.legal blog

GDPR i 2023: Fokusområder, forventninger og forudsigelser

Skrevet af Johannes Eyolf Aagaard | 8 februar, 2023

Så kom det omsider: Et nyt år med en vigtig fødselsdag. Lige om lidt (d. 25. maj) er det nemlig fem år siden, at GDPR fik virkning i Danmark. Man kan vist roligt sige, at områder som datasikkerhed og privatlivsbeskyttelse ikke er blevet mindre vigtige i løbet af det halve årti, hvor GDPR har været omdrejningspunktet for privacy og compliance i Danmark og EU.

Der er intet, der tyder på, at 2023 bliver et år med stilstand og “intet nyt under solen” for fødselarens vedkommende. Snarere tværtimod. Ny lovgivning og vigtige afgørelser og tendenser i samfundet peger i én retning – nemlig at GDPR er mere aktuel og relevant end nogensinde før.

Vi har derfor inviteret til et digitalt nytårstaffel med GDPR på menuen, herunder fokusområder, forventninger og forudsigelser for 2023. I samarbejde med Emil Marburger, senioradvokat fra Bech-Bruun med speciale i compliance og databeskyttelsesret, har vi samlet seks temaer, som I kan skrive jer bag øret i det nye år.

Fælles for de temaer, som vi har udvalgt, er, at de beskæftiger sig med emner, hvor det handler om at bygge oven på et eksisterende setup. Med andre ord er nedenstående fokusområder og forudsigelser primært for dig, der sidder i en organisation, som har styr på det grundlæggende compliance-arbejde. Er dette ikke tilfældet, er der andre mere fundamentale arbejdsopgaver, som ligger forud for nedenstående.

 

God fornøjelse.

 

 

1)  Ny Privacy Shield-aftale og Schrems III

Siger Schrems II dig noget? Det bør måske få en klokke til at ringe. Tilbage i 2020 lykkedes det nemlig privatlivsaktivisten Maximilian Schrems at få underkendt den såkaldte Privacy Shield-aftale og de gamle SCC’er ved EU-Domstolen og dermed også hele det juridiske grundlag for overførsler af personoplysninger mellem EU og USA samt øvrige tredjelande.

Afgørelsen har derfor haft enorm betydning for, hvordan og på hvilket grundlag det er muligt at overføre personoplysninger til USA, og den har stillet større krav til virksomheder og organisationer, som ønsker at benytte amerikanske databehandlere.

Lige siden har både Washington og Bruxelles arbejdet på en aftale om nye rammer, som er i overensstemmelse med GDPR og adresserer de udfordringer, der fik EU-Domstolen til at underkende Privacy Shield. Og det kan meget vel blive i 2023, at en ny aftale bliver en realitet.

I slutningen af 2022 udstedte den amerikanske præsident Joe Biden en Executive Order vedr. det nye Trans-Atlantic Data Privacy Framework. Også politikerne i EU er nu i gang med det forberedende arbejde ift. at få aftalen implementeret, så der igen er et overordnet grundlag for at overføre personoplysninger mellem EU og USA.

Denne proces har en frist på seks måneder, så det er sandsynligt, at den nye aftale i en eller anden udstrækning bliver vedtaget og ratificeret i løbet af foråret 2023.

Som baggrundsinformation var et af de store problemer i Privacy Shield-aftalen den manglende myndighedsadgang og domstolsprøvelse i USA samt de vide beføjelser, som amerikanske myndigheder (fx NSA) havde ift. at tilgå og bruge personoplysninger. Dette er således nogle af de ting, der er ved at blive justeret og skruet på ifm. den nye aftale.

Om den i Maximilian Schrems optik er tilpasset tilstrækkeligt, er straks sværere at spå om. Det vil dog være oplagt at gætte på, at han er klar til at udfordre den nye aftale ved domstolene og dermed igangsætte den tredje udgave af Schrems-sagerne.

 

2)  Arbejdet med Digital Services Act (DSA) og Digital Markets Act (DMA)

I 2022 vedtog man i EU to forordninger: Forordning om Digitale Tjenester (Digital Services Act/DSA) og Forordning om Digitale Markeder (Digital Markets Act/DMA). Både DSA’en og DMA’en kan have betydning for dit compliance-arbejde, såfremt I er omfattet. I første omgang er det derfor relevant at vurdere, om dine aktiviteter er omfattet af de nye forordninger eller ej, og i så fald hvordan I skal indrette jeres nuværende setup.

