Kan EDPB’s retningslinjer i praksis føre til højere GDPR-bøder?

Ja. Tilsyn lægger voksende vægt på EDPB’s linje ved fortolkning af behandlingsgrundlag, transparens og indbygget databeskyttelse, hvilket afspejles i bødernes størrelse.

Skal virksomheder stadig lave Transfer Impact Assessments ved overførsel til USA?

Ja. Indtil der foreligger en gyldig og robust tilstrækkelighedsafgørelse, er TIAs, SCC’er og supplerende foranstaltninger nødvendige og skal tilpasses risici og modtagerland.

Er cyberangreb typisk dækket af forsikring?

Dækning indskrænkes ofte af undtagelser for statssponsorerede eller krigslignende angreb. Virksomheder bør gennemgå policer, styrke sikkerheden og planlægge for selvbåren risiko.

Schjødt

Privacy Corner

IT-ret EU-ret Forsikring og erstatning Persondata og cybersikkerhed

EDPB’s linje præger håndhævelsen: høje GDPR-bøder, strammere cookie-krav og fortsatte TIAs ved tredjelandsoverførsler. Samtidig skærpes vilkår for cyberforsikring, hvilket øger behovet for dokumenterede behandlingsgrundlag, sikkerhedsforanstaltninger og robust governance.

Eva Jarbekk

Jeppe Songe-Møller

Inge Kristian Brodersen

Øyvind Eidissen
Anna Eide
Oskar Engman
Paal-André Storesund

Datatilsyn i EU skærper kursen mod store platforme og detailaktører med markante GDPR-bøder. EDPB’s linje får stigende vægt i praksis, mens tredjelandsoverførsler, cookie-compliance og cyberforsikring presser organisationers risikostyring. Virksomheder bør prioritere dokumenterede behandlingsgrundlag, TIAs og robuste sikkerhedsforanstaltninger.

Høje GDPR-bøder og EDPB’s betydning for behandlingsgrundlag

Flere sager mod globale platforme og detailkæder viser, at mangelfuld indbygget og standardmæssig databeskyttelse samt utilstrækkelig cookie-håndtering udløser høje bøder. Praktiske læringspunkter er klar adskillelse af politikker, konsekvent sletning i loyalitetsprogrammer og let adgang til fravalg.

EDPB’s koordinerende rolle påvirker vurderingen af, om “aftale” kan bære adfærdsbaseret markedsføring. One stop shop sikrer irsk kompetence i flere sager, men kollegialt pres fra øvrige tilsyn skærper linjen. Forvent øget fokus på gennemsigtighed, nødvendighed og proportionalitet ved brug af persondata til personaliserede tjenester.

Tredjelandsoverførsler og offentlige myndigheders hjemmel

På trods af politiske initiativer mellem EU og USA må virksomheder fortsætte med Transfer Impact Assessments og tekniske supplerende foranstaltninger. SCC’er og tilstrækkelighedsvurderinger skal opdateres i takt med praksis og trusselsbilledet.

Sager om offentlig statistik og “printede” persondata understreger, at myndigheder skal dokumentere klar hjemmel og dataminimering, mens alle dataformater er omfattet af GDPR. Offentlige aktører bør derfor justere processer, slettefrister og adgangsstyring i tråd med formål og retsgrundlag.

Cyberangreb, forsikringsdækning og cookie-compliance

Cyberforsikring er under pres med udbredte undtagelser for statssponsorerede angreb og krigslignende handlinger. Det øger behovet for beredskab, leverandørstyring og modstand mod MFA-fatigue-angreb, da hændelser hos databehandlere hurtigt kan eskalere.

Cookie-praksis bliver fortsat håndhævet med vægt på lige let afvisning og accept. Virksomheder bør sikre dokumenteret samtykke, granulære valg og løbende kontrol af tracking, så historiske fejl ikke fortsat udløser bøder.

Læs hele artiklen hos Schjødt →

Søgeord