Nyheder fra Datatilsynet om beskyttelse af personoplysninger

October 19, 2018

Der er i løbet af de seneste måneder kommet nyheder fra Datatilsynet, der er værd at orientere sig i som privat virksomhed.

Kravene til afsendelse af sikker-mail

Med baggrund i Datatilsynets skærpelse af praksis for kryptering af sikker mail i juni 2018, som medfører at private virksomheder fremover skal kryptere e-mails der indeholder følsomme og fortrolige oplysninger, har Datatilsynet udarbejdet en tekst, der belyser de tekniske krav til kryptering af e-mails.

I teksten beskrives to tekniske metoder der kan anvendes af virksomheden til afsendelse af krypterede e-mails. Det er virksomhedens ansvar at foretage en vurdering af, hvilke metoder, der vil være nødvendig at anvende ved afsendelsen af e-mails. Denne vurdering skal ske på baggrund af en vurdering af de risici, som afsendelsen af e-mailen medfører for de registrerede.

Et af de tekniske metoder der kan anvendes er kryptering af transportlageret. Når en e-mail afsendes, sendes indholdet i datapakker. Ved en kryptering af transportlageret, sker der en kryptering af disse pakker, så selve transporten af e-mailen gennem netværket krypteres. Modtageren af e-mailen vil ikke modtage e-mailen i en krypteret form, men selve afsendelsen af e-mailen vil ske krypteret. Denne form for kryptering er et minimumskrav ved afsendelsen af e-mails med indhold af følsomme og fortrolige oplysninger, og vil ikke altid være tilstrækkelig at anvende.

Hvis sikkerhedsrisikoen for den registrerede er større, kan end-to-end kryptering anvendes som et alternativ eller en ekstra foranstaltning til ovenstående metode. Ved anvendelse af end-to-end kryptering, krypteres selve e-mailens indhold. Her kræves at afsenderen og modtageren af e-mailen har hvert et nøglepar til henholdsvis at kryptere og dekryptere e-mailen. Modtageren skal således låse e-mailen op via en dekrypteringsnøgle. Denne metode kræver flere tekniske foranstaltninger, men skaber mere sikkerhed end blot at kryptere transportlageret. Et af de mere kendte end-to-end krypteringer er anvendelsen af Nem-Id.

Ved vurderingen af hvilke metoder der er nødvendige i din virksomhed, er det vigtigt at vurdere hvilke personoplysninger der afsendes eller modtages via e-mail, om virksomhedens tekniske foranstaltninger muliggør afsendelsen af sikker-mail, og yderligere om virksomhedens medarbejdere er vejledt korrekt i afsendelsen af sikker mail.

Du kan læse mere om de tekniske foranstaltninger til sikker-mail på følgende link fra Datatilsynets hjemmeside: Transmission af personoplysninger via e-mail

Det nye skærpede krav til private virksomheder vil håndhæves fra januar 2019. Du kan læse mere om dette krav i vores tidligere nyhedsbrev: Krav om sikker mail til private virksomheder

Datatilsynet har offentliggjort spørgeskemaer, der anvendes til tilsyn

Da flere virksomheder har søgt aktindsigt i de spørgsmål, Datatilsynet har stillet ved foretagne tilsyn, har Datatilsynet valgt at offentliggøre de spørgeskemaer, der for nyligt er blevet anvendt. Dette kan give din virksomhed en indikation på, hvilke spørgsmål man skal være forberedt på at blive stillet, hvis Datatilsynet banker på døren og vil foretage et tilsyn.

Du kan finde spørgeskemaerne på følgende link: Hvad spørger Datatilsynet om på et tilsyn?

Datatilsynet gør dog opmærksom på, at der godt kan spørges ind til øvrige emner, og at spørgeskemaerne kan ændres fra år til år.

Ny afgørelse fra Datatilsynet om sletning af modelbilleder

Der er d. 10. september 2018 truffet en afgørelse fra Datatilsynet, hvor det er blevet vurderet, hvorvidt en fotograf fortsat kunne anvende modelbilleder, selvom modellen havde anmodet om at få billederne slettet.

Det blev i afgørelsen vurderet, om modelaftalen havde karakter af en kontrakt eller et samtykke i persondataretlig forstand. Den væsentlige forskel, om anvendelsen af billederne er sket på baggrund af en kontrakt eller et samtykke, er at et samtykke ifølge persondataforordningen kan trækkes tilbage, således at modellen ville kunne kræve billederne slettet igen.

Datatilsynet vurderede, at behandlingen af billederne skete på baggrund af en kontrakt indgået mellem fotografen og modellen, og fotografen fandtes derfor ikke forpligtet til at slette billederne efter persondataforordningens regler.

Fotografen kunne derfor lovligt anvende billederne, og modellen havde ikke krav på at få slettet billederne ved at trække sit samtykke tilbage. Datatilsynet bemærker også i afgørelsen, at de ikke kan vurdere aftalens gyldighed, men at denne skal foretages af domstolene.

Afgørelsen er vigtig, fordi den belyser, at det er afgørende om billeder eller videoer anvendes på baggrund af en kontrakt eller et afgivet samtykke. Hvis din virksomhed indgår aftaler om brug af billeder eller videoer af kunder eller medarbejdere, er det vigtigt at vurdere, om der er tale om en aftale eller et samtykke.

Du kan læse afgørelsen på følgende link: Klage over manglende sletning

Har du spørgsmål til, om din virksomhed har foretaget de nødvendige foranstaltninger for at overholde forpligtigelserne i persondataforordningen, er du mere end velkommen til at kontakte Lexsos Advokater for en uforpligtende samtale.