persondata.tips

UNIVERSADVOKATER

persondata.tips er UNIVERSADVOKATERs site med juridiske og andre tips vedrørende GDPR og beslægtede emner. Porten til effektiv advokatbistand til virksomheder og andre, for hvem det er vigtigt at være ajour og compliant.

Ring eller mail til Ruth

Det koster ikke noget ...
Ruth Caddock Hansen
89 34 35 03
rch@universadvokater.dk

Ring eller mail til Sofie

Det koster ikke noget ...
Sofie Thøgersen
89 34 35 06
st@universadvokater.dk

Hvad er personoplysninger?

Det lyder måske som et simpelt spørgsmål, men det kan faktisk være svært at skelne mellem, hvornår der er tale om en personoplysning, og hvornår der ikke er, og i særdeleshed hvornår der er tale om følsomme personoplysninger.

En almindelig personoplysning er en oplysning, der kan knyttes til en bestemt person. Dette gælder også, hvis personen kun kan identificeres ved en kombination af flere forskellige oplysninger. En mailadresse eller et telefonnummer er derfor eksempler på personoplysninger, men også sådan noget som et CVR-nr. kan efter omstændighederne være det, hvis der er tale om en enkeltmandsvirksomhed.

Når man har styr på, hvad en personoplysning er, er det vigtig at skelne mellem ikke-følsomme personoplysninger og følsomme personoplysninger. Dette skyldes, at behandlingen af følsomme personoplysninger kræver stærkere behandlingsgrundlag end behandlingen af ikke-følsomme personoplysninger.

Databeskyttelsesforordningen tager konkret stilling til hvilke oplysninger, der udgør følsomme personoplysninger. Det er blandt andet oplysninger om etnicitet, religion, helbred og seksualitet. Virksomheder skal derfor være ekstra opmærksomme, hvis behandlingen omfatter sådanne oplysninger, fx i forbindelse med personaleadministration.

En farlig faldgrube er oplysninger om CPR-numre. Oplysningen i sig selv er en almindelig personoplysning, men der gælder skrappe regler om, at CPR-numre skal behandles som om, det var en følsom oplysning, og man skal derfor stort set altid have samtykke for at behandle CPR-numre.

Derudover kommer også kategorien med fortrolige oplysninger, som blandt andet omfatter oplysninger om strafforhold.

Hvis du vil vide mere om personoplysninger eller har en konkret problemstilling, du skal bruge hjælp til, så kontakt advokatfuldmægtig Sofie Thøgersen på 89 34 35 06 eller st@universadvokater.dk. Den indledende kontakt er altid gratis.

Vi hjælper jer sikkert gennem compliance-junglen

GDPR, persondatabeskyttelse, privatlivsbeskyttelse, cookieregler, compliance - kært barn omgiver sig med mange navne.

Som virksomhed skal man behandle personoplysninger om fx medarbejdere og kunder på sikker måde og kun i nødvendigt omfang. Siden foråret 2018 risikerer man betragtelige bøder, hvis man ikke efterlever reglerne.

GDPR-reglerne er udtryk for en bureaukratisering, der udgør en betydelig belastning for virksomheder i alle størrelser, men typisk er tungere at bære, jo mindre man er.

Vi har meget betydelig erfaring med GDPR og har bistået alt fra helt små virksomheder til multinationale koncerner med at efterleve reglerne ikke bare i Danmark, men i omkring 30 andre lande i og uden for Europa.

Vi hjælper også gerne jer. Vores tilgang er, at reglerne skal efterleves til punkt og prikke, men minimalistisk. Vi puster ikke opgaven og prisen op.

