af databeskyttelsesregler ved brugen af cookies.
Hurtigt overblik:
Medmindre hjemmesiden alene anvender cookies til rent tekniske nødvendige formål, gælder følgende regler:
- Besøgende skal informeres tydeligt om indsamlingen af deres oplysninger, herunder om hvilken type oplysninger, der vil blive behandlet og til hvilke formål.
- Besøgende skal give et frivilligt samtykke ved et aktivt tilvalg.
- Besøgende skal let kunne finde yderligere information om brugen af cookies på hjemmesiden.
- Såfremt oplysninger bruges til forskellige formål, skal besøgende let kunne give samtykke til nogle formål og ikke andre.
- Det skal være let for besøgende at afstå fra at give samtykke og til at trække samtykket tilbage.
- Det skal kunne dokumenteres, hvad besøgende har givet samtykke til og hvordan samtykket er indhentet.
Hvis du vil vide mere om cookiereglerne eller fx ønsker at få udarbejdet en cookiepolitik, så kontakt os. Den indledende kontakt er altid gratis.
- boligadvokat.tips
- byggebranche.tips
- børneadvokaten.dk
- bådadvokaten.dk
- ejendomsadministration.tips
- fremtidsfuldmagt.tips
- inkasso.tips
- medarbejder.tips
- persondata.tips
- selskab.tips
- senioradvokat.dk
- sommerhus.tips
- sundhedsjura.tips
- testamente.tips
universadvokater arbejder med et stort antal fagområder. Kun enkelte af fagområderne har deres egen hjemmeside.
Som udgangspunkt er der tale om en overførsel til et tredjeland, når personoplysninger forlader EU/EØS eller gøres tilgængelige uden for EU/EØS.
Selv når oplysningerne ikke fysisk forlader EU/EØS, og der kun gives fjernadgang, som giver mulighed for at se oplysningerne, vil der være tale om en overførsel til et tredjeland, hvis det er muligt for dataimportøren i tredjelandet at tilgå oplysningerne uden for EU/EØS.
Hvis en virksomhed ønsker at overføre personoplysninger til tredjelande, skal særlige regler i databeskyttelsesforordningens iagttages. Der er flere metoder, man kan bruge for lovligt at overføre personoplysninger til tredjelande, men for de fleste virksomheder vil overførsler til tredjelande godkendt af EU-Kommissionen med en såkaldt tilstrækkelighedsafgørelse eller overførsler via standardbestemmelser vedtaget af EU-Kommissionen d. 4. juni 2021 være mest relevante.
Tilstrækkelighedsafgørelse
Når man vil overføre personoplysninger til et tredjeland, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som sikkert ved en tilstrækkelighedsafgørelse. Er det tilfældet, kan der overføres til landet, forudsat at forordningens øvrige bestemmelser overholdes.
Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:
Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz, Storbritannien, Sydkorea og Uruguay.
USA er ikke godkendt p.t., men EU-Kommissionen og de amerikanske myndigheder er i dialog om at finde en erstatning for den tidligere gældende Privacy Shield-ordning, som i visse situationer gjorde det muligt at overføre personoplysninger til USA uden et overførselsgrundlag.
Nye standardbestemmelser
EU-Kommissionen vedtog den 4. juni 2021 et sæt nye standardbestemmelser til brug for overførsler til tredjelande. De nye standardbestemmelser består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i.
Når man benytter standardbestemmelserne, skal man sikre sig, at kontrakterne er korrekt indgået, samt at man i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.
Hvis man i dag benytter standardbestemmelser vedtaget i henhold til det tidligere gældende persondatadirektiv, kan man fortsat benytte disse frem til den 27. december 2022 forudsat, at aftalen om overførsel af personoplysninger ved brug af disse gamle standardbestemmelser blev indgået inden den 27. september 2021, og at den behandling, der er genstand for aftalen, forbliver uændret, samt at anvendelsen af disse standardbestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier.
Oplysningspligten
Når man som dataansvarlig vil overføre personoplysninger til et tredjeland, får det betydning for opfyldelse af oplysningspligten. Det gælder både, når oplysningerne er indsamlet direkte hos den registrerede, og når oplysningerne er indsamlet hos andre. Hvis EU-Kommissionen ikke har truffet en tilstrækkelighedsafgørelse, skal man oplyse den registrerede om, hvilke tredjelande personoplysningerne vil blive overført til, og hvilket overførselsgrundlag man anvender.
Datatilsynet har i 2022 ført tilsyn med brugen af cloud-løsninger hos flere offentlige myndigheder og private virksomheder. I forbindelse med tilsynene udarbejdede Datatilsynet et spørgeskema, som var fremsendt til myndighederne og virksomhederne. Spørgeskemaet blev offentliggjort af Datatilsynet den 1. august 2022.
Spørgeskemaet er inddelt i fire dele:
- Kend dine services
- Kend dine leverandører
- Tilsyn med leverandører
- Overførsel til tredjelande
Datatilsynet oplyser, at spørgeskemaet kommer omkring de fleste punkter, man som dataansvarlig skal være opmærksom på, hvis man benytter sig af cloud samt, at skemaet er offentliggjort for at hjælpe dataansvarlige, der benytter sig af cloud-løsninger, med at undersøge, om de lever op til reglerne for databeskyttelse. Man kan finde spørgeskemaet på Datatilsynets hjemmeside https://www.datatilsynet.dk/.
Hvis man gerne vil læse op på, hvad man som dataansvarlig skal være opmærksom på, hvis man ønsker at bruge cloud-services, har Datatilsynet også udgivet en vejledning om brugen af cloud.
The European Commission published its proposal for a green claims directive on March 22, 2023. In recent times European countries, including Denmark, have also been developing their national laws and taking steps to accelerate the process at a national level.
The European Commission's proposal is known as the "Directive on substantiation and communication of explicit environmental claims", and it aims specifically to regulate green claims and protect consumers from greenwashing and misleading environmental claims.
If the Directive is implemented, it will impose new obligations on businesses when making green claims. These obligations will apply in addition to general obligations under already existing advertising laws that claims must not be misleading.
The Directive provides, among other things, that before making any green claims, businesses must carry out a life-cycle assessment based on widely recognised scientific evidence (where possible). The assessment must then be made available to consumers and for independent verification. Businesses must keep the life-cycle assessment under review and update it either when the science evolves or, as a minimum, after 5 years. There is also a new provision related to the regulation of mission statement claims which, if implemented, will mean that when a business decides to make a mission statement claim about how it intends to improve its environmental impact, it must set a deadline for when it intends to complete the mission.
In Denmark, the Marketing Practices Act already regulates this area and violation of the relevant provisions of the Act is punishable by fine. The Consumer Ombudsman plays an important role in enforcing the rules in the Act that regulate greenwashing. In 2021 the Consumer Ombudsman published a Quick Guide for businesses on environmental marketing as part of its efforts to combat misleading greenwashing in Denmark.
The Consumer Ombudsman investigated several companies use of green claims in 2022 and emphasised that when a company uses green claims in its marketing, for example by claiming that its products are less harmful to the environment than other products, the company must be able to document its claims.
Whilst the Consumer Ombudsman has responsibility for investigating alleged greenwashing cases in Denmark, financial sanctions can only be imposed by the Courts following a police investigation and trial. Whilst the Consumer Ombudsman did not report any greenwashing cases to the police in 2022, the increasing focus on the regulation of environmental marketing means that it can only be a matter of time before a police report is made in a greenwashing case in Denmark.
You can access the Consumer Ombudsmans Quick Guide in Danish here:
https://www.forbrugerombudsmanden.dk/media/56731/kvikguide-om-miljoemarkedsfoering.pdf
Cybersikkerheden har i stigende grad været truet i den seneste tid. Dette hænger tæt sammen med den digitale omstilling.
Derfor har EU for nyligt vedtaget et nyt direktiv, NIS2, som har til formål at sikre et højere og mere ensartet niveau af cyber- og informationssikkerhed på tværs af EU. Derudover skal der med det nye direktiv nu føres skarpere tilsyn, og såfremt ledelsen i virksomheder ikke lever op til direktivets krav, kan den gøres ansvarlig for brud på loven.
Er din virksomhed omfattet?
NIS2-direktivet finder anvendelse på offentlige og private enheder, der kategoriseres som vigtige enheder eller væsentlige enheder, og som udøver aktivitet eller leverer ydelser inden for EU.
Vigtige enheder er eksempelvis enheder, der beskæftiger sig med fremstilling af elektronik og maskiner, eller enheder, der beskæftiger sig med fremstilling af fødevarer eller kemikalier, hvorimod væsentlige enheder eksempelvis er bankvirksomhed, energi og offentlig forvaltning.