Hvis man er omfattet, er det helt korte formål i DSA at adressere og allokere pligten til at moderere, slette og/eller berigtige onlineindhold. Heriblandt bliver der indført skærpede krav til udbydere af onlineplatforme, herunder en række regler om markedsføring mod børn og forbud mod profilering på baggrund af følsomme oplysninger. Idet at DSA og DMA begge har karakter af ”særlove”, har de forrang over GDPR.

Mens DSA har et bredere anvendelsesområde, er DMA primært rettet mod big tech, herunder større digitale markedspladser og sociale platforme, hvor det overordnede formål er at sikre fair konkurrence og flere valgmuligheder for brugerne. Ikke desto mindre er det relevant at kortlægge, om og i hvilket omfang din organisation er omfattet af de nye bestemmelser, så I kan tilpasse jeres nuværende compliance-arbejde herefter.

 

3)  Forberedelse til NIS2-direktivet

NIS2-direktivet blev vedtaget i december sidste år, og medlemslandene har nu indtil efteråret 2024 at få direktivets bestemmelser implementeret. Allerede nu er det dog relevant at undersøge, om og hvordan I måske er omfattet.

Det nye direktiv er i første omgang en udvidelse af scopet og kravene i forgængeren, NIS1, hvorfor nye sektorer og brancher skal forholde sig til de vedtagne sikkerheds- og procedurekrav, herunder fx fjernvarmeproducenter, affaldshåndtering og fødevareproducenter. Der skelnes dog mellem væsentlige enheder og vigtige enheder, så I skal have øje for, hvilken gruppe I evt. tilhører.

Hvor GDPR koncentrerer sig om personoplysninger, er NIS2 bredere og har et mere overordnet fokus på sikkerhed for sektorer, der er så samfundskritiske, at der bør stilles udvidede krav til disses sikkerhedsforanstaltninger. Alligevel er måden, hvorpå I tænker compliance i NIS2, ikke langt fra den, som man finder i GDPR.

Hvis din organisation derfor er omfattet, bør I – hvis ikke I allerede er i gang – påbegynde arbejdet med modenhedsvurderinger, analysere disse modenhedvurderinger, sikre ledelses- og organisationsforankring, foretage løbende risikovurdering, implementere beredskab, udarbejde skriftlig dokumentation herfor mv. Resultatet bør udmønte sig i en plan og i beredskab for implementering af de “nødvendige og mitigerende foranstaltninger”, der skal søge at nedbringe risikoen, og som kan efterleves i praksis.

Et de store fokusområder i NIS2 er forventningerne til beredskab og indrapporteringskravet for sikkerhedshændelser, hvilket er underlagt en kortere frist på 24 timer i NIS2 (mod 72 timer i GDPR), samt at dette skal ske til Center for Cybersikkerhed. Herunder kan der også ske eskalering til EU-agenturet for cybersikkerhed, ENISA, for at sikre beredskab på tværs af landegrænser. Det er således vigtigt, at man har helt styr på sit interne beredskab.

 

4)  Flere afgørelser i sigte

Der var ikke sparet på de interessante afgørelser i 2022. I slutningen af året afgjorde det tyske datatilsyn, at Microsoft Office 365 ikke kunne anvendes i overensstemmelse med GDPR i offentlige myndigheder/institutioner, ligesom at et par kommuner herhjemme fik et påbud om at suspendere brugen af Google Workspace i undervisningen.

I 2023 er der også lagt op til nogle ret interessante domme og afgørelser. Blandt andet afventer vi domsudskriftet i sagen om TAXA 4x35, der ved domstolene har fået en markant bødenedsættelse for deres brud på GDPR, samtidig med at Anklagemyndigheden allerede har meldt ud, at sagen bliver anket. Dommen kommer i kølvandet på en lignende sag med IDdesign, som også fik nedsat sin bøde væsentligt.

Ligeledes afventer vi fortsat sagen, hvor Danske Bank er indstillet til en bøde på 10 mio. kr. Fælles for alle sager er, at de centrerer sig om sletning.

Fra udlandet skal det nævnes, at det irske datatilsyn har markeret sig med en markant afgørelse mod Meta, som indeholdt både en bøde på 2,9 milliarder kr. og et påbud om tilpasning af retsgrundlaget for behandlingen vedrørende adfærdsbaseret markedsføring. Det kan I læse mere om her. Afgørelsen kan have stor betydning for alle virksomheder, der arbejder med denne form for markedsføring.

 

5)  Datatilsynets fokusområder i 2023 og nye vejledninger

Datatilsynet offentliggjorde d. 2. februar sine fokusområder for det nye år. Dem kan du læse mere om ved at klikke her. Man vil i 2023 særligt fokusere på følgende temaer:

  • Beskyttelse af børn

  • Databeskyttelsesrådgivere – udpegning og rolle

  • Fremstillingsvirksomheder med fokus på specialfremstillede produkter med levering direkte til borgerne

  • Folketinget og Folketingets institutioner

  • Behandling af personoplysninger om hjemmesidebesøgende

  • TV-overvågning

  • Tilladelser til at videregive oplysninger fra forskning

  • Behandling af personoplysninger i fælleseuropæiske informationssystemer

  • Retshåndhævelsesloven.

Flere af ovenstående punkter hænger sammen med og ligger i forlængelse af de generelle temaer og vinde, der blæser ift. compliance lige nu, herunder blandt andet DSA’s bestemmelser om markedsføring mod børn.

Vejledningen fra EDBP om behandling af personoplysninger ifm. kliniske forsøg, som skulle have været færdig i efteråret 2021, kommer forhåbentligt i år og taler ind i emnet om tilladelser til at videregive oplysninger fra forskning. For et pharma-land som Danmark er det særligt relevant, da det blandt andet forventes, at spørgsmål vedr. allokering af ansvar vil blive standardiseret på tværs af EU.

Et særligt interessant punkt er, at man i 2023 vil have fokus på databeskyttelsesrådgivere, herunder disses udpegning og roller i organisationen. Dette indebærer, at I som organisation skal kunne dokumentere, hvordan og på hvilket grundlag I har udvalgt jeres databeskyttelsesrådgiver samt dennes mandat og beføjelser. I skal også kunne redegøre for, hvilke arbejdsopgaver rådgiveren er ansvarlig for, og hvordan dennes anbefalinger implementeres og efterleves. Det skal dog nævnes, at EDPB på den europæiske scene har annonceret, at der kommer en vejledning om DPO’ens rolle, hvorfor denne i høj grad bliver fortolkningsbidrag til ovenstående.

Ligeledes kan det nævnes, at Datatilsynet vil komme med en ny vejledning om markedsføring og behandling af personoplysninger samt en opdatering af den eksisterende HR-vejledning.

 

6)  Et travlt lovgivningsapparat

Der er ingen tvivl om, at lovgivningsapparatet i EU havde travlt i 2022. Intet tyder dog på, at der skrues ned for hastigheden her i det nye år. En lang række nye forordninger og direktiver er lige nu på tegnebrættet, herunder fx Data Forordningen (Data Act), Forordningen om  Harmoniserede Regler for Kunstig Intelligens (Artificial Intelligence Act), e-Privacy Forordningen, Forordning om Horisontale Cybersikkerhedskrav til Produkter med Digitale Elementer (Cybersecurity Resilience Act) mfl.

Mange af dem er stadig blot forslag, hvorfor det endelige indhold og den endelige tidsplan ikke er kendt endnu. Ikke desto mindre er det et tegn på, at man fra EU’s lovgivende instanser har et stort fokus på og interesse for området, og at der i hvert fald ikke bliver mindre at lave de næste år for dig, der arbejder med compliance. Tværtimod.

 

Opsummering og take-aways

Som du nok kan fornemme, er der umiddelbart nok at give sig i kast med i det nye år. Ud over de temaer, som vi allerede har gennemgået, er der en række andre vigtige overskrifter, som du også kan notere dig på agendaen for 2023. De udspringer alle fra den teknologiske udvikling og de ting, der sker på den politiske og sikkerhedsmæssige scene lige nu. Dem har vi valgt at samle og kort beskrive i dette afsnit.

Tredjelandsoverførsler
Generelt er tredjelandsoverførsler et emne, som i høj grad er drevet af den teknologiske udvikling, og siden afgørelsen om Privacy Shield i Schrems II er det et område, som – for så vidt angår overførsler til særligt USA – er forbundet med et ikke-ubetydeligt compliance-arbejde.

