GDPR

Datatilsynet påpeger mangler i underretning og dokumentation ved databrud. Dataansvarlige skal informere registrerede uden unødig forsinkelse ved høj risiko og kunne bevise underretningen. Få overblik over krav, myndighedspraksis og praktiske tiltag.

Ny lov styrker rammerne for demokratiske virksomheder med begrænset ansvar. Reglerne åbner for kapital fra investerende deltagere, aktivsikring med bunden reserve, flere omdannelsesveje og en snæver datadelningsundtagelse for finansielle virksomheder.

Vestre Landsret har spurgt EU-Domstolen, om GDPR-bøder skal beregnes ud fra den økonomiske enheds globale omsætning efter konkurrencerettens virksomhedsbegreb. Sagen vedrører ILVA’s manglende sletning af kundedata. Dommen kan hæve bødeniveauet og skærpe compliance-krav i koncernforhold.

Datatilsynet afviste at rejse tilsynssag mod en kommune, der ville etablere et internt referenceregister i én forvaltning. Udtalelsen bekræfter, at sådanne registre kan være lovlige under GDPR, hvis formål, adgang og slettefrister er snævert afgrænset og dokumenteret.

Meta har efter anmodning fra den irske DPC midlertidigt sat AI-træning på europæiske brugeres offentlige indhold i bero. Grundlaget er påberåbt legitim interesse med indsigelsesret. Sagen behandles via GDPR’s one-stop-shop, og Datatilsynet deltager i den fortsatte vurdering.

Fra 1. juli 2024 skal arbejdsgivere registrere medarbejderes daglige arbejdstid i et objektivt, pålideligt og tilgængeligt system. Ordningen skal dokumentere overholdelse af 48-timersreglen, sikre medarbejderindsigt og integreres med GDPR, herunder slettefrister og databehandleraftaler.

EU’s AI-forordning pålægger skærpede pligter for udbydere og brugere af højrisikosystemer, herunder data governance, konformitetsvurdering, CE-mærkning, logning og post-market overvågning. Brugere skal følge instrukser, sikre human oversight og rapportere hændelser til tilsynet.

Datatilsynet undersøger i 2024, hvordan private virksomheder efterlever retten til indsigt for hjemmesidebesøgende ved onlinehandel. Resultaterne bliver til en national rapport, der kan føre til mere målrettet vejledning og indgår i en samlet EDPB-rapport.

Datatilsynet udvider foranstaltningskataloget med en vejledning om sikkerhedstest af software. Tiltaget omsætter GDPRs krav om passende sikkerhed til praksis, fremhæver bl.a. sårbarheds- og penetrationstest, og understreger leverandørkrav samt solid testdokumentation. Erfaringer fra brud går igen.

Alle arbejdsgivere skal fra 1. juli 2024 indføre et objektivt, pålideligt og tilgængeligt tidsregistreringssystem. Reglerne tillader registrering af afvigelser, kræver fem års opbevaring og giver snæver undtagelse for selvtilrettelæggere med aftalt fravigelse i kontrakten.

Nordiske datatilsyn styrker samarbejdet om databeskyttelse. En ny fælles erklæring adresserer AI, EU’s digitale pakke og udmåling af bøder. Samtidig fastlægges principper, der skærper beskyttelsen af børn i online gaming og skaber klarere forventninger til spiludbydere.

Debatten blandt EP-kandidaterne kredser om retsforbeholdets konsekvenser for Europol, håndhævelse af retsstatsprincipper og balancen mellem AI-regulering, GDPR og retssikkerhed. Samtidig efterlyses stærkere ofre- og advokatbeskyttelse samt skærpet kamp mod hvidvask og sanktionsomgåelse.

EDPBs taskforce har udgivet en foreløbig rapport om ChatGPT med fokus på lovlighed, gennemsigtighed, rigtighed og registreredes rettigheder på tværs af træningsdata, forbehandling, træning og output. Efter etablering i Irland er DPC lead; brugere bør sikre korrekt behandlingsgrundlag og oplysningspligt.

Datatilsynet retter alvorlig kritik mod Nets DanID efter et fire dages NemID-nedbrud, hvor backup ikke kunne aktiveres. Afgørelsen skærper fokus på GDPR art. 32, dokumenteret og regelmæssig test af backup og genetablering samt øget robusthed i kritisk national infrastruktur.

Datatilsynet skærper fokus på underretning ved brud på persondatasikkerheden: Underretninger skal være fuldstændige, i klart sprog og kunne dokumenteres skriftligt. En aktør modtog kritik for manglende bevis. Myndigheden har udsendt ny vejledning om de gældende krav.

DMA skærper kravene til techgiganter og giver forbrugere nye valg: nej til data-kombination på tværs af platforme, friere valg af standardapps, mulighed for alternative app-butikker og udsigt til interoperable beskedtjenester. Reglerne håndhæves centralt af EU-Kommissionen.