www.complycloud.com

Velkommen til webinaret:

De registreredes rettigheder –udvalgt praksis

28. april 2020

Husk at slå din mikrofon og kamera fra

Vi starter kl. 12

2

Martin Folke VasehusCertificeret IT-advokat

Erfaring• IT-advokat og medlem af Danske IT-Advokater• 11 år med IT og digitalisering (8 hos Bruun & Hjejle)• IT-Branchens Sikkerhedsudvalg• Master-studier ved IT-Universitetet• ISO 27001 Lead Implementor• Ekstern lektor ved Juridisk Fakultet, KU

Specialer• GDPR og compliance-programmer• It-kontrakter og it-outsourcing• It-forsikring og cyber-skader og –ansvar• It-retssager og voldgiftssager

www.complycloud.com

www.complycloud.com 3

Q&A og afslutning3

1 Introduktion til de registreredes rettigheder

2 Udvalgt praksis

Programmet

www.complycloud.com 4

Q&A og afslutning3

1 Introduktion til de registreredes rettigheder

2 Udvalgt praksis

www.complycloud.com 5

• Oplysningspligt (artikel 13 og 14) • Indsigtsret (artikel 15) • Ret til berigtigelse (artikel 16) • Ret til sletning (artikel 17) • Ret til begrænsning af behandling (artikel 18) • Underretningspligt i forbindelse med berigtigelse eller sletning af

personoplysninger eller begrænsning af behandling (artikel 19) • Ret til dataportabilitet (artikel 20) • Ret til indsigelse (artikel 21) • Ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk

behandling, herunder profilering (artikel 22)

Kapitel

III

De registreredes rettigheder

www.complycloud.com 6

Som udgangspunkt er det dig som dataansvarlig, der skal sørge for at iagttage de registreredes rettigheder, hvorfor dine eventuelle databehandlere ikke kan pålægges et selvstændigt ansvar for at iagttage rettighederne. (Datatilsynets vejledning om de registreredes rettigheder, punkt 2.1)

Når du kommunikerer med en registreret – hvad enten det sker på eget initiativ eller efter anmodning – skal dette ske skriftligt eller med andre midler, medmindre den registrerede specifikt beder om en mundtlig besvarelse. (Datatilsynets vejledning om de registreredes rettigheder, punkt 2.2)

I de tilfælde, hvor du behandler personoplysninger til formål, der ikke kræver eller ikke længere kræver, at du kan identificere en registreret person, men den registrerede fortsat er identificerbar, er du ikke forpligtet til at indhente yderligere oplysninger for at identificere vedkommende udeluk- kende for at kunne opfylde bl.a. den registreredes rettigheder. (Datatilsynets vejledning om de registreredes rettigheder, punkt 2.3)

Ansvar, kommunikation og omfang

www.complycloud.com 7

”Du skal svare på en anmodning fra en registreret om indsigt, berigtigelse, sletning osv. uden unødig forsinkelse og senest en måned efter, du har modtaget anmodningen.

Hvis anmodningen er kompliceret, kan du forlænge svarfristen med yderligere to måneder. I disse tilfælde skal du dog senest en måned efter, at du har modtaget anmodningen, gøre den registrerede opmærksom på den forlængede sagsbehandlingstid og begrundelsen herfor. Der er således en absolut frist for besvarelse af anmodninger fra en registreret på tre måneder, men det må antages, at langt de fleste anmodninger ikke vil være komplicerede, hvorfor de skal besvares senest en måned efter modtagelsen.” (Datatilsynets vejledning om de registreredes rettigheder, punkt 2.4)

Tidsfrist

www.complycloud.com 8

”Når du som dataansvarlig bliver mødt med en anmodning fra en registreret, der ønsker at gøre brug af sine rettigheder, herunder f.eks. en anmodning om indsigt i eller sletning af personoplysninger, skal du sikre dig, at den registrerede også er den, som vedkommende præsenterer sig som.

Sikring af identiteten på en registreret kan f.eks. ske ved, at du kræver at få forevist legitimationspapirer, som f.eks. pas, kørekort eller andet ID. Du behøver du dog ikke at kræve at få forevist legitimationspapirer, hvis du på anden måde har sikret dig, at den registrerede er den, som vedkommende giver sig ud for at være.

Når en henvendelse er fremsat skriftligt, og hvis navn og adresse i brevet er identisk med de oplysninger, som i forvejen fremgår af sagen, vil der i almindelighed heller ikke være grund til at foretage særlige undersøgelser, inden oplysningerne sendes til den registrerede på den angivne adresse.” (Datatilsynets vejledning om de registreredes rettigheder, punkt 2.6)

Sikring af den registreredes identitet

www.complycloud.com 9

Q&A og afslutning3

1 Introduktion til de registreredes rettigheder

2 Udvalgt praksis

www.complycloud.com 10

Case # 1

Oplysningspligt og brug af samtykke

www.complycloud.com 11

• Arbejdsmarkedets Feriefond indkrævede beløb på vegne af Styrelsen for Arbejdsmarked og Rekruttering. Arbejdsmarkedets Feriefond fik derfor personoplysninger om klager fra Styrelsen for Arbejdsmarked og Rekruttering og opfyldte sin oplysningsforpligtelse efter artikel 14 ved trinvist og over flere måneder at give den registrerede oplysninger omfattet af fondens oplysningspligt.

