Direktivforslag om cyber security/Krav om databehandleraftale ved inddrivelse af gæld via inkassofirma/Forbrugerombudsmandens prioriteter i 2013/Danmark har underskrevet aftale om europæisk patentdomstol

Dato 14 mar. 2013
Download PDF version PDF

 

I denne udgave af MWB Updated – IPR & Teknologi ser vi bl.a. på det nye forslag til et cyber security-direktiv fra EU, der vil medføre udvidede forpligtelser for en lang række virksomheder samt på Forbrugerombudsmandens indsatsområder i 2013.

 

Direktivforslag om cyber security

EU-kommissionen har fremlagt et direktivforslag til sikring af en høj fælles net- og informationssikkerhed (NIS). Direktivet indebærer blandt andet visse forpligtelser i relation til sikkerhedsbrud mv. Formålet med direktivet er at gøre det mere sikkert at bruge internettet, understøtte den internationale handel og skabe fælles regler for alle medlemsstater på det digitale marked.


Omfattede virksomheder

Efter de gældende regler er virksomheder - bortset fra televirksomheder - ikke forpligtede til at træffe foranstaltninger vedrørende net- og informationssikkerhedsrelateret risikostyring eller indberette net- og informationssikkerhedsrelaterede hændelser til de nationale myndigheder.

Med forslaget til direktivet er der lagt op til en udvidelse af kredsen af virksomheder, der er underlagt forpligtelser vedrørende net- og informationssikkerhed, til også at omfatte centrale internetvirksomheder, herunder store cloud-udbydere, sociale netværk, e-commerce-platforme og søgemaskiner, foruden virksomheder inden for banksektoren, fondsbørser, energileverandører, transportleverandører, sundhedsvæsenet med flere.

 

Forslagets indhold

Overordnet indeholder forslaget følgende tre elementer: (i) medlemsstaterne skal udarbejde en NIS-strategi samt etablere en kompetent NIS-myndighed, (ii) der skal skabes en samarbejdsstrategi mellem medlemsstaterne og Kommissionen for at imødegå NIS-trusler og -hændelser, og (iii) en række markedsaktører og den offentlige forvaltning pålægges forpligtelser vedrørende net- og informationssikkerhed.

For det første skal hver medlemsstat udarbejde en NIS-strategi, der indeholder definitioner af mål og foranstaltninger for at opretholde et højt niveau af net- og informationssikkerhed. Desuden udpeges en kompetent national NIS-myndighed, som skal overvåge anvendelsen af direktivet.


For det andet skal NIS-myndighederne og Kommissionen samarbejde vedrørende risici og hændelser, der påvirker net- og informationssystemer. Dette skal blandt andet ske ved at udveksle information for at imødegå NIS-trusler og -hændelser.


For det tredje medfører direktivets regler, at de omfattede virksomheder skal indføre risikostyringsmetoder og -procedurer for at forhindre og minimere risikoen for hændelser, der berører net- og informationssikkerhed, samt indberette større sikkerhedshændelser til NIS-myndigheden. Reglerne i direktivet medfører således, at de omfattede virksomheder skal kunne dokumentere sikkerheden af deres net- og informationssystemer. Herudover skal virksomhederne være klar til at underkaste sig en gennemgang/audit af deres sikkerhedspolitik og -procedurer.     

 

Medlemsstaterne skal indføre effektive sanktioner, hvis forpligtelserne ikke overholdes, hvorfor virksomhederne vil kunne ifalde ansvar, hvis bestemmelserne ikke overholdes.

 

Vores vurdering

Direktivets gennemførelse vil medføre øgede forpligtelser og omkostninger for danske virksomheder, herunder til at indføre risikostyring, for at kunne dokumentere net- og informationssikkerheden og afgive oplysninger til den danske NIS-myndighed. Såfremt direktivet vedtages af Europarådet og Europarlamentet, har Danmark 18 måneder til at implementere det.

[Forslag til Europa-Parlamentets og Rådets direktiv - COM(2013) 48 final, COD 2013/0027]

 


Krav om databehandleraftale ved inddrivelse af gæld via inkassofirma

En afgørelse fra EU domstolen har fastslået, at virksomheder, der anvender inkassofirmaer til at inddrive gæld, skal indgå en databehandleraftale.

