Etikportalens offentliggørelse af afgørelser

Dato 18 apr. 2013
Download PDF version PDF

 

Velkommen til MWBe Updated - Persondataret

 

Velkommen til MWBe Updated - Persondataret, vores nyhedsbrev med nyt inden for persondataret.

Artikel 29-gruppen har udtalt sig om apps på smartphones

Artikel 29-gruppen har offentliggjort sine anbefalinger vedrørende apps på smartphones, som adresserer de persondataretlige problemstillinger, der er i forbindelse med udvikling og brug af disse apps.

Den stigende opmærksomhed på apps skyldes, at brugere af smartphones og tablets typisk gemmer en betydelig mængde af personlige data (f.eks. bankoplysninger, fotos, videoer) på deres enheder, og disse apps, som er installeret på enhederne, kan få adgang til de personlige data uden brugerens samtykke. Artikel 29-gruppen har udtalt, at et enkelt klik på installationsknappen til download og installation af en app i sig selv ikke udgør et tilstrækkeligt samtykke til behandling af brugerens persondata.

 

Artikel 29-gruppen påpeger, at et samtykket skal være i) frivilligt (brugeren skal kunne sige nej), ii) specifikt (brugeren skal oplyses om, hvad der specifikt gives samtykke til) og iii) informeret (det skal være klart for brugeren, at der afgives samtykke). Dette kan både være et problem i forhold til:

  1. Datasikkerheden, og
  2. Principperne om, at indsamling af data kun må ske til specifikke formål, og at der højst må indsamles den mængde data, som er nødvendig for opfyldelse af formålet

I udtalelsen anbefaler Artikel 29-gruppen blandt andet, at udviklere af apps bør skabe metoder, hvorpå brugere har bedre muligheder for at tilpasse perioden, hvor deres personoplysninger bliver opbevaret og bedre muligheder for at finde ud, af hvilke måder de forskellige apps indsamler og bruger de indsamlede data.

 

Vores vurdering

Antallet og brugen af apps er steget markant inden for de sidste år. Imidlertid har der ikke før været fokus på overholdelse af reglerne om behandling og indsamling af persondata. Det anbefales derfor, at virksomheder, som udvikler eller anvender apps, sætter sig grundigt ind i de persondataretlige problemstillinger, som udbud og anvendelse af apps kan medføre. Særligt kunder, der får udviklet apps, bør stille persondataretlige krav til indretningen af apps.

[Læs Artikel 29-gruppens anbefalinger her.]

 

Etikportalens offentliggørelse af afgørelser

Datatilsynet har afgjort, at Etikportalen.dk ikke må operere med en længere offentliggørelsesperiode end den, som den kompetente myndighed har valgt.

Etikportalen.dk havde kopieret kendelser fra Advokatnævnets hjemmeside vedrørende navngivne advokater og lagt dem ud på Etikportalen.dk. Advokatsamfundet klagede i juni 2012 over Etikportalen.dk til Datatilsynet.

Formålet med hjemmesiden er at give brugerne en let og overskuelig adgang til informationer om forskellige brancher, i forbindelse med valg af professionel rådgivning. På www.etikportalen.dk bliver der bl.a. offentliggjort kontaktoplysninger til den enkelte virksomhed, advokater, revisorer, banker, samt nævnsafgørelser i adfærds- og honorarklagesager. Der behandles derved oplysninger om strafbare forhold og andre rent private forhold.

Datatilsynet fandt, at hensynet til informations- og ytringsfriheden førte til, at Etikportalen.dk kunne få tilladelse til at omtale allerede lovligt offentliggjorte afgørelser i klage- og tilsynssager. Imidlertid fandt Datatilsynet, for så vidt angår offentliggørelsesperioden, at der på de respektive områder allerede var  foretaget en afvejning af, i hvilket omfang sagerne skulle være tilgængelige i forhold til samfundets interesse heri. Etikportalen.dk kan derfor ikke have oplysningerne om en afgørelse fra Advokatnævnet liggende på hjemmesiden i længere tid, end den er offentlig tilgængelig på Advokatnævnets hjemmeside.

