Artikel 29-gruppens cookie-vejledning/Databeskyttelsesforordningen - status/Whistleblower-ordninger for finansielle virksomheder

Dato 2 dec. 2013
Download PDF version PDF

 

MWBE UPDATED —PERSONDATARET

 

Artikel 29-gruppens cookie-vejledning

Erhvervsstyrelsen har i samarbejde med Artikel 29-gruppen udarbejdet en vejledning for en EU-konform fortolkning af cookie-reglernes samtykkekrav.
 
Artikel 29-gruppens vejledning lister visse minimumskrav for overholdelse af samtykkekravet ved brug af cookies:

 

1. Specifik og fyldestgørende information om brugen af cookies

  • Der skal på den første del af hjemmesiden, som brugeren møder, gives tydelig information (f.eks en bjælke eller et pop-up vindue) om, (i) at hjemmesiden anvender cookies, (ii) det eller de overordnede formål hermed, og (iii) om eventuelle cookies er lagt af tredjeparter. Mere specifik information kan med fordel gives via et link.
  • Der skal gives information om (i) hvilke data der behandles, (ii) hvorfor de behandles, og (iii) hvor længe data opbevares, og (iv) hvem der har adgang til disse.
  • Der skal gives information om, hvorvidt brugeren skal acceptere alle cookies, nogle eller ingen.
  • Endelig skal der gives oplysninger om muligheden for tilbagekaldelse af samtykke

2. Samtykke skal være givet, før cookies placeres hos brugeren, og før der sker behandling af data eller logning af brugerens aktivitet

  • Typisk kan der således ikke placere cookies på det første skærmbillede på hjemmesiden.
  • Der må ikke ske nogen form for logning af aktivitet, inden der er afgivet samtykke.

3. Samtykket skal gives aktivt

  • Brugeren skal acceptere brugen af cookies ved opt-in, og en hjemmeside kan således ikke placere cookies, medmindre brugeren aktivt tilmelder sig anvendelsen af cookies.
  • En aktiv handling kan for eksempel være brugerens afkrydsning af et ”ja tak” til cookies, efter at brugeren har modtaget fyldestgørende information om anvendelsen af cookies. Det kan også gives i kraft af, at brugeren - efter at have modtage fyldestgørende information om anvendelsen af cookies – vælger at fortsætte med at benytte hjemmesiden. Cookies kan således placeres og læses, når brugeren klikker sig væk fra det første skærmbillede på hjemmesiden

4. Brugeren skal frivilligt give sit samtykke, og der skal være tale om et reelt valg

  • Der bør være mulighed for ikke at acceptere at afgive samtykke til anvendelsen af alle cookies, men blot til nogle af dem. En hjemmeside, der sælger varer, bør således ikke betinge et køb af et afgivet samtykke til brugen af alle cookies.
  • Efter den danske vejledning til cookie-bekendtgørelsen gælder der ikke noget krav om, at en hjemmeside skal kunne tilgås eller fungere uden cookies, og danske virksomheder kan vælge at afskære bru­gere, som ikke vil acceptere brugen af (alle) cookies.

Vores vurdering

Artikel 29-gruppens vejledning om cookiereglernes samtykkekrav er generelt i overensstemmelse med den danske vejledning til cookie-bekendtgørelsen vedrørende opfyldelse af samtykkekravet. Det bemærkes, at artikel 29-gruppens vejledning alene er udtryk for en anbefaling.
 
[Læs artikel 29-gruppens vejledning - Working Document 02/2013 providing guidance on obtaining consent for cookies, adopted on 2 October 2013 på Artikel-29-gruppens hjemmeside. Læs den danske cookievejledning på Erhvervsstyrelsens hjemmeside]

 

Databeskyttelsesforordningen - status

Europa-Parlamentets udvalg for ”Borgernes Rettigheder og Retlige og Indre anliggender” har stemt for samtlige ændringer til forslaget til den nye forordning om databeskyttelse.
Det oprindelige udkast til forordning blev offentliggjort den 25. januar 2012 og blev i maj måned i år ændret på en lang række områder. Næste skridt er, at parlamentet og medlemslandene drøfter det foreliggende forslag til forordningen.
 
Det reviderede forslag indeholder blandt andet følgende nyskabelser:

  • Data controller (”DC”) og data processor (”DP”) forpligtes til at udpege en data protection officer (”DPO), såfremt DC eller DP, på årsbasis, behandler data for mere end 5.000 datasubjekter, eller såfremt hovedparten af aktiviteten relaterer sig til sensitive data eller ansættelsesdata håndteret i større datasystemer.
  • 24 timers-reglen for rapportering af sikkerhedsbrud til den relevante myndighed er blevet fjernet og er blevet ændret til ”uden ugrundet ophold”.
  • Det maksimale niveau for bøder fastsættes til det højeste beløb af 5 % af en virksomheds verdensomspændende omsætning eller EUR 100 millioner.
  • Der indføres et ”European Data Protection Seal” (”EDPS”), som er et certificeringsprogram, der kan benyttes i forbindelse med overførsler til tredjelande.
  • Udvidelse af forordningens anvendelsesområde, således at den gælder for DC’ere og DP’ere etableret uden for EU, men hvor databehandlingen relaterer sig til overvågning, udbud af varer eller tjenesteydelser til datasubjekter inden for EU.

Det forventes, at forslaget sendes til afstemning i 2015, hvorfor forordningen ikke vil træde i kraft før i 2017.
 
 [Læs mere
her.]

 

Whistleblower-ordninger for finansielle virksomheder

Som følge af krav i den finansielle lovgivning, se hertil vores tidligere nyhedsbrev krav om whistleblower-ordningen i finansielle virksomheder, skal finansielle virksomheder ansøge om tilladelse til behandling af oplysninger om private forhold. Fristen er blevet ændret fra den 8. november til den 15. januar 2014.
Datatilsynet har for at imødekomme den korte deadline lavet en særlig ansøgningsprocedure, som findes på datatilsynets hjemmeside. Såfremt virksomheden allerede har tilladelse til behandling af personfølsomme oplysninger, skal der alene indgives en ændringsanmeldelse, der er tilgængelig via samme link.
 
For at virksomhederne kan overholde de korte deadlines, er blandt andet databehandlingsprocedurerne forhåndsindskrevet i dokumenterne.
 
Ud over selve ansøgningen kræves det, at virksomheden udarbejder tekniske og juridiske politikker vedrørende whistleblower-hotlinen.
 
Vi har stor erfaring med whistleblower-ordninger og bistår gerne hermed.

 

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at

indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående.