Seneste nyt fra GDPR-fronten

Nyheder – 21 juni 2018

Det er snart en måned siden, at de nye persondataregler trådte i kraft, og som opfølgning på dette, har vi samlet en række relevante nyheder nedenfor. 


Samtykke ved nyhedsbreve?

Mange oplevede i dagene op til d. 25. maj at blive bombarderet med mails omkring info og samtykke til fortsat at modtage nyhedsbrev. Men var det overhovedet nødvendigt? Nej, ikke ifølge Dansk Erhverv, hvor advokat Martin Jørgensen skriver:  

”Hvis det eksisterende samtykke var indhentet i overensstemmelse med markedsføringsloven og dermed opfylder betingelserne i markedsføringsloven § 10, stilles der ikke med EU-databeskyttelsesforordningen krav om, at erhvervsdrivende skal indsamle samtykker på ny eller skal bede om genbekræftelse af eksisterende samtykker.”

Forbrugerombudsmanden bekræfter dette i et notat om EU-databeskyttelsesforordningens betydning for reglerne om udsendelse af elektronisk markedsføring. Notatet kan læses her

Husk dog, at der med de nye persondataregler stadig skal informeres om, hvordan virksomheden håndterer de personoplysninger, som der er indsamlet i forbindelse med afgivelse af samtykket. Husk også, at der skal informeres om, at samtykket kan trækkes tilbage.


Jobansøgninger via mail?

Et andet spørgsmål, som har været behandlet i medierne, er hvorvidt man må modtage jobansøgninger på mail. Datatilsynet afviser dette og skriver, at der ikke er problemer i at modtage ansøgninger på mail, så længe de ikke indeholder følsomme eller fortrolige oplysninger (hvilket de sjældent gør) men at man selvfølgelig skal håndtere ansøgningerne forsvarligt, når først man har modtaget dem.

Er du i tvivl om, hvad der er almindelige og følsomme personoplysninger, kan du se mere her


Kontrol af databehandleren er nødvendig

De fleste er blevet bekendt med, at det er vigtigt at der forlægger en databehandleraftale. Det var også gældende inden d. 25. maj, men ikke meget udbredt i praksis. Det er imidlertid ikke nok med en aftale, man skal også søge for at tage stilling til kontrolniveauet med ens databehandler. 

Kontrolkravet fremgår imidlertid ikke af en konkret bestemmelse i databeskyttelsesforordningen og derfor har Datatilsynet netop udsendt en ’Vejledende tekst om tilsyn med databehandlere og underdatabehandlere’.

Her guides der igennem baggrunden og behovet for kontrol. Det er dog vigtigt at understrege, at kontrolbehovet – hvor meget og hvor ofte – følger den risikovurdering, der bør omtales i databehandleraftalen. Er risikoen for brud mv. lav er behovet for kontrol mindre, er den høj, er det større. 

Det er derfor vigtigt, at man i forlængelse af sine databehandlingsaftaler får taget stilling til behovet for kontrol med sine databehandlere. 


Facebookpage giver fælles ansvar for persondatasikkerheden med Facebook

EU-domstolen kom i starten af juni frem til, at virksomheder som driver en facebookside deler ansvar med Facebook for en korrekt håndtering af de tilhørende persondata. Dette begrunder domstolen med, at administrationen af en facebookside bidrager til behandlingen af personoplysninger om brugerne på siden, selv om man som administrator kun præsenteres for anonymiserede data. 

Har du en facebookside (eller overvejer at få en), skal du ifølge Datatilsynet derfor være opmærksom på, at

  • du sammen med Facebook er fælles ansvarlig for at overholde reglerne i databeskyttelsesforordningen (i forhold til den pågældende Facebook-side)
  • du skal sikre, at besøgende på siden (uanset om de er Facebook-brugere eller ej) får information om persondatapolitikken og, i det omfang det er krævet, også giver samtykke til behandlingen
  • du skal sørge for at indgå en aftale med Facebook om fælles dataansvar, og i denne aftale skal det reguleres, hvem der har ansvar for hvad, og dem I behandler oplysninger om, skal have adgang til at se det væsentligste indhold af ansvarsfordelingen mellem Facebook og dig
  • de personer, der bliver registreret som følge af besøg på din side kan udøve deres rettigheder over for dig. Det gælder f.eks. retten til indsigt, retten til at gøre indsigelse eller retten til sletning
  • du i forhold til et eventuelt erstatningsansvar i forbindelse med behandlingen af personoplysningerne hæfter solidarisk med facebook. 


Datatilsynet skriver desuden, at de opmærksomme på, at ovennævnte kræver, at Facebook medvirker til en løsning, hvilket de forventer vil ske, og de vil i europæisk sammenhæng vil følge op på, at Facebook gør dette. 

Man skal dog være opmærksom på, at i det omfang reglerne ikke efterleves, risikerer begge parter at blive pålagt sanktioner. 

Læs mere om dommen og Datatilsynets kommentar her


Husk fortegnelsen

Som følge af de nye persondataregler skal både virksomheder og foreninger have udarbejdet en intern fortegnelse over deres behandling af personoplysninger. Som minimum skal have en sådan fortegnelse vedrørende organisationens personaleadministration. Fortegnelsen kan hjælpe virksomheden med at sikre og påvise, at databeskyttelsesreglerne overholdes. 

Fortegnelsen skal være skriftlig og elektronisk og skal stilles til rådighed for Datatilsynet, hvis de beder om at se den. Fortegnelsen skal omfatte virksomhedens behandling af personoplysninger, herunder almindelige personoplysninger og særlige kategorier af personoplysninger, og mindst indeholde en beskrivelse af følgende 7 punkter:

  • Kontaktoplysninger for den dataansvarlige
  • Formål med behandlingen af oplysningerne
  • Kategorier af registrerede og kategorier af personoplysninger
  • Kategorier af modtagere ved videregivelse
  • Overførsler til tredjelande og internationale organisationer
  • Slettefrister
  • Tekniske og organisatoriske sikkerhedsforanstaltninger


Du kan læse mere i den officielle vejledning om fortegnelse


Ny hjemmeside for Datatilsynet

Har du brug for flere oplysninger omkring de nye persondataregler, så har Datatilsynet lanceret en ny hjemmeside, hvor de både finder overblik over de gældende krav til databeskyttelse og en række vejledninger og skabeloner.