 

Vores vurdering

Afgørelsen viser, at selvom oplysninger måtte være blevet offentliggjort, gælder Persondatalovens regler fortsat for behandlingen.

[Læs mere på Advokatsamfundets hjemmeside, og på Etikportalen.]


Kommunes anvendelse af cloud computing

Den 1. januar 2013 trådte en ændring af Persondataloven i kraft, hvilket gør det lettere for det offentlige at benytte cloud-løsninger. Nu behøver de offentlige myndigheder ikke længere Datatilsynets tilladelse til at lægge personfølsomme data i ”skyen”, hvis der benyttes EU-godkendte standardkontrakter.

Cloud computing indebærer, at dokumenter, programmer og services anvendes og gemmes på internettet/servere ”i skyen”, i stedet for at dokumenter, software og hardware gemmes og installeres på privates og virksomheders computere/servere.

Der er imidlertid ulemper ved at anvende cloud computing. For det første skal myndighederne være opmærksomme på datasikkerheden, idet de modtagne data ikke længere vil ligge på en lokal server, men i ”skyen”. For det andet skal kommunen som dataansvarlig myndighed sikre, at behandlingen af personoplysninger tilrettelægges således, at Persondataloven og sikkerhedsbekendtgørelsen iagttages. Svendborg Kommune anvender som den første danske kommune nu cloud computing, hvilket forventes at medføre en årlig besparelse på 1 million kr.

 

Lov nr. 1245 af 18. december 2012.]

 

”Facerape” er en forbrydelse

To teenagedrenge har for nylig fået bøde for at ”Facerape” en piges Facebook-profil.

”Facerape” anvendes som betegnelse for, at andre end ejeren af en Facebook-profil ændrer ved profilen. To 16-årige drenge skaffede sig adgang til en piges Facebook-profil. Én af drengene havde tidligere været kæreste med pigen og var bekendt med hendes kode. Ekskæresten havde sammen med en ven logget ind på pigens profil og kigget på den private del af pigens profil. Vennen havde efterfølgende logget på profilen igen og offentliggjort private beskeder på hendes ”væg”, samt ændret hendes profilbillede. Ekskæresten blev straffet med en bøde på kr. 2.000 og vennen med en bøde på kr. 4.000.

 

Vores vurdering

Sagen understreger, at strafferetten også gælder på de sociale medier. Dette gælder ligeledes for profiler på LinkedIn, Twitter mv. Vi anbefaler, at brugere af sociale medier er opmærksomme på, hvilken aktivitet der udøves, uanset om det er på deres egen eller andres profiler. Brugere skal være opmærksomme på, at det er i strid med Straffeloven og Persondataloven at offentliggøre eller videresende billeder eller oplysninger om en andens rent private forhold.

[Læs Retten i Helsingørs pressemeddelelse her.]

Revideret vejledning til Cookiebekendtgørelsen

Erhvervsstyrelsen har offentliggjort en længe ventet opdateret vejledning til Cookiebekendtgørelsen. Vejledningen er meget konkret og indeholder en række præciseringer, flere praktiske eksempler på informations- og samtykketekster og en teknisk guide til virksomheder og myndigheder. 
 

Kort om Cookiebekendtgørelsen og cookies

En cookie er en passiv datafil, der lagres eller tilgås i brugerens terminaludstyr, såsom computere og andre mobile enheder, uden at interagere eller manipulere med udstyr eller oplysninger. Tjenesteudbydere eller andre, der lagrer eller tilgår cookies, er i stand til at identificere brugere på tværs af brugernes individuelle besøg på en tjeneste og dermed samle viden om brugernes adfærd og præferencer. Brugen af cookies har en række forskellige formål, eksempelvis statistik, udvikling af mere brugervenlige tjenester, personalisering, målrettet markedsføring mv., og cookies anvendes i dag af stort set alle hjemmesider.