--------------------

Udarbejdelse af GDPR-dokumentation, herunder privatlivspolitikker, fortegnelser og interne politikker
Udarbejdelse af cookiepolitikker og rådgivning om cookie-reglerne
Gennemførelse af complianceprojekter
Undervisning om databeskyttelsesregler
Udarbejdelse af databehandleraftaler
Håndtering af sikkerhedsbrud, anmeldelser og underretninger
Rådgivning om overholdelse af databeskyttelsesregler, herunder de registreredes rettigheder og overførsel af persondata til lande uden for EU/EØS
Whistleblowerordninger
Rådgivning om GDPR-compliance i forbindelse med onlinesalg og krydsfeltet med forbrugerbeskyttelsesregler i bl.a. markedsføringsloven og forbrugeraftaleloven
TV-overvågning.

COOKIEREGLERNE

Som ejer af en hjemmeside bliver du nødt til at forholde dig til cookiereglerne.

Hovedreglen er, at du skal indhente et informeret samtykke fra besøgende, inden du og andre anvender cookies til fx markedsføringsformål. Det er kun, hvis hjemmesiden alene bruger eller tillader, at der bruges cookies til teknisk nødvendige formål, at du ikke behøver at informere besøgende og få deres samtykke til cookies.

Idet der ofte er tale om behandling af persondata, når du anvender cookies på din hjemmeside, er det som regel også nødvendigt at sørge for overholdelse af databeskyttelsesregler ved brugen af cookies.

Hurtigt overblik:

Medmindre hjemmesiden alene anvender cookies til rent tekniske nødvendige formål, gælder følgende regler:

Besøgende skal informeres tydeligt om indsamlingen af deres oplysninger, herunder om hvilken type oplysninger, der vil blive behandlet og til hvilke formål.
Besøgende skal give et frivilligt samtykke ved et aktivt tilvalg.
Besøgende skal let kunne finde yderligere information om brugen af cookies på hjemmesiden.
Såfremt oplysninger bruges til forskellige formål, skal besøgende let kunne give samtykke til nogle formål og ikke andre.
Det skal være let for besøgende at afstå fra at give samtykke og til at trække samtykket tilbage.
Det skal kunne dokumenteres, hvad besøgende har givet samtykke til og hvordan samtykket er indhentet.

Hvis du vil vide mere om cookiereglerne eller fx ønsker at få udarbejdet en cookiepolitik, så kontakt Ruth Caddock Hansen på 89 34 35 03 eller rch@universadvokater.dk. Den indledende kontakt er altid gratis.

Jeres persondatateam.

- 155,5 KB

Kontakt

International compliance

UNIVERSADVOKATERs advokater har arbejdet og arbejder intensivt med persondata-compliance i omkring 30 lande.

Når lovreglerne og praksis bliver for lokale for os, trækker vi på et tæt netværk af meget anerkendte kolleger på stedet.

Er du databehandler eller dataansvarlig?

Når du eller din virksomhed indsamler, registrerer, videregiver eller sletter personoplysninger, er det vigtigt at være opmærksom på, om du er dataansvarlig eller databehandler. Der er nemlig forskel på, hvilket ansvar og hvilke forpligtelser, der er, alt efter om du er det ene eller det andet.

Den dataansvarlige bestemmer formålet med databehandlingen, altså hvorfor de pågældende personoplysninger behandles, og på hvilken måde databehandlingen foregår, herunder hvilke procedurer der skal følges, hvordan oplysningerne skal opbevares osv.

Som dataansvarlig skal man blandt andet sikre sig, at man har ret til at behandle de personoplysninger, som man rent faktisk behandler, ligesom det er den dataansvarliges ansvar at indberette eventuelle sikkerhedsbrud.

En databehandler er den, der foretager selve behandlingen af personoplysninger på vegne af og efter instruks fra den dataansvarlige.

Det sker meget ofte, at en dataansvarlig beder en databehandler om at behandle personoplysninger på vegne den dataansvarlige, og i disse tilfælde er man forpligtet til at indgå en databehandleraftale.

Der forekommer også tilfælde, hvor der er flere selvstændige dataansvarlige, eller hvor flere dataansvarlige bærer et fælles dataansvar, og så skal der i nogle tilfælde også laves en særskilt aftale herom.