En af de ting, der er vigtige at forholde sig til, er de såkaldte Transfer Impact Assessments (TIA). Har I som dataansvarlige udarbejdet en TIA? Hvilke overvejelser og analyser er der gennemført? Hvad er konklusionen? Og hvorfor?

Kontrol og tilsyn med databehandlere
Et andet punkt, som har været med på Datatilsynets agenda de sidste par år, men som I fortsat bør overveje at skrive jer bag øret ift. GDPR og compliance i 2023, er arbejdet med kontrol og tilsyn af databehandlere. Altså arbejdet med at sikre at de databehandlere, som I benytter, rent faktisk lever op til deres forpligtelser, jf. jeres databehandleraftale.

Det er din pligt som dataansvarlig løbende at sikre, at dine databehandlere iagttager de nødvendige sikkerhedsforanstaltninger, og at de lever op til både jeres databehandleraftale og GDPR i det hele taget.

Cookies
Cookies og brugen heraf fortsætter med at være mere og mere aktuelt i compliance-sammenhænge. De seneste par år har både EDPB og EU-Domstolen haft fokus på cookies og gyldige samtykker i forbindelse med lagring af cookies, herunder eksempelvis et forbud mod “cookie walls” til indsamling af samtykker.

Cookies er generelt et område, hvor den teknologiske udvikling vokser enormt hurtigt med vinde, der blæser i hver deres retning – fx med udfasning af tredjepartscookies, muligheder for server-side tracking, snitflade til hvornår der behandles personoplysninger mv. Det bør derfor også være et område, som I har fokus på i 2023, da det også eksplicit fremgår som et af Datatilsynets fokusområder for det kommende år.

Sikkerhed og sikkerhedsbrud
Er der et emne, som nok er blevet mere relevant end nogensinde før, når vi snakker compliance og privacy, er det cybersikkerhed. Det generelle trusselsniveau har måske aldrig været højere end nu, og der er i høj grad gang i den regulatoriske udvikling på området. Det stiller derfor krav til organisationer og den måde, I sikrer jeres personoplysninger på.

Har I derfor implementeret tilstrækkelige sikkerhedsforanstaltninger? Har I udarbejdet risikovurderinger/DPIA’er? Har I testet jeres procedurer ved datalæk og -brud? Hvordan håndterer I angreb og forsøg på at kompromittere jeres it-infrastruktur? Har I sikret awareness i organisationen?

Generelt bør cyber- og datasikkerhed stå meget højt på listen over prioriteter for 2023, særligt hvis I arbejder i en “udsat” sektor og/eller behandler særligt følsomme personoplysninger. Udsigterne til et mere stabilt politisk klima er ikke lige rundt om hjørnet, og det er derfor rettidig omhu at gå med livrem og seler, før skaden er sket.

 

Hvad så nu?

Spørgsmålet er så bare, hvordan du og din organisation skal forholde jer til ovenstående.

Det kedelige og lidt ukonkrete svar er, at det kommer an på, hvem I er. Al compliance-arbejde er nemlig svært at sætte i en formel, og det beror ekstremt meget på jeres organisations modenhed, risikoprofil og struktur, ligesom at der også er forskelle, afhængigt af om I er en offentlig myndighed eller en privat virksomhed. For I skal selvfølgelig ikke igangsætte en fuld NIS2- eller DSA-implementering, hvis I ikke er omfattet.

Det er dog altid et krav, at I har styr på jeres interne organisation, hvilket betyder, at 2023 og de mange nye forpligtelser og retsudviklingen er en oplagt mulighed for enten at genbesøge og opdatere jeres eksisterende GDPR-dokumentation eller udarbejde helt ny dokumentation.

Det er i den forbindelse vores erfaring, at de fleste danske organisationer har et solidt skriftligt grundlag på områder som privatlivspolitikker, art. 30-fortegnelser, interne procedurebeskrivelser og lign., men at disse ofte ikke bliver opdateret løbende.

Ligeledes har områder som auditering af databehandlere, udarbejdelse af risikovurderinger, “årshjul” for løbende compliance-initiativer og allokering mv. været nedprioriteret eller på anden måde sat på hold.

Med fare for at gentage os selv bør 2023 være året, hvor I tager hul på næste fase af jeres compliance-arbejde og sætter fokus på operationel implementering.

Compliance er ikke et projekt, der kan parkeres, men en kontinuerlig rejse, der kræver vedligeholdelse, og hvor der løbende er plads til forbedringer.