Privacy Corner

Privacy Corner

Compliance EU-ret Persondata og cybersikkerhed
EU-tilsyn skruer op for GDPR-håndhævelse og vægter EDPB-retningslinjer højt. Virksomheder bør sikre symmetriske cookievalg, dokumenteret hjemmel for adfærdsbaseret markedsføring, stærke sikkerhedsforanstaltninger og TIA’er ved tredjelands­overførsler.
EJ
Eva Jarbekk
JS
Jeppe Songe-Møller
IB
Inge Kristian Brodersen
+4
Øyvind Eidissen
Anna Eide
Oskar Engman
Paal-André Storesund

Europæiske tilsynsmyndigheder har markeret sig med rekordstore bøder og en tydelig vægtning af EDPB’s retningslinjer. For virksomheder betyder det skærpede krav til dokumentation, solide sikkerhedsforanstaltninger og større fokus på lovligt grundlag for adfærdsbaseret markedsføring og cookies. Samtidig er tredjelands­overførsler fortsat et hovedtema, hvor TIA’er og supplerende foranstaltninger er nødvendige, uanset politiske løsninger.

Håndhævelse af GDPR og EDPB’s betydning for bødeniveauet

Flere afgørelser fra slutningen af 2022 viser, at efterfølgende afhjælpning ikke automatisk reducerer bøden. I den irske sag om datascraping på Facebook lagde tilsynet vægt på manglende indbygget og standardiseret databeskyttelse, selv om platformen havde foretaget ændringer undervejs. Bødeniveauet indikerer, at myndighederne forventer forebyggelse og løbende risikostyring, ikke blot reaktioner på hændelser.

EDPB’s rolle er central, særligt i grænseoverskridende sager under one stop shop-ordningen. I de verserende Meta-sager om brug af aftalegrundlag for adfærdsbaseret markedsføring har EDPB udstukket retningslinjer for den irske afgørelse. Den danske Datatilsynets omtale giver et godt indblik i processerne og den vejledende betydning, som andre tilsyn tillægger EDPB’s fortolkninger. Se Datatilsynet Danmarks gennemgang her: datatilsynet.dk.

Cookies og adfærdsbaseret markedsføring: krav til design og dokumentation

CNIL’s bøde til Microsoft for ulige let accept og afvisning af cookies understreger kravet om symmetriske valg. Brugerens mulighed for at sige nej skal være lige så enkel som at sige ja, og det skal kunne dokumenteres. I Danmark og Norge forventes yderligere afklaring og praksisnær regulering, så virksomheder med grænseflader mod forbrugere bør justere bannere og samtykkeflows.

Den italienske afgørelse mod Douglas fremhæver organisatoriske pligter: tydelig adskillelse mellem privatlivspolitik og cookiepolitik, dataminimering og klare slettefrister for loyalitetsprogrammer. For app-udbydere er konklusionen, at privacy by design og privacy by default skal oversættes til konkret UI-design, tekniske standarder og styring af opbevaringsperioder.

For at reducere risiko anbefales en systematisk tilgang til dokumentation og design af brugerrejser:

  • Etabler symmetriske cookievalg, herunder et lige så fremtrædende afvis-alternativ som accept.
  • Adskil formål og retlige grundlag, og dokumentér specifik hjemmel for adfærdsbaseret markedsføring.
  • Fastlæg slettefrister, dataminimering og logning af samtykker i politikker og tekniske procedurer.

Datasikkerhed, cyberforsikring og konsekvenser af databrud

Udviklingen på forsikringsmarkedet peger mod strammere vilkår og undtagelser for statsstøttede cyberangreb. Tvister om krigs- og force majeure-klausuler illustrerer usikkerheden om dækning. Resultatet er et større pres for at investere i forebyggende sikkerhed og hændelseshåndtering, da økonomisk risiko i stigende grad bæres af virksomheden selv.

Aktuelle databrud viser kendte svagheder: MFA-udmattelsesangreb, utilstrækkelig adgangskontrol og hurtig spredning af stjålne data. Når angribere truer med offentliggørelse for at udløse GDPR-bøder, bliver compliance-eksponeringen en del af afpresningsscenariet. Effektiv logning, segmentering, overvågning og træning er derfor ikke blot bedste praksis, men centrale kontrolpunkter for at begrænse regulatorisk og kommerciel skade.

Tredjelands­overførsler og offentlige myndigheders hjemmel

Et nyt EU-USA-overførselsregime ændrer næppe på behovet for Transfer Impact Assessments og supplerende foranstaltninger. Fokus bør være bredere end USA og også omfatte destinationer som Indien, hvor lovgivningen fortsat kritiseres. SCC’er, kryptering og organisatoriske garantier skal vurderes og dokumenteres pr. dataflow.

I offentlig sektor er hjemmelskravet lige så afgørende. Varslet forbud mod norske SSB’s plan for brug af bongdata rejser spørgsmålet, om statistiklovens grundlag rækker til den påtænkte behandling. Sagen illustrerer, at myndigheder – på linje med private aktører – skal dokumentere formål, nødvendighed og proportionalitet. Se Datatilsynet Norges omtale: datatilsynet.no.

