Stefanie Lynge Eriksen

Datatilsynet samler 2025-tilsynet om børn og skolefotos, app-tracking, sletning, FMK-adgang, generativ AI i sundhed, retshåndhævelsesloven, EU-informationssystemer og fælles tilsyn med Finanstilsynet. Artiklen giver overblik over krav, risici og konkrete compliance-tiltag.

Datatilsynet skærper kravene til kommunernes brug af Google Workspace: Elevers data må kun behandles efter instruks, tredjelandsbehandling uden tilsvarende beskyttelse skal lukkes, og den dataansvarlige skal kunne dokumentere roller, underdatabehandlere og kontroller. EDPB-udtalelse er på vej.

Datatilsynet ændrer praksis efter EU-Domstolens sag C-579/21: Registrerede kan få indsigt i personoplysninger i logfiler, herunder datoer og formål. Medarbejderes identitet udleveres kun, hvis det er nødvendigt. Undtagelser kan bruges efter databeskyttelsesloven § 22 ved konkret afvejning.

Danmark gennemfører NIS2 med sektorvise tilsynsmyndigheder og detaljerede krav i kommende bekendtgørelser. Ikrafttræden udskydes til 1. marts 2025, men forpligtelserne består. Virksomheder i kritiske sektorer bør nu styrke risikostyring, ledelsesforankring og hændelsesrapportering.

Datatilsynet påpeger mangler i underretning og dokumentation ved databrud. Dataansvarlige skal informere registrerede uden unødig forsinkelse ved høj risiko og kunne bevise underretningen. Få overblik over krav, myndighedspraksis og praktiske tiltag.

EDPS påbyder EU-Kommissionen at stoppe ulovlige tredjelandsoverførsler ved brug af Microsoft 365 og at dokumentere fuld GDPR-overholdelse inden december. Afgørelsen fremhæver uklare kontrakter, utilstrækkelige garantier og behov for overførselsvurderinger og supplerende foranstaltninger.

Datatilsynet skærper kravet til e-mailbrug: Organisationer, der systematisk sender fortrolige eller følsomme oplysninger, skal indføre tekniske foranstaltninger mod fejlforsendelser fra autofuldførelse. Awareness er ikke nok, og brud skal håndteres efter GDPR.

En norsk domstol har tilkendt en skoleelev 90.000 NOK i godtgørelse for et kortvarigt databrud i klassen. Udmålingen bygger på GDPR art. 82 samt EU-principperne om ækvivalens og effektivitet og kan varsle et højere erstatningsniveau for GDPR-overtrædelser i Norden.

Datatilsynet påbyder 53 kommuner at lovliggøre brugen af Chromebooks, fordi Google behandler skoledata til egne formål uden hjemmel. Afgørelsen skærper kravet om klar rollefordeling, gyldigt retsgrundlag og tekniske kontroller ved offentlige cloud-løsninger.

Datatilsynet har pålagt et hospital at fjerne patientbilleder fra sociale medier, fordi samtykke ikke var frivilligt grundet ulige forhold. Afgørelsen skærper kravene til brug af billeder hos myndigheder og arbejdsgivere og peger på alternativer som ikke-genkendelige eller modelbilleder.

Digitaliseringsstyrelsen påbyder Meta og Google at sikre gyldigt cookiesamtykke på deres danske domæner. Kravene omfatter formålsopdelt samtykke, let tilbagekaldelse og fuld, dansk information om alle cookies. Påbuddene kan påklages til Teleklagenævnet inden fire uger.

EDPB har indført et EU/EØS-dækkende forbud mod Metas adfærdsbaserede annoncer, fordi kontrakt og legitim interesse ikke kan bære profilering. Kun samtykke resterer, men pay-or-consent udfordrer frivilligheden. Virksomheder bør omstille til samtykkebaserede eller kontekstuelle løsninger.

GDPR skærper kravene ved brud på persondatasikkerheden. Få overblik over de centrale skridt: risikovurdering, indberetning inden 72 timer, underretning af registrerede ved høj risiko og systematisk dokumentation. Artiklen samler også praktiske råd til forebyggelse og beredskab.

EU-Domstolen præciserer rækkevidden af GDPR art. 15: Registrerede kan i visse tilfælde få indsigt i logoplysninger, der dokumenterer, at behandling har fundet sted, men ikke nødvendigvis i medarbejderes identitet. Afgørelsen skærper kravene til adgangsprocesser.

Retterne afviste sletning af Google-søgeresultater, da oplysningerne var almindelige og knyttet til klagers professionelle virke. Ved afvejningen efter GDPR vejede informations- og ytringsfriheden tungere end privatlivets fred. Sagen præciserer kriterierne for retten til sletning.

EU-Kommissionens tilstrækkelighedsafgørelse for EU US Data Privacy Framework åbner for lovlige dataoverførsler til certificerede amerikanske modtagere. Ordningen gælder kun USA, kan blive prøvet ved EU-Domstolen, og kræver fortsat TIA og exit-strategi ved usikkerhed.