Stefanie Lynge Eriksen

Højesteret fastslår, at små ikke-økonomiske gener kan udløse godtgørelse efter GDPR, men kun ved konkret og dokumenteret immateriel skade. I Gladsaxe-sagen blev kommunen frifundet, da bevis for skade manglede, selv om der forelå brud på behandlingssikkerheden.

Østre Landsret tilkender for første gang erstatning for immateriel skade efter GDPR. En kommunal fejludlevering af helbredsoplysninger udløste 2.500 kr., og retten afviste en bagatelgrænse. Afgørelsen skærper dataansvarliges ansvar og tydeliggør forskellen til tortgodtgørelse.

Vestre Landsret har hævet ILVAs GDPR-bøde til 1,5 mio. kr., efter EU-Domstolen fastslog, at virksomhedsbegrebet skal forstås som i konkurrenceretten. Fremover kan bøder baseres på hele koncernens globale omsætning, også når brud sker i et datterselskab.

EU’s Data Act får virkning 12. september og pålægger producenter og udbydere at give brugere adgang til data fra tilsluttede produkter samt lette skift mellem cloudtjenester. Gennemgå vilkår og opdater kontrakter nu for at undgå dobbelt regelsæt og kundekrav.

EU-Domstolen fastslår, at pseudonymiserede data kan være anonyme for modtageren uden adgang til nøglen, mens den dataansvarliges oplysningspligt stadig gælder før videregivelse. Afgørelsen letter deling og tredjelandsoverførsler, men kræver robuste foranstaltninger og solid dokumentation.

EU-Domstolen har stadfæstet EU-Kommissionens tilstrækkelighedsafgørelse for Data Privacy Framework. Overførsler af personoplysninger til certificerede modtagere i USA kan fortsætte, men organisationer bør bevare TIA, SCC-fallback og en klar exit-strategi ved ændringer.

EDPS fastslår, at Europa-Kommissionens brug af Microsoft 365 nu følger GDPR efter markante tekniske, organisatoriske og kontraktuelle ændringer. Afgørelsen signalerer til andre dataansvarlige at styrke overførsler, leverandørinstrukser og informationspligt ved cloudtjenester.

Ny fælles cookievejledning samler reglerne for cookies og GDPR og skærper fokus på gyldigt samtykke, dokumentation og kontrol af tredjepartsteknologier. Vejledningen tydeliggør også, hvornår der opstår fælles dataansvar ved integrationer som sociale medier.

Microsoft strammer sin databehandleraftale og forbyder brug af kundedata til profilering og kommercielle formål. Tiltaget adresserer kritikpunktet fra Chromebook-sagen og styrker GDPR-overensstemmelse, men efterlader fortsat behov for dokumentation, audit og reel kontrol i den offentlige sektor.

Det irske datatilsyn har idømt TikTok 530 mio. euro i bøde for ulovlige overførsler af personoplysninger til Kina og mangelfuld gennemsigtighed. Afgørelsen pålægger virksomheden at sikre et tilsvarende beskyttelsesniveau eller standse overførslerne inden seks måneder.

Forbundne biler indsamler omfattende data om kørsel, lokation og brugere. Datatilsynet advarer om uklare samtykker og profilering. GDPR kræver lovligt grundlag, transparens og mulighed for fravalg uden tab af basale funktioner. Myndigheder bør gennemføre DPIA og vurdere tredjelandsoverførsler.

Datatilsynet retter alvorlig kritik mod en arbejdsgiver, der via en returneret arbejdscomputer tilgik og downloadede en tidligere medarbejders private e-mails som bevis. Privatliv og GDPR’s interesseafvejning vejede tungere end bevisbehovet, hvilket skærper kravene til interne procedurer.

Norges Datatilsyn har udstedt en millionbøde til Telenor for manglende uafhængig DPO og utilstrækkelig dokumentation. Afgørelsen skærper kravene til funktionsadskillelse, rapportering til topledelsen og skriftlig vurdering af DPO'ens egnethed og interessekonflikter.

EU-Domstolen slår fast, at virksomhed i GDPR art. 83 skal forstås som den økonomiske enhed fra konkurrenceretten. Bøder kan derfor udmåles på grundlag af hele koncernens omsætning. Afgørelsen påvirker ILVA-sagen og skærper krav til governance, slettepolitik og dokumenteret koncernstyring.

Alle kommuner bliver omfattet af NIS2. Kravene gælder samtlige net- og informationssystemer, ikke kun kritiske tjenester. Lovforslaget er fremsat med foreslået ikrafttræden 1. juli 2025. Kommuner skal styrke governance, risikostyring og hændelsesrapportering.

Datatilsynet samler 2025-tilsynet om børn og skolefotos, app-tracking, sletning, FMK-adgang, generativ AI i sundhed, retshåndhævelsesloven, EU-informationssystemer og fælles tilsyn med Finanstilsynet. Artiklen giver overblik over krav, risici og konkrete compliance-tiltag.