Som virksomhed skal man behandle personoplysninger om fx medarbejdere og kunder på sikker måde og kun i nødvendigt omfang. Siden foråret 2018 risikerer man betragtelige bøder, hvis man ikke efterlever reglerne.
GDPR-reglerne er udtryk for en bureaukratisering, der udgør en betydelig belastning for virksomheder i alle størrelser, men typisk er tungere at bære, jo mindre man er.
Vi har meget betydelig erfaring med GDPR og har bistået alt fra helt små virksomheder til multinationale koncerner med at efterleve reglerne ikke bare i Danmark, men i omkring 30 andre lande i og uden for Europa.
Vi hjælper også gerne jer. Vores tilgang er, at reglerne skal efterleves til punkt og prikke, men minimalistisk. Vi puster ikke opgaven og prisen op.
--------------------
- Udarbejdelse af GDPR-dokumentation, herunder privatlivspolitikker, fortegnelser og interne politikker
- Udarbejdelse af cookiepolitikker og rådgivning om cookie-reglerne
- Gennemførelse af complianceprojekter
- Undervisning om databeskyttelsesregler
- Udarbejdelse af databehandleraftaler
- Håndtering af sikkerhedsbrud, anmeldelser og underretninger
- Rådgivning om overholdelse af databeskyttelsesregler, herunder de registreredes rettigheder og overførsel af persondata til lande uden for EU/EØS
- Whistleblowerordninger
- Rådgivning om GDPR-compliance i forbindelse med onlinesalg og krydsfeltet med forbrugerbeskyttelsesregler i bl.a. markedsføringsloven og forbrugeraftaleloven
- TV-overvågning.
Som ejer af en hjemmeside bliver du nødt til at forholde dig til cookiereglerne.
Hovedreglen er, at du skal indhente et informeret samtykke fra besøgende, inden du og andre anvender cookies til fx markedsføringsformål. Det er kun, hvis hjemmesiden alene bruger eller tillader, at der bruges cookies til teknisk nødvendige formål, at du ikke behøver at informere besøgende og få deres samtykke til cookies.
Idet der ofte er tale om behandling af persondata, når du anvender cookies på din hjemmeside, er det som regel også nødvendigt at sørge for overholdelse af databeskyttelsesregler ved brugen af cookies.
Hurtigt overblik:
Medmindre hjemmesiden alene anvender cookies til rent tekniske nødvendige formål, gælder følgende regler:
- Besøgende skal informeres tydeligt om indsamlingen af deres oplysninger, herunder om hvilken type oplysninger, der vil blive behandlet og til hvilke formål.
- Besøgende skal give et frivilligt samtykke ved et aktivt tilvalg.
- Besøgende skal let kunne finde yderligere information om brugen af cookies på hjemmesiden.
- Såfremt oplysninger bruges til forskellige formål, skal besøgende let kunne give samtykke til nogle formål og ikke andre.
- Det skal være let for besøgende at afstå fra at give samtykke og til at trække samtykket tilbage.
- Det skal kunne dokumenteres, hvad besøgende har givet samtykke til og hvordan samtykket er indhentet.
Hvis du vil vide mere om cookiereglerne eller fx ønsker at få udarbejdet en cookiepolitik, så kontakt Ruth Caddock Hansen på 89 34 35 03 eller rch@universadvokater.dk. Den indledende kontakt er altid gratis.
UNIVERSADVOKATERs advokater har arbejdet og arbejder intensivt med persondata-compliance i omkring 30 lande.
Når lovreglerne og praksis bliver for lokale for os, trækker vi på et tæt netværk af meget anerkendte kolleger på stedet.
- boligadvokat.tips
- byggebranche.tips
- ejendomsadministration.tips
- fremtidsfuldmagt.tips
- heste.tips
- inkasso.tips
- medarbejder.tips
- persondata.tips
- selskab.tips
- senioradvokat.dk
- sommerhus.tips
- sundhedsjura.tips
- testamente.tips
UNIVERSADVOKATER arbejder med et stort antal fagområder. Kun enkelte af fagområderne har deres egen hjemmeside.
Facebooks annonceringssystem har indtil nu været programmeret til at give låneselskaber mulighed for at målrette deres annoncering mod forbrugere, der har vist interesse for online gambling og spil.
Forbrugerombudsmanden har vurderet denne praksis og konkluderet, at Facebooks praksis er i strid med princippet om god markedsføringsskik i markedsføringslovens § 3.
I en pressemeddelelse siger Forbrugerombudsmand Christina Toftegaard Nielsen: Helt tilbage i 1683 fastslog Danske Lov, at spillegæld ikke er juridisk bindende. Hensynet bag bestemmelsen er, at det er uetisk og samfundsmæssigt skadeligt, hvis der drives forretning på at lade folk gældsætte sig ved hasardspil. Bestemmelsen gælder endnu, og det er de samme hensyn, der gør, at det er i strid med god skik at målrette reklamer for lån mod forbrugere, der har vist interesse for spil.
Efter Forbrugerombudsmandens vurdering har Facebook tilkendegivet, at deres system ikke længere vil tillade annoncører at målrette deres låneannoncer til forbrugere, der har vist interesse for online gambling og spil.
