5 GDPR-afgørelser der kan have betydning for dig

Rettighedsanmodninger, cookies, sletning og meget andet – Datatilsynet kommer hele tiden med nye afgørelser, som vi kan lære noget af. Læs med her og tilmeld dig vores webinar den 24. maj 2022. Så er din virksomhed bedre rustet til at håndtere persondata.

dmogt rådgiver gdpr og persondata 1300 x 650
6 maj 22

Datatilsynet kommer hele tiden med nye afgørelser, og der er god grund til at følge med – det er nemlig på den måde, vi lærer, hvordan Persondataforordningen skal fortolkes.

Nedenfor omtales kort fem afgørelser, som du bør kende – nogle er nye, andre er gamle, men de gemmer alle på vigtige budskaber, som man bør huske på i det daglige.

Tidligere medarbejders indsigtsanmodning afvist – ”overdrevet”

I denne sag havde en tidligere medarbejder ved en kommune anmodet om indsigt i al korrespondancen, hvor medarbejderen var nævnt i hele sin ansættelsestid.

Kommunen forsøgte at få den registrerede/tidligere medarbejder til at specificere, hvilket materiale denne ønskede indsigt i, men dette afslog den registrerede.

Kommunen var herefter berettiget til at afslå indsigtsanmodningen, da den efter Datatilsynets opfattelse var ovendreven.

DM&T bemærker, at afgørelsen jo selvfølgelig er konkret begrundet, men at den trods alt viser, at der kan være en grænse for, hvad en arbejdsgiver er forpligtet til efter Persondataforordningen. Den tidligere medarbejders navn fremgik jo af samtlige e-mails sendt af vedkommende, så derfor ville det være et enormt arbejde, hvis arbejdsgiveren var forpligtet til at udlevere disse mails og gennemgå dem inden udlevering for at sikre, at indholdet kunne udleveres.

Hele afgørelsen kan læses her. 

Unødvendige oplysninger om en medarbejder – fertilitetsbehandling

Datatilsynet har udtalt alvorlig kritik af en kommune, som havde videregivet unødvendige oplysninger om en medarbejder til omkring 50 andre ansatte.

Arbejdsgiveren havde i den konkrete sag sendt en mail til afdelingens 50 ansatte med oplysninger om en medarbejders skånehensyn som følge af fertilitetsbehandling.

Medarbejderen klagede til Datatilsynet over den fremsendte mail, og Datatilsynet udtalte i den anledning alvorlig kritik af kommunen, da mailen indeholdt unødvendige oplysninger.

DM&T bemærker, at afgørelsen er en god påmindelse til arbejdsgivere om, at man kun videregiver de oplysninger, som er nødvendige, og at man udviser påpasselighed omkring særligt videregivelse af helbredsoplysninger. Det kan være et fuldt ud legitimt hensyn at orientere om fravær blandt kollegaer, men der er ingen grund til at oplyse om årsagen til fraværet. Det er nok blot at skrive at vedkommende er syg – ikke hvad vedkommende fejler.

Hele afgørelsen kan læses her.

Ilva-dommen – Danmarks første GDPR-dom

Ilva afgørelsen var den første sag, som kom for domstolene i Danmark. I sagen var Ilva indstillet til en bøde på 1,5 mio. kr. for manglende sletning af omkring 385.000 kunder i et gammel it-system, som Ilva ikke brugte længere. Ilva havde ikke fastsat slettefrister for systemet, og oplysninger var derfor blevet gemt længere end nødvendigt.

Retten i Aarhus afsagde i februar måned 2021 dom i sagen, hvor Ilva blev idømt en bøde på 100.000. Der var altså tale om en meget kraftig reduktion i forhold til de 1,5 mio. kr., som Datatilsynet havde vurderet, at forseelsen skulle koste.

Dommen er anket, og vi afventer landsrettens afgørelse i sagen.

DM&T bemærker, at det er vigtigt, at man gennemgår alle sine systemer og forholder sig til relevante slettefrister. Selvom der ikke var sket en kompromittering af personoplysninger, var der stadig tale om en overtrædelse, da man i forhold til GDPR-lovgivningen har pligt til at slette personoplysninger, når man ikke længere har behov herfor. Det bliver spændende at se, hvordan bøden udmåles af landsretten.

Du kan læse mere om dommen her.

Kritik af autoudfyldelse på hjemmeside

En virksomhed havde en løsning på sin hjemmeside, som bevirkede, at man ved indtastning af en allerede kendt e-mailadresse kunne få autoudfyldt resterende oplysninger, fx adresser.

Autoudfyldelsesløsningen var ikke beskyttet bag et login, så alle og enhver kunne i princippet indtaste mailadresser, som de havde kendskab til, og se om der dukkede oplysninger op. Det kunne fx ikke udelukkes, at en person med hemmelig adresse ville kunne fremsøge på denne måde.

Datatilsynet udtalte alvorlig kritik af løsningen, da den ikke opfyldte kravene om et tilstrækkeligt sikkerhedsniveau. Heller ikke ved at opnå samtykke fra brugerne, ville løsningen være gangbar, da Datatilsynet udtalte, at man ikke kan give afkald på fornøden sikkerhed ved samtykke.

DM&T bemærker, at man skal tjekke sin hjemmeside, hvis man bruger en autoudfyldelsesfunktion og sikre, at denne lever op til reglerne.

Læs hele afgørelsen her.

Cookies

Det har efterhånden været en kendt sag i lang tid, at cookies kræver et aktivt samtykke. Den gamle løsning om ”ved at klikke videre, accepterer du cookies” holder ikke!

Datatilsynet har lavet en quickguide om cookies, som du kan læse her.

De nye regler udspringer af en sag med DMI, hvor Datatilsynet udtalte kritik af DMIs cookieløsning. Den afgørelse kan du læse mere om her.

DM&T bemærker, at man bør tjekke sin cookieløsning og sikre sig, at den lever op til kravene, som er nævnt i quickguiden.

Vil du høre mere?

Ræk endeligt ud og lad os hjælpe dig videre.

Camilla Christensen
Camilla Christensen

Juridisk chef, advokat (L)

97117245

cc@dmogt.dk

camilla2310

Michael Lund-Nielsen
Michael Lund-Nielsen

Chefkonsulent, advokat

97117235

ml@dmogt.dk

michaellundnielsen1