Det kan være meget svært at gennemskue, hvornår man har hvilken rolle. Du er derfor altid velkommen til at kontakte os, hvis vi skal hjælpe jer med afklaringen og hjælpe med at sikre, at de rigtige aftaler kommer på plads.

Kontakt advokatfuldmægtig Sofie Thøgersen på 89 34 35 06 eller st@universadvokater.dk. Den indledende kontakt er altid gratis.

UNIVERSADVOKATER.com

International desk

Besøg vores øvrige hjemmesider

.tips

UNIVERSADVOKATER arbejder med et stort antal fagområder. Kun enkelte af fagområderne har deres egen hjemmeside.

Formalia

Det siger I om os

UNIVERSADVOKATER.dk

Vores danske hjemmeside

Overfører din virksomhed personoplysninger til såkaldte tredjelande uden for EU/EØS?

Som udgangspunkt er der tale om en overførsel til et tredjeland, når personoplysninger forlader EU/EØS eller gøres tilgængelige uden for EU/EØS.

Selv når oplysningerne ikke fysisk forlader EU/EØS, og der kun gives fjernadgang, som giver mulighed for at se oplysningerne, vil der være tale om en overførsel til et tredjeland, hvis det er muligt for dataimportøren i tredjelandet at tilgå oplysningerne uden for EU/EØS.

Hvis en virksomhed ønsker at overføre personoplysninger til tredjelande, skal særlige regler i databeskyttelsesforordningens iagttages. Der er flere metoder, man kan bruge for lovligt at overføre personoplysninger til tredjelande, men for de fleste virksomheder vil overførsler til tredjelande godkendt af EU-Kommissionen med en såkaldt tilstrækkelighedsafgørelse eller overførsler via standardbestemmelser vedtaget af EU-Kommissionen d. 4. juni 2021 være mest relevante.

Tilstrækkelighedsafgørelse

Når man vil overføre personoplysninger til et tredjeland, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som sikkert ved en tilstrækkelighedsafgørelse. Er det tilfældet, kan der overføres til landet, forudsat at forordningens øvrige bestemmelser overholdes.

Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:

Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz, Storbritannien, Sydkorea og Uruguay.

USA er ikke godkendt p.t., men EU-Kommissionen og de amerikanske myndigheder er i dialog om at finde en erstatning for den tidligere gældende Privacy Shield-ordning, som i visse situationer gjorde det muligt at overføre personoplysninger til USA uden et overførselsgrundlag.

Nye standardbestemmelser

EU-Kommissionen vedtog den 4. juni 2021 et sæt nye standardbestemmelser til brug for overførsler til tredjelande. De nye standardbestemmelser består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i.

Når man benytter standardbestemmelserne, skal man sikre sig, at kontrakterne er korrekt indgået, samt at man i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.

Hvis man i dag benytter standardbestemmelser vedtaget i henhold til det tidligere gældende persondatadirektiv, kan man fortsat benytte disse frem til den 27. december 2022 forudsat, at aftalen om overførsel af personoplysninger ved brug af disse gamle standardbestemmelser blev indgået inden den 27. september 2021, og at den behandling, der er genstand for aftalen, forbliver uændret, samt at anvendelsen af disse standardbestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier.

Oplysningspligten

Når man som dataansvarlig vil overføre personoplysninger til et tredjeland, får det betydning for opfyldelse af oplysningspligten. Det gælder både, når oplysningerne er indsamlet direkte hos den registrerede, og når oplysningerne er indsamlet hos andre. Hvis EU-Kommissionen ikke har truffet en tilstrækkelighedsafgørelse, skal man oplyse den registrerede om, hvilke tredjelande personoplysningerne vil blive overført til, og hvilket overførselsgrundlag man anvender.

Hvis du vil vide mere om personoplysninger eller har en konkret problemstilling, du skal bruge hjælp til, så kontakt Ruth Caddock Hansen på 89 34 35 03 eller rch@universadvokater.dk. Den indledende kontakt er altid gratis.