Et tysk eksempel på forbrugerbeskyttelse viser også compliance-kravet om, at opsigelse af abonnement skal være lige så enkel som indgåelse. Udbydere med aktiviteter i Tyskland bør sikre en korrekt implementeret termination button og proces, der samtidig modvirker misbrug uden at gøre opsigelsen unødigt byrdefuld.

Endelig minder Datatilsynet i Danmark om, at GDPR også gælder på papir: simple tiltag ved printere og i postrum forhindrer utilsigtet spredning. En praksisnær plakat kan hentes her: datatilsynet.dk.

Læs hele artiklen hos Schjødt →
Søgeord
GDPR, Persondata, Samtykke, Databehandleraftale, Behandlingsgrundlag, Databeskyttelse, Aftalegrundlag, Sikkerhedsbrud, Privacy by design, Loyalitetsprogrammer, Dataminimering, EDPB, Databehandler, Cookies, EPrivacy direktivet, Tilsynsmyndigheder, Forbrugerbeskyttelse, Adgangskontrol, Administrative bøder, Privacy by default, SCC, Slettefrister, Cookiebanner, Transfer impact assessment, Datalæk, Tia, Cyberforsikring, One stop shop, Standard Contractual Clauses, CNIL, Afpresning, MFA, Datatilsynet Danmark, Adfærdsbaseret markedsføring, Datatilsynet Norge, Tredjelands overførsler, Irske datatilsyn dpc, Tysk forbrugerret, Termination button, Statsstøttet cyberangreb

Relaterede artikler

Advokat fra Den sorte svane frakendes retten til at være advokat
Advokatsamfundet

Advokat fra Den sorte svane frakendes retten til at være advokat

Advokatnævnet har udstedt den hårdeste disciplinære sanktion og fratager Lise Roulund retten til at udøve advokatvirksomhed. Kendelsen bygger på misbrug af klientkonto til omfattende transaktioner og uberettiget deling af fortrolige vidneoplysninger. Afgørelsen kan prøves ved domstolene.
EU’s Toolkit til kønsneutral klassificering af jobs
Littler Danmark

EU’s Toolkit til kønsneutral klassificering af jobs

EU’s løngennemsigtighedsdirektiv presser virksomheder til kønsneutral lønfastsættelse. EU-Kommissionen og EIGE lancerer en værktøjskasse med skalerbare metoder til jobevaluering og dokumentation. Danmark forventer ikrafttræden i 2027, hvilket kræver rettidig compliance.
Vandselskabers bistand til kommunen i forbindelse med udarbejdelse af spildevandsplaner og vandforsyningsplaner
Konkurrence- og Forbrugerstyrelsen

Vandselskabers bistand til kommunen i forbindelse med udarbejdelse af spildevandsplaner og vandforsyningsplaner

Vederlagsfri teknisk bistand fra vandselskaber til kommunale spildevands- og vandforsyningsplaner kan udgøre en registreringspligtig uddeling efter stoploven. Kun eksisterende data kan udleveres gratis; øvrig rådgivning skal leveres som tilknyttet virksomhed mod betaling.
Dansk forhandler af togreservedele tilkendegiver at ville betale én million i bøde for at overtræde konkurrenceloven
Konkurrence- og Forbrugerstyrelsen

Dansk forhandler af togreservedele tilkendegiver at ville betale én million i bøde for at overtræde konkurrenceloven

Diesel Motor Nordic vil betale en million i bøde for en ulovlig aftale med Deutz, der begrænsede adgang til IC3-reservedele og pålagde DSB overpris. Højesteret har fastslået overtrædelsen, mens sanktionen mod Deutz verserer. NSK fører sanktionssporet efter de tidligere regler.

Relaterede kurser

Årlig ansættelsesretlig opdatering
7
JUC
Årlig ansættelsesretlig opdatering
Risikovurderinger og GDPR
4
JUC
Risikovurderinger og GDPR
AI og jura - Forstå hvad AI kan, og hvad du må
Dansk Industri
AI og jura - Forstå hvad AI kan, og hvad du må

Relaterede jobs

Politiets Efterretningstjeneste
Jurister til PET
Politiets Efterretningstjeneste
Erhvervsministeriet
Kontorchef til kontor for tilsyn med betalinger og finansiel teknologi
Erhvervsministeriet
Erhvervsministeriet
Finanstilsynet søger jurister til arbejdet med kapitalmarkeder
Erhvervsministeriet
Styrelsen for Patientsikkerhed
Sektionsleder til enheden Sundhedsjura
Styrelsen for Patientsikkerhed
Erhvervsministeriet
Jurist søges til samfundsrelevante opgaver på energi-området
Erhvervsministeriet
Erhvervsministeriet
Jurist med interesse for konkurrenceret
Erhvervsministeriet
Gratis adgang til alle juridiske nyheder, artikler og opdateringer.
Opret dig gratis i dag, vælg dine fagområder, og få adgang til et skræddersyet nyhedsoverblik, der gør dig klogere - og holder dig foran.
Opret gratis profil →