Sagen drejede sig om et telekommunikationsselskabs overførsel af trafikdata vedrørende en brugers udestående betaling for adgang til internettet, til et inkassofirma i forbindelse med at inddrive den ubetalte regning. Brugeren klagede over denne overførsel af trafikdata, som den pågældende mente, var unødvendig for at varetage inddrivelsen.

EU-Domstolen udtalte, at databeskyttelsesdirektivet tillader overførsel af trafikdata til et inkassofirma, når inkassofirmaet alene behandler disse data efter bemyndigelse fra telekommunikationsselskabet. Herudover måtte inkassofirmaet alene behandle trafikdata, når det er nødvendigt for at inddrive fordringen. Samtidig understregede EU-Domstolen, at en sådan overførsel af personoplysninger skal ske på baggrund af en databehandleraftale, der sikrer lovlig behandling af de overførte data.

Under sagen fremhævede EU-Domstolen, at aftalen mellem den tjenesteudbyder, der overdrager sine fordringer, og erhververen heraf, skal indeholde bestemmelser til at sikre erhververens lovlige behandling af trafikdata og give tjenesteudbyderen mulighed for til enhver tid at sikre sig, at erhververen iagttager disse bestemmelser.

 

Vores vurdering

Selv om afgørelsen konkret vedrører overdragelse af trafikdata, gælder tilsvarende krav ved overførsel af andre personoplysninger. Afgørelsen bekræfter vigtigheden af, at der indgås databehandleraftaler med de virksomheder, der modtager og behandler personoplysninger på virksomhedens vegne.

[EU-Domstolens dom af 22. november 2012 i sag C-119/12]


 

Forbrugerombudsmandens prioriteter i 2013

Forbrugerombudsmanden har løftet sløret for sine indsatsområder i 2013. Forbrugerombudsmanden vil særligt have fokus på otte områder, herunder prismarkedsføring og salgsfremmende foranstaltninger, nye former for markedsføring via internettet og markedsføring af bredbåndsforbindelser.

Et af de konkrete områder, der vil blive set på i 2013, er de såkaldte tilbudssider, hvorfra forbrugere dagligt kan modtage e-mails, der indeholder ”deals” med rabatter eller tilbud på udvalgte varer og tjenesteydelser, hvilket er blevet en meget udbredt markedsføringsform.

Der vil også være fokus på, om pris- og besparelsesudsagn er reelle og retvisende, og om eventuelle forbehold og begrænsninger i tilbuddene fremgår klart og tydeligt.

Endvidere vil Forbrugerombudsmanden se nærmere på nye former for markedsføring via internettet herunder via sociale medier og apps. Navnlig Facebook er en meget anvendt kanal for de erhvervsdrivendes spredning af markedsføringsbudskaber. Forbrugerombudsmanden vil have fokus på, hvordan sociale medier anvendes til markedsføring, og om de nye markedsføringsmetoder rejser spørgsmål om overtrædelse af markedsføringsloven eller anden forbrugerbeskyttende lovgivning.

Du kan læse om Forbrugerombudsmandens indsatsområder her.


 

Danmark har underskrevet aftale om europæisk patentdomstol

Som omtalt i en tidligere udgave af MWB Updated – IPR & Teknologi har EU vedtaget en forordning, der etablerer et nyt fælles europæisk patentsystem – det såkaldte enhedspatent. Samtidig er der indgået en aftale om den europæiske patentdomstol. Aftalen er nu underskrevet af 24 ud af de 27 EU ministre, herunder af Danmark, mens Bulgarien, Polen og Spanien er eneste undtagelser.

Underskrivelsen af den internationale aftale indleder ratificeringsprocessen i EU-landene. Aftalen skal ratificeres af 13 lande, inkl. Frankrig, Tyskland og Storbritannien, for at træde i kraft. Der udestår stadig at opnå enighed om en række bestemmelser, før den fælles europæiske patentdomstol og det europæiske enhedspatent kan træde i kraft. Et af de vigtigste udestående emner er størrelsen på årsgebyrerne.

[Europa-Parlamentets og Rådets forordning, nr. 1257/2012 af 17. december 2012 og ændringer til Europa-Parlamentets og Rådets forordning, nr. 1215/2012 af 12. december 2012

 

 

Kontakt os, hvis du har spørgsmål eller brug for rådgivning.

Christoffer Galbo
cga@mwblaw.dk
+45 33 77 90 20

Jesper Reitz

jre@mwblaw.dk
+45 33 77 90 47


Henrik Syskind Pedersen
hsp@mwblaw.dk
+ 45 33 77 90 25

 

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.