Datatilsynet udtalte kritik og konkluderede følgende:

❌ Arbejdsmarkedets Feriefond havde ikke opfyldt sin oplysningspligt inden for den frist, som følger af forordningens artikel 14, stk. 3.

❌ Arbejdsmarkedets Feriefond ikke havde iagttaget forordningens artikel 12, stk. 1, da fonden ikke havde givet oplysningerne i en samlet form og på en kortfattet, gennemsigtig, lettilgængelig og letforståelig form.

❌ Arbejdsmarkedets Feriefond havde anmodet klager, hvis personoplysninger allerede blev behandlet af Arbejdsmarkedets Feriefond i forbindelse med den konkrete sag om feriepenge, om at give samtykke til behandling af personoplysninger, da klager forsøgte at rette henvendelse til fondens databeskyttelsesrådgiver.

❌ Indhentelse af klagers samtykke var ikke i overensstemmelse med forordningens artikel 5, stk. 1, litra a, da behandlingen af klagers personoplysninger allerede blev foretaget på et andet grundlag end samtykke.

Arbejdsmarkedets Feriefond

www.complycloud.com 12

Case # 2

Indsigt og ”kopi af”

www.complycloud.com 13

• Klager rettede henvendelse til DSB ved at udfylde en formular, hvori klager anmodede DSB om indsigt i de oplysninger, som DSB havde registreret om klager. Det var en ” alt, hvad I har registreret om mig”-henvendelse.

• DSB svarede ved at sende ”Navn: [X], Adresse: [X] […]”, samt de oplysninger om behandlingen, der i øvrigt er påkrævet.

• DSB sendte imidlertid ikke kopi af personoplysningerne af egen drift. DSB oplyste derudover heller ikke om, at DSB behandlede videooptagelser af klager, ligesom disse optagelser heller ikke blev udleveret i kopi.

Datatilsynet udtalte alvorlig kritik.

Første indledende bemærkning:

• ”Datatilsynet har herved lagt vægt på, at DSB i forbindelse med besvarelsen af klagers indsigtsanmodning af 29. januar 2019 ikke udleverede indholdet af alle de personoplysninger, som DSB behandlede om X, f.eks. i form af en kopi, jf. databeskyttelsesforordningens artikel 15, stk. 3.”

DSB

www.complycloud.com 14

Datatilsynet udtalte alvorlig kritik på baggrund af følgende:

❌ DSB havde ikke af egen drift oplyst om, at DSB havde tv-videooptagelser af klager ved besvarelse af klagers henvendelse.

❌ DSB besvarede henvendelsen senere end 1 måned efter modtagelsen, dvs. for sent.

✅ Datatilsynet fandt ikke grundlag for at udtale kritik af, at DSB ikke havde givet klager indsigt i de personoplysninger, som DSB havde indsamlet ved hjælp af cookies, navnlig fordi der ikke ved den pågældende behandling med cookies blev gemt personoplysninger om klager på en sådan måde, at DSB herudfra ville være i stand til at identificere klager uden yderligere oplysninger.

DSB (fortsat)

www.complycloud.com 15

Case # 3

Nemlig.com A/S

www.complycloud.com 16

Planlagt tilsynsbesøg med fokus på de registreredes rettigheder. Datatilsynet konkluderede følgende:

Nemlig.com A/S har udarbejdet retningslinjer, procedurer m.v. for virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12, men at disse indeholder enkelte beskrivelser, som efter Datatilsynets opfattelse ikke er tilstrækkelige i forhold til virksomhedens efterlevelse af forordningens artikel 12, stk. 2 og 3.

Nemlig.com A/S har udarbejdet skabeloner, der kan medvirke til at sikre og lette virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15, men at disse indeholder enkelte beskrivelser, som efter Datatilsynets opfattelse ikke er tilstrækkelige i forhold til virksomhedens efterlevelse af forordningens artikel 12, stk. 2 og 3.

Nemlig.com A/S i perioden 25. maj 2018 til tidspunktet for varslingen af dette tilsyn har modtaget og besvaret to indsigtsanmodninger, og at Nemlig.com A/S i begge tilfælde ikke har givet den registrerede indsigt i de oplysninger, som Nemlig.com A/S har indsamlet om den registreredes adfærd på virksomhedens hjemmeside og/eller app, ligesom Nemlig.com A/S i begge tilfælde ikke har besvaret anmodningen om indsigt i overensstemmelse med tidsfristerne i databeskyttelsesforordningens artikel 12, stk. 3.