Små virksomheder, der har en omsætning på mindre end 10 mio. euro og færre end 50 ansatte, bliver som udgangspunkt ikke omfattet af lovgivningen, idet der dog er visse undtagelser.[1]
Hvilke krav stiller direktivet til din virksomhed?
Hvis man er omfattet af direktivet, betyder det, at ledelsen i organisationen skal kende til de regler, der findes i direktivet. Ledelsen har nemlig ansvaret for, at cyberrisici bliver forebygget.
Der er i direktivet krav til risikostyring og generel robusthed. Det vil sige, at virksomheden skal bekæmpe og mindske risikoen for skade. Det nuværende NIS-direktiv, der bliver byttet ud med det nye, bestemmer, at de enheder, der er omfattet af direktivet, skal have rimelige regler og procedurer til sikring af cybersikkerheden.
Det nye direktiv supplerer med krav om visse sikkerhedstiltag, som en virksomhed som minimum skal have. Dette indebærer bl.a., at der skal være procedurer, som skal hjælpe med håndtering af hændelser. Det kunne f.eks. være et konkret cyberangreb.
Derudover skal organisationen havde generelle retningslinjer for at vurdere og analysere trusler mod cybersikkerheden. Hertil kommer endvidere, at den interne kommunikation, korrekt brug af kryptering, forsyningskæder mv. skal sikres i organisationen.
Direktivet indeholder også regler om sanktioner. Den primære sanktion mod organisationer, som ikke opfylder direktivets krav, vil være bødestraf.
Hvad er næste skridt, hvis din virksomhed er omfattet af direktivet?
Som virksomhed, der er omfattet af direktivet, er det for det første vigtigt, at man sætter sig ind i direktivets regler. Dette kan ske ved, at ledelsen inkorporerer de minimumskrav, der findes i direktivet. Derudover bør ledelsen danne sig et overblik over de nuværende tiltag, som sikrer cybersikkerheden i virksomheden, og hvordan disse kan bringes i overensstemmelse med de nye krav.
Medlemsstaterne skal implementere NIS2-direktivet senest den 17. oktober 2024.
Som med meget andet EU-retlig lovgivning kan kravene virke overskuelige og omfattende. Derfor kan det være nødvendigt at søge advokatbistand eller teknisk bistand, så man sikrer sig, at kravene i direktivet efterleves.
------------------------
Formål
EU har den 8. december 2023 vedtaget AI-forordningen, som er verdens første lovgivning om kunstig intelligens. AI-forordningens formål er at fastsætte en global standard for håndteringen og reguleringen af AI, herunder at skabe en naturlig balance mellem at fremme udviklingen af AI og beskytte borgernes rettigheder og sikkerhed.
Indhold
AI-forordningen er en såkaldt risikobaseret EU-lovgivning, hvilket betyder, at jo større skade eller risici, AI-teknologien potentielt kan forvolde borgere og samfundet, desto strengere regler underlægges AI-udbydere og AI-systemet.
AI-forordningens risikobaserede tilgang kommer til udtryk ved at forordningen opererer med fire forskellige sikkerhedsniveauer, hvor hvert sikkerhedsniveau indeholder særskilte regler om håndteringen af AI. Disse niveauer er: (1) Minimale risici, (2) Høje risici, (3) Begrænsede risici og (4) Uacceptable risici.
Sanktioner
Virksomheder, som overtræder reglerne i AI-forordningen vil blive pålagt bøder, hvis niveau og størrelse vil variere, alt afhængig af overtrædelsens karakter. Karakteristisk for bøderne er dog, at overtrædelser af forordningens regler vil blive straffet hårdt.
Til illustration kan nævnes, at hvis virksomheder leverer forkerte oplysninger om brugen af
kunstig intelligens i deres systemer, kan der tildeles bøder på op til 50 millioner kroner.
EU har dog indført andre mere proportionale bøder for små og mellemstore virksomheder, herunder særligt start-ups, ved overtrædelser af forordningen.
Ikrafttrædelse
Den forventede ikrafttrædelsesdato for AI-forordningen vil være i det første halvår af 2026, men en række bestemmelser og forbud vil allerede gælde 6 måneder fra vedtagelsen af forordningen.