Skal I have en DPO?

Skal din virksomhed have en DPO? Er svaret nej, er næste spørgsmål: Bør den have en DPO?

DPO står for Data Protection Officer, der er en person i eller uden for virksomheden, som sikrer, at databeskyttelseslovgivningen overholdes. DPOen har en særlig stilling i forhold til Datatilsynet, idet DPOen er kontaktled til og skal samarbejde med tilsynet. Virksomhedens DPO skal derfor løbende inddrages i spørgsmål vedrørende behandling af personoplysninger, sikkerhedsbrud og systemopsætning mv.

Hvem skal have en DPO?

Det er forholdsvis sjældent, at private virksomheder omfattes af reglerne om pligt til at udpege en DPO. For private virksomheder er det kun en pligt, hvis virksomhedens kerneaktivitet består i at behandle følsomme personoplysninger eller oplysninger om strafbare forhold i et stort omfang, eller hvis virksomheden foretager regelmæssig og systematisk overvågning af personer i væsentligt omfang. Dette gælder uanset, om virksomheden er dataansvarlig eller databehandler.

Det er således de færreste private danske virksomheder, der rent faktisk har pligt til at have en DPO. En virksomhed, der behandler personoplysninger, fx oplysninger om medarbejdere og kunder som led i almindelig virksomhedsdrift, vil som udgangspunkt ikke være forpligtet til at have en DPO.

Hvem bør have en DPO eller compliance-rådgiver?

Det gør de virksomheder, der jævnligt behandler personoplysninger og vil sikre sig, at behandlingen sker korrekt og i overensstemmelse med persondataforordningen og databeskyttelsesloven, og som gerne vil have en person klar til at tage over med det samme i tilfælde af, at der indgives klage mod virksomheden, Datatilsynet kommer på tilsynsbesøg eller lignende, og som i det hele taget sørger for, at virksomheden løbende holder sig ajour med persondatareglerne.

Selv om det ikke er et krav at have en DPO, kan der altså være mange gode grunde til at have nogen til at varetage de opgaver, der normalt ligger hos en DPO. I de tilfælde, hvor der frivilligt, men officielt, udpeges en DPO, gælder de samme krav til DPOen, som hvis virksomheden havde været forpligtet til at udpege en DPO. Det betyder, at kravene til DPOens opgaver, kvalifikationer, stilling, beskyttelse og inddragelse skal efterleves. Vælger en virksomhed derimod at udpege en medarbejder eller ekstern konsulent, som man fx kalder compliance-rådgiver, er virksomheden ikke forpligtet til at efterleve forordningens krav til en DPO til punkt og prikke.

UNIVERSADVOKATER tilbyder at være jeres DPO eller compliance-rådgiver, så I har en fast kontaktperson, der er klar til at handle, når det er nødvendigt. Kontakt advokatfuldmægtig Sofie Thøgersen på 89 34 35 06 eller st@universadvokater.dk, hvis I vil høre mere om fordele og vilkår. Den første kontakt er altid gratis.

EDPB publishes draft guidelines on “dark patterns”

The European Data Protection Board adopted draft guidelines for public consultation on so-called dark patterns aimed at social media networks on 14 March 2022.

The term dark pattern refers to interfaces designed to influence the user into making unintended and potentially harmful decisions regarding the processing of their personal data.

The guidelines are structured around the main parts of a social media user's journey where they are likely to encounter dark patterns, e.g., during sign up, changing settings and closing their account. The guidelines contain the application of the key principles established in the GDPR and offer practical recommendations to designers and users of social media platforms on how to design user interfaces that facilitate the effective implementation of the GDPR.

The guidelines include examples of dark patterns and sets out best practices at the end of each use case. A checklist of dark pattern categories can also be found in the annex to the guidelines.

You can read the new guidelines here: https://edpb.europa.eu/system/files/2022-03/edpb_03-2022_guidelines_on_dark_patterns_in_social_media_platform_interfaces_en.pdf