Reglerne i Cookiebekendtgørelsen gælder for alle, der lagrer eller opnår adgang til oplysninger i brugerens terminaludstyr. Det er således den, der har kontrol over indholdet på hjemmesiden (dvs. ejeren af hjemmesiden), der har ansvaret for indhentelse af samtykke til lagring af cookies, herunder for tredjepartscookies. Du kan læse mere om cookiebekendtgørelsen i vores tidligere artikel her.


Informations- og samtykkekravet

Et centralt element i reglerne er kravet om indhentelse af et oplyst samtykke hos brugeren af en hjemmeside forud for placeringen af cookies på brugerens terminaludstyr. Andre EU-lande, herunder England, fortolker de bagvedliggende EU-regler sådan, at der godt kan lagres cookies, inden der er indhentet samtykke. Erhvervsstyrelsen har oplyst, at de søger afklaring heraf hos EU-Kommissionen og ikke håndhæver kravet om forudgående samtykke, førend denne afklaring foreligger.

Informationskravet medfører, at brugeren skal gives information om brugen af cookies, der sætter brugeren i stand til at træffe reelle oplyste valg vedrørende, om brugeren vil give samtykke til, at der placeres cookies på brugerens terminaludstyr. Denne information kan lagdeles, således at brugeren får de væsentligste informationer med det samme første gang, brugeren tilgår en hjemmeside, mens der kan linkes til mere detaljerede informationer på en underside, f.eks. i en cookiepolitik. Der skal let tilgængeligt gives oplysninger om, hvilke typer cookies der benyttes, og til hvilke formål, samt om der også placeres tredjepartscookies.

Kravet om samtykke medfører, at der skal kunne identificeres en aktiv handling fra brugeren. Brugeren behøver ikke nødvendigvis klikke af i en boks eller lignende, men kan klikke sig videre på siden. Det afgørende er, at brugeren bliver oplyst om og har en forståelse af, at denne handling er en accept af, at der lagres cookies hos brugeren. En bruger skal have let adgang til at trække sit samtykke tilbage og have information om, hvordan samtykket tilbagekaldes.

I vejledningen findes eksempler på, hvordan samtykke ved aktiv brug kan udformes. Det er dog vigtigt at være opmærksom på, at vejledningen alene udstikker retningslinjer for anvendelsen af cookies. Det konkrete krav til information og samtykke afhænger af typen af cookien, dennes funktion, samt om cookien placeres af hjemmesiden selv eller af tredjepart.


Undtagelser fra samtykkekravet

Cookiebekendtgørelsen indeholder visse undtagelser fra kravet om samtykke. Eksempelvis er samtykke ikke nødvendigt, hvis brugen af cookies er en teknisk forudsætning for at kunne levere en tjeneste i overensstemmelse med brugerens anmodning. Eksempelvis vil en elektronisk indkøbskurv i en webshop ofte ikke kræve information eller samtykke, da brugen af cookies vil være påkrævet for at undgå, at indkøbskurven er tom hver gang, der skiftes side eller klikkes videre.

 

Vores vurdering

Det er vores vurdering, at den nye cookievejledning gør det lettere for hjemmesideejere og virksomheder at overholde reglerne om cookies. Det er nu præciseret, hvordan reglerne skal forstås, og vejledningen indeholder en teknisk guide til, hvordan cookiereglerne efterleves i praksis.

 

Styrelsen har oplyst, at den vil målrette sit tilsyn med reglerne, i forhold til hvilke typer cookies der anvendes og deres effekt, og i første omgang have fokus på virksomheder og myndigheder, der slet ikke har gjort en indsats for at overholde cookiereglerne eller kun har gjort meget lidt. Det anbefales derfor, at virksomheder tager et nærmere kig på deres anvendelse af cookies og opfyldelse af cookie-reglerne for at undgå sanktioner.

[Erhvervsstyrelsens vejledning kan findes her.]


Kontakt os, hvis du har spørgsmål eller brug for rådgivning