Nemlig.com

www.complycloud.com 17

Datatilsynet bemærkede derudover følgende om validering af identitet:

🚩 Nemlig.com A/S havde procedurer for valideringen af identiteten på registrerede personer skal valideres ved, at identitet bekræftes ved brug af e-mail eller telefon, og – hvis førnævnte ikke giver tilstrækkelig validering – ved en medarbejderes opringning og spørgsmål til tidligere køb. Hvis dette ikke sikrer validering, kræves der fysisk fremmøde. Det sidste vedrørende fysisk fremmøde var Datatilsynet ikke glad for, fordi ”det vil være unødigt besværligt for den registrerede at skulle møde fysisk op”.

Nemlig.com (fortsat)

www.complycloud.com 18

Datatilsynet bemærkede derudover følgende om ”oplysninger, som indsamles om den registreredes adfærd på virksomhedens hjemmeside og/eller app”:

🚩 Efter en gennemgang af de oplysninger, som Nemlig.com A/S indsamler om de registreredes adfærd på hjemmesiden, er det Datatilsynets vurdering, at der er tale om personhenførbare oplysninger, hvorfor de to besvarelser af indsigtsanmodninger burde have indeholdt information heromkring, jf. databeskyttelsesforordningens artikel 15.

Nemlig.com (fortsat)

www.complycloud.com 19

Case # 4

Sikkerhedslog hos Skattestyrelsen

www.complycloud.com 20

• Klage over, at Skattestyrelsen havde afslået at give klager indsigt i udtræk af Skattestyrelsens sikkerhedslog over, hvilke medarbejdere der havde været inde på de oplysninger, der fandtes om klager i Gældsstyrelsen.

Datatilsynet afviste klagen på følgende summariske baggrund:

✅ Der var ikke udsigt til, at tilsynet ville komme frem til, at klagers personoplysninger var blevet behandlet i strid med databeskyttelsesreglerne, jf. artikel 57, stk. 4.

✅ Udtræk af logningsoplysninger er en systemmæssig facilitet, hvor der ikke sker en selvstændig behandling af personoplysninger, og logningen er afledt af den egentlige behandling.

✅ Sikkerhedsloggen var ikke omfattet af retten til indsigt efter GDPR, artikel 15.

Sikkerhedslog

www.complycloud.com 21

Case # 5

Modelfotografen og begrænsninger i retten til sletning

www.complycloud.com 22

• En fotograf havde taget billeder af en kvinde, som blev brugt af fotografen til at promovere sit arbejde. Billederne var af ”mere intim karakter”.

• Fotografen og kvinden indgik en skriftlig aftale i forbindelse med billedserien, der blandt andet gav fotografen ret til at offentliggøre og videregive billederne. Billederne blev herefter ”anvendt af ukendte tredjeparter i sammenhæng med escort-annoncer og prostitution samt andre meget krænkende sammenhænge”.

• Kvinden ville have billederne slettet. Indklagede tilbød at slette billederne, hvis klager betalte 5.000 kr.

Datatilsynet konkluderede summarisk følgende:

❌ Oplysninger om klagers personnummer skulle slettes.

• Personoplysningerne i de opbevarede billeder skulle derimod ikke slettes. Når behandling sker med henblik på opfyldelse af en kontrakt (artikel 6, stk. 1, litra b), der stadig er gældende, og når behandlingen af personoplysninger ikke i sig selv er i strid med de databeskyttelsesretlige regler, er betingelserne for at kræve de personoplysninger slettet i medfør af artikel 17, stk. 1, ikke opfyldt.

Ikke altid krav på sletning

www.complycloud.com 23

Case # 6

Google og retten til sletning

www.complycloud.com 24

• Datainspektionen (det svenske datatilsyn) gav i 2017 Google påbud om at ændre sine procedurer for fjernelse af søgeresultater ved henvendelser fra registrerede personer.

• Datainspektionen genoptog sine undersøgelser af Google i 2018, da Google tilsyneladende ikke havde indordnet sine procedurer i overensstemmelse med påbuddet.

• Google anvendte en praksis, hvor Google informerede ejere af websites om, hvilke resultater der blev fjernet, og hvem der havde bedt om at få dem fjernet.

Datainspektionen har i marts 2020 givet Google en bøde på 7mEUR for følgende forhold:

❌ Google have ikke efterlevet påbuddet fra Datainspektionen.

❌ Google’s praksis om videregivelse af oplysninger til ejerne af de websites, som der blev fjernet links til, var ikke lovlig, da denne behandling og videregivelse af personoplysninger ikke havde nogen lovlig hjemmel.

Google

www.complycloud.com 25

Q&A og afslutning3

1 Introduktion til de registreredes rettigheder

2 Udvalgt praksis

www.complycloud.com 26

For flere løbende nyheder kan I følge os på LinkedIn her: https://www.linkedin.com/company/complycloud

Vi holder løbende flere spændende webinarer

Vi laver også en gratis afgørelsessamling for Datatilsynets praksis de 2 første år med GDPR. Denne udkommer den 25. maj 2020

Tilmelding til webinar og nyhedsbrev kan ske på vores website: https://complycloud.com/tilmelding-webinar/

www.complycloud.com 27

Tak for jeres tid.

Vi prøver hele tiden at blive bedre, så vi håber, at I vil bruge 2 minutter påat besvare et spørgsmål, som I modtager på e-mail efter webinaret.

Udvalgte referencer