Forbrugerombudsmandens vurdering vil påvirke alle låneselskaber mv., der udøver denne form for målrettet annoncering.
Efter offentlig høring vedtog EDPB en endelig version af retningslinjerne om eksempler på anmeldelser om databrud. Disse retningslinjer supplerer artikel 29-gruppens vejledning om anmeldelse af databrud ved at indføre mere praksisorienteret vejledning og anbefalinger. De har til formål at hjælpe dataansvarlige med at reagere, hvis der sker brud på persondatasikkerheden samt med overholdelse af deres underretningsforpligtelser i henhold til GDPR.
Brud på persondatasikkerheden bør anmeldes, når den dataansvarlige vurderer, at der er sandsynlighed for, at bruddet vil medføre en risiko for den registreredes rettigheder eller frihedsrettigheder. Retningslinjerne indeholder eksempler på casestudier, der hjælper dataansvarlige og databehandlere med at foretage en risikovurdering, når de bliver bekendte med sikkerhedsbruddet.
Casestudierne omfatter hændelser, der involverer ransomware-angreb, dataeksfiltreringsangreb, menneskelige fejl samt mistede enheder og dokumenter. Casestudierne og de anbefalede handlingspunkter er baseret på erfaringer fra forskellige EØS-tilsynsmyndigheder efter at have konstateret et stigende antal cyberangreb og andre databrudshændelser.
Som udgangspunkt er der tale om en overførsel til et tredjeland, når personoplysninger forlader EU/EØS eller gøres tilgængelige uden for EU/EØS.
Selv når oplysningerne ikke fysisk forlader EU/EØS, og der kun gives fjernadgang, som giver mulighed for at se oplysningerne, vil der være tale om en overførsel til et tredjeland, hvis det er muligt for dataimportøren i tredjelandet at tilgå oplysningerne uden for EU/EØS.
Hvis en virksomhed ønsker at overføre personoplysninger til tredjelande, skal særlige regler i databeskyttelsesforordningens iagttages. Der er flere metoder, man kan bruge for lovligt at overføre personoplysninger til tredjelande, men for de fleste virksomheder vil overførsler til tredjelande godkendt af EU-Kommissionen med en såkaldt tilstrækkelighedsafgørelse eller overførsler via standardbestemmelser vedtaget af EU-Kommissionen d. 4. juni 2021 være mest relevante.
Tilstrækkelighedsafgørelse
Når man vil overføre personoplysninger til et tredjeland, er det en god ide som det første at undersøge, om EU-Kommissionen har godkendt det pågældende tredjeland som sikkert ved en tilstrækkelighedsafgørelse. Er det tilfældet, kan der overføres til landet, forudsat at forordningens øvrige bestemmelser overholdes.
Følgende lande er p.t. godkendt af EU-Kommissionen som sikre tredjelande:
Andorra, Argentina, Færøerne, Guernsey, Isle of Man, Israel, Jersey, New Zealand, Schweiz, Storbritannien, Sydkorea og Uruguay.
USA er ikke godkendt p.t., men EU-Kommissionen og de amerikanske myndigheder er i dialog om at finde en erstatning for den tidligere gældende Privacy Shield-ordning, som i visse situationer gjorde det muligt at overføre personoplysninger til USA uden et overførselsgrundlag.
Nye standardbestemmelser
EU-Kommissionen vedtog den 4. juni 2021 et sæt nye standardbestemmelser til brug for overførsler til tredjelande. De nye standardbestemmelser består af flere særskilte moduler, som skal anvendes alt efter hvilken overførselssituation, man befinder sig i.
Når man benytter standardbestemmelserne, skal man sikre sig, at kontrakterne er korrekt indgået, samt at man i øvrigt kan leve op til de forpligtelser, som kontrakterne indeholder.
Hvis man i dag benytter standardbestemmelser vedtaget i henhold til det tidligere gældende persondatadirektiv, kan man fortsat benytte disse frem til den 27. december 2022 forudsat, at aftalen om overførsel af personoplysninger ved brug af disse gamle standardbestemmelser blev indgået inden den 27. september 2021, og at den behandling, der er genstand for aftalen, forbliver uændret, samt at anvendelsen af disse standardbestemmelser sikrer, at overførslen af personoplysninger er omfattet af de fornødne garantier.
Oplysningspligten
Når man som dataansvarlig vil overføre personoplysninger til et tredjeland, får det betydning for opfyldelse af oplysningspligten. Det gælder både, når oplysningerne er indsamlet direkte hos den registrerede, og når oplysningerne er indsamlet hos andre. Hvis EU-Kommissionen ikke har truffet en tilstrækkelighedsafgørelse, skal man oplyse den registrerede om, hvilke tredjelande personoplysningerne vil blive overført til, og hvilket overførselsgrundlag man anvender.
Hvis du vil vide mere om personoplysninger eller har en konkret problemstilling, du skal bruge hjælp til, så kontakt Ruth Caddock Hansen på 89 34 35 03 eller rch@universadvokater.dk. Den indledende kontakt er altid gratis.