Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Databeskyttelsesret: nyheder og afgørelser

Kromann Reumert
01/03/2022
Databeskyttelsesret: nyheder og afgørelser
Kromann Reumert logo
I denne nyhed opdaterer vi dig på udvalgte afgørelser og nyheder inden for databeskyttelsesretten. Du kan blandt andet læse om cookiesamtykker, Google Analytics på europæiske hjemmesider og endnu en GDPR-bøde fra de danske domstole.

Samtykke til behandling af personoplysninger om hjemmesidebesøgende

Datatilsynet har givet Den Blå Avis A/S (DBA) alvorlig kritik, fordi DBA's behandling af personoplysninger om besøgende på hjemmesiden ikke levede op til databeskyttelsesreglerne. DBA havde ikke indrettet sin samtykkeløsning på en måde, der gav de besøgende tilstrækkelige muligheder for at vælge cookies fra. Da DBA i forbindelse med sagens behandling ændrede sin samtykkeløsning, vurderede Datatilsynet både den tidligere og nuværende løsning.


Databeskyttelsesforordningen stiller krav om, at et samtykke skal være udtryk for en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra de registrerede, som i dette tilfælde var de hjemmesidebesøgende. Det indebærer blandt andet, at samtykket ikke må være generelt udformet, og at det skal være muligt for de registrerede at til- eller fravælge forskellige behandlingsformål, for eksempel hvis der indsamles oplysninger til både statistik og markedsføring, skal det være muligt at vælge kun et af disse formål til. Hvis såkaldte tredjeparts-cookies indsamles, skal tredjepartsselskaberne specifikt angives i samtykkeløsningen, for eksempel via et link eller en fold-ud menu i nær tilknytning til det formål, hvortil personoplysningerne bliver videregivet.


Datatilsynet fandt, at ingen af de to løsninger var i overensstemmelse med de databeskyttelsesretlige regler, blandt andet fordi det ikke var muligt at give særskilt samtykke til de forskellige formål, som DBA indsamlede personoplysningerne til. Samtykkeløsningerne gav kun mulighed for at vælge "Accepter" eller "OK", og dermed fik brugerne ikke mulighed for at til- og fravælge de forskellige behandlingsformål. Det betød, at brugerne blev tvunget til at samtykke til samtlige behandlingsformål, herunder markedsføring fra tredjeparter.


Afgørelsen understreger og bekræfter de strenge krav, der stilles til samtykke, og viser at Datatilsynet fortsat har stort fokus på registrering og behandling af personoplysninger hjemmesidebesøgende.


Læs afgørelsen fra Datatilsynet her.


Samtykker til online markedsføring

I en afgørelse fra det belgiske datatilsyn fandt tilsynsmyndigheden, at den europæiske brancheorganisation for medier og annoncører var skyldig i en række overtrædelser af databeskyttelsesforordningen. Sagen drejer sig om en it-service og et rammeværk kaldt TCF (Transparency and Consent Framework), der anvendes til indsamling og formidling af samtykker til behandlinger ved annonceringer. TCF-rammeværket bruges blandt andet til registrering af cookiesamtykker og brugerens præferencer til personaliseret markedsføring.


Tilsynsmyndigheden fandt, at brancheorganisationen blandt andet havde overtrådt en række grundlæggende databeskyttelsesretlige principper om lovlighed, gennemsigtighed og information til brugerne, ansvarlighed og sikkerhed.


Den danske tilsynsmyndighed, Datatilsynet, har udtalt, at afgørelsen kan have betydning for danske hjemmesider, idet rigtig mange annoncører, medier og udbydere af reklamer på internettet benytter TCF-rammeværket. Hjemmesideudbydere, annoncører og formidlere af reklame og annonceplads bør som dataansvarlige i lyset af afgørelsen få afklaret, om TCF-rammeværket anvendes. Såfremt rammeværket anvendes, bør det sikres, at der skiftes til en løsning, som lever op til databeskyttelsesforordningen.


Find afgørelsen fra det belgiske datatilsyn her.


Find nyheden fra Datatilsynet her.


(Ulovlig) brug af Google Analytics

Det østrigske datatilsyn har i en afgørelse fra januar 2022 konkluderet, at en virksomhed i en konkret sag ikke lovligt kunne benytte sig af analyseværktøjet Google Analytics. Sagen drejer sig om overførsel af personoplysninger til lande uden for EU/EØS, som i den konkrete sag var til USA.


Det følger af EU-Domstolens praksis, at dataansvarlige, som overfører personoplysninger til lande udenfor EU/EØS, skal sikre et beskyttelsesniveau for de overførte personoplysninger, der i det væsentligste svarer til beskyttelsesniveauet i EU. Hvis beskyttelsesniveauet i modtagerlandet ikke i det væsentligste svarer til det i EU, skal der implementeres supplerende foranstaltninger for at sikre et beskyttelsesniveau svarende til EU's.


Det østrigske datatilsyn fandt, at de supplerende foranstaltninger, der konkret var blevet implementeret, ikke var effektive, idet foranstaltningerne ikke forhindrede mulighederne for amerikanske retshåndhævende myndigheders overvågning af og adgang til de overførte personoplysninger.


Den Europæiske Tilsynsførende for Databeskyttelse (EDPS), der fører tilsyn med EU-institutionernes overholdelse af persondatareglerne, har truffet en tilsvarende afgørelse omkring brugen af Google Analytics og Stripe (betalingsløsning) på en hjemmeside, som EU-Parlamentet er ansvarlig for.


Afgørelserne viser, at der er stigende opmærksomhed og udfordringer med brug af Google Analytics på europæiske hjemmesider. Datatilsynet har meddelt, at tilsynet vil nærlæse afgørelsen og de kommende afgørelser fra andre lande og på den baggrund komme med nærmere vejledning herom til danske virksomheder og myndigheder.


Find afgørelsen fra det østrigske datatilsyn her (tysk) og her (engelsk).


Læs Datatilsynets nyhed her.


Retten på Bornholm giver GDPR-bøde på 100.000 kr.

Den 20. januar afsagde Retten på Bornholm dom i en sag, hvor en virksomhed ulovligt havde videregivet personoplysninger om en medarbejders strafbare forhold.


Virksomheden havde via e-mail oplyst til to af virksomhedens samarbejdspartnere, at medarbejderen var blevet bortvist og meldt til politiet for mandatsvig, samt givet en nærmere beskrivelse af måden, hvorpå svindlen var foregået. Selvom medarbejderen senere blev dømt for mandatsvig, var han utilfreds med, at virksomheden havde delt personoplysninger om ham, og derfor klagede han til Datatilsynet.


Datatilsynet indstillede i sin politianmeldelse af virksomheden til, at bøden skulle fastsættes til 400.000 kr. Retten på Bornholm idømte dog virksomheden en bøde på 100.000 kr. Retten lagde vægt på, at der var tale om en række formildende omstændigheder, herunder blandt andet at der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen, og sagen alene vedrørte personoplysninger om en enkelt person.


Dommen understreger, at oplysninger om strafbare forhold har en særlig status, og at der stilles strenge krav til videregivelse. I den henseende lægger dommen sig i slipstrømmen af en række tidligere afgørelser om eksempelvis offentliggørelse af overvågningsbilleder af indbrudstyve, hvor der også er fast praksis for bødestraf.


Dommen kan findes her.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted