mail@stormadvokatfirma.dk | 72 30 12 05 | Vi har åbent man-tors 8-16, fre 8-15
STORM > Nyheder > GDPR > Overblik: Nyt om persondata i 2020
GDPR datatilsynet nyheder

Overblik: Nyt om persondata i 2020

Få de seneste nyheder om GDPR og Datatilsynets praksis på området i denne overbliksartikel.

Vi ser her nærmere på et udsnit af de væsentligste nyheder inden for persondataområdet, GDPR, fra sommeren 2019 til begyndelsen af 2020.

Du får et hurtigt og kort overblik, så du er opdateret. Du kan læse den forrige overbliksartikel her.

Datatilsynets seneste praksis

Kryptering af e-mails

Det har været Datatilsynets praksis siden 1. januar 2019, at private virksomheder som udgangspunkt skal kryptere e-mails indeholdende fortrolige eller følsomme personoplysninger. Datatilsynet har truffet flere afgørelser på området siden den nye praksis trådte i kraft.

Resultatet kan kort opsummeres således at der bør anvendes end-to-end kryptering med tvungen TLS (modsat opportunistisk TLS, som ikke er tilstrækkelig), ligesom tilsynet lægger vægt på, om der er udarbejdet en risikovurdering i forbindelse fremsendelse af følsomme og fortrolige personoplysninger over internettet (herunder ved e-mail).

Du kan læse mere om afgørelserne her.

Ny praksis om behandlingsgrundlaget for følsomme personoplysninger

Tidligere var det Datatilsynets opfattelse, at følsomme personoplysninger kunne behandles, såfremt den dataansvarlige kunne opfylde principperne for behandling i persondataforordningens artikel 5, og anvise en undtagelse til behandlingsforbuddet i artikel 9. Denne praksis er nu ændret, således at den dataansvarlige fremover stadig skal opfylde artiklerne 5 og 9, men derudover også skal kunne påvise et lovligt behandlingsgrundlag efter persondataforordningens artikel 6, som indeholder betingelserne for behandling af almindelige personoplysninger. Visse typer af personoplysninger er dog ikke omfattet, idet disse oplysninger anses for omfattet af Danmarks nationale råderum inden for persondataforordningens områder. Det gælder eksempelvis behandling af CPR-numre eller oplysninger om strafbare forhold efter databeskyttelseslovens regler.

Du kan læse mere om den nye praksis her.

Ny praksis om offentliggørelse af billeder

Tidligere har Datatilsynet lagt vægt på sondringen mellem situationsbilleder (formålet er at vise en situation, fx et sportsevent) og portrætbilleder (formålet er at vise en eller flere personer, fx et pasfoto eller et klassebillede). Denne praksis er nu forladt til fordel for en samlet helhedsvurdering af hver enkelt, individuel situation.

Læs mere om den nye praksis her.

Nye vejledninger, principper, skabeloner mv.

Videregivelse af personoplysninger med statistisk eller videnskabeligt formål

Datatilsynet har fastsat nye regler i en bekendtgørelse, og publiceret en tilhørende ny vejledning vedrørende videregivelse af personoplysninger til statistiske eller videnskabelige formål.

Reglerne finder anvendelse ved videregivelse fra en dataansvarlig (”den afgivende dataansvarlige”), der har indsamlet og behandlet personoplysninger i statistisk eller videnskabeligt øjemed efter databeskyttelseslovens § 10, stk. 1, og databeskyttelsesforordningens artikel 6, stk. 1, litra e, til en anden dataansvarlig (”den modtagende dataansvarlige”), der fremadrettet ligeledes vil behandle oplysningerne i statistisk eller videnskabeligt øjemed.

Læs mere her.

Ny EU-godkendt skabelon til databehandleraftale

Datatilsynet har i dialog og samarbejde med Det Europæiske Databeskyttelsesråd revideret Datatilsynets tidligere skabelon til databehandleraftale. Den nye skabelon har nu fået status som standard-kontraktbestemmelse efter persondataforordningens artikel 28, stk. 8.

Det er ikke et krav at man anvender den nye skabelon, men der er en række fordele forbundet med at gøre dette – herunder at Datatilsynet fx i forbindelse med et tilsynsbesøg ikke vil efterprøve det alle-rede fastlagte indhold.

Læs mere og find skabelonerne her.

Nye vilkår for advarselsregistre og spærrelister

Datatilsynet har fastsat nye vilkår for private dataansvarliges behandling af personoplysninger i forbindelse med advarselsregistre og spærrelister.

Advarselsregistre bruges ofte af virksomheder til at advare imod at oprette en forretningsforbindelse eller et ansættelsesforhold til en bestemt registreret person. Spærrelister er en særlig form for advarselsregister, som anvendes i forbindelse med et betalingsinstrument, f.eks. et betalingskort.

Læs mere og find både vejledninger og vilkårene her.

Hjælp til mindre virksomheder

Datatilsynet udgav i november 2019 en serie af podcasts beregnet til at hjælpe mindre virksomheder med at komme i gang med databeskyttelsen. Podcast-serien giver et fint indblik i hvor tilsynsmyndigheden opfordrer virksomheden til at starte deres GDPR-indsats.

Find podcastene via Datatilsynets hjemmeside her.

Vejledning om samtykke

Datatilsynet har opdateret sin vejledning om samtykke. Læs mere og hvornår et samtykke er gyldigt, hvad der sker hvis et samtykke trækkes tilbage, og andre relaterede problemstillinger her.

Vejledning om risikovurdering

Den risikobaserede tilgang er grundlæggende for persondataforordningen og GDPR generelt. Hvor langt en virksomhed skal gå, vil ofte afhænge af hvor stor risikoen er for de registrerede personer, hvis personoplysninger behandles. Dette giver fleksibilitet men også usikkerhed i forhold til præcist hvordan den enkelte dataansvarlige skal indrette sin tekniske og organisatoriske datasikkerhed.

Datatilsynet forsøger i en ny vejledning fra juni 2019 blandt andet at give konkret vejledning til hvordan den dataansvarlige kan vurdere risici og samtidigt dokumentere denne vurdering.

Læs vejledningen her.

Vejledning om overførsler til tredjelande

Virksomheder kan i forbindelse med deres behandlinger af personoplysninger have et ønske om at overføre personoplysninger til et land uden for EU – et såkaldt tredjeland. Virksomheden kan eksempelvis ønske at benytte en anden virksomhed i et tredjeland, herunder f.eks. USA eller Indien, til at drifte sine IT-systemer. Dette udløser særlige forpligtigelser i persondataforordningens kapitel 5, som skal opfyldes ud over de sædvanglige forpligtigelser.

Datatilsynet opdaterede i juni 2019 sin vejledning, som giver et grundlæggende indblik i håndteringen af overførsler til tredjelande.

Læs vejledningen her.

Oplever du udfordringer i forbindelse med beskyttelse af persondata? Kontakt os allerede i dag på telefon 72 30 12 05.