I 2022 har særligt overførsel af personoplysninger til tredjelande været på tapetet, hvilket har givet anledning til hovedbrud for både private virksomheder og offentlige myndigheder. I kølvandet på den meget omtalte Schrems II sag (C-311/18) har både cookies (Google Analytics), folkeskolecomputere (ChromeBooks) og cloudtjenesteudbydere været i myndighedernes søgelys. Fællesnævneren for alle sagerne er de udfordringer, der er forbundet med at supplere Europa-Kommissionens standardkontrakter med tilstrækkelige yderligere beskyttelsesforanstaltninger, der skal forhindre myndigheder i tredjelande i at få adgang til oplysningerne. Selvom både Datatilsynet og det Europæiske Databeskyttelsesråd har udstedt vejledninger herom, er der fortsat udfordringer. I marts 2022 indgik Europa-Kommissionen og USA en principaftale om et nyt Trans-Atlantic Data Privacy Framework, der skal erstatte den tidligere EU/US Privacy Shield-ordning, der blev underkendt af EU-Domstolen. I oktober udstedte den amerikanske præsident Joe Biden et præsidentielt dekret, der skal begrænse den amerikanske sikkerhedstjenestes adgang til persondata fra EU. Hverken dekret og principaftale gør dog overførslen af personoplysninger til USA lovlige, og vi afventer derfor fortsat, at Europa-Kommissionen får et endeligt overførselsgrundlag og en tilstrækkelighedsvurdering på plads.
Herudover har den komplekse vurdering af ”retten til at blive glemt” over for offentlighedens interesse og retten til information i forhold til personoplysninger på online søgemaskiner givet anledning til retssager i både dansk og europæisk regi. Først bekræftede Østre Landsret (U 2022.3651 Ø), at offentlighedens interesse vejer tungere for så vidt angår almindelige oplysninger relateret til den registreredes erhverv. Herefter fandt EU-Domstolen (C-460/20), at retten til information ikke finder anvendelse for urigtige oplysninger, hvorfor den registreredes interesser i sådanne tilfælde vejer tungest. Læs EU-Domstolens dom her.
Det forgangne år har også vist, at bødeniveauet for overtrædelse af GDPR endnu ikke har fundet sit leje i det danske system og fortsat er langt under de betydelige bøder, der er blevet udstedt i andre medlemsstater. I den første GDPR-relaterede bødesag mod en offentlig myndighed fik Lejre Kommune således en bøde på 50.000 kr. for manglende beskyttelsesforanstaltninger. Hertil er ankesagen i den meget omdiskuterede bødesag mod IDdesign (hvor bøden af byretten blev fastsat til 100.000 kr. trods indstilling fra Datatilsynet på 1,5 mio. kr.) blevet sat på pause, da anklagemyndigheden overvejer at indbringe sagen for EU-Domstolen. Der er dog også tegn på det modsatte, eksempelvis har Datatilsynet indstillet Danske Bank til en historisk høj bøde på 10 mio. kr. Vi følger udviklingen nøje.
På regelsiden har 2022 været et travlt år med vedtagelsen af en række direktiver og forordninger som led i EU’s ”Fit for the Digital Age”-strategi. Eksempelvis kan nævnes Digital Services Act (DSA) og Digital Markets Act (DMA), der søger at beskytte grundlæggende rettigheder for internetbrugere samt sikre lige vilkår for erhvervsdrivende. DSA’en skal sikre gennemsigtighed, brugersikkerhed og fastlæggelse af ansvar for sociale medieplatforme og onlinemarkedspladser, hvorimod DMA’en skal sikre den frie konkurrence med regler for, hvordan markedspladser kan agere på markedet. Herudover kan nævnes NIS2-direktivet, som skal styrke og ensarte cybersikkerheden på tværs af EU inden for en række vigtige sektorer. Direktivet udvider både forpligtelserne og anvendelsesområdet i forhold til det eksisterende NIS-direktiv, og på samme måde som GDPR lægger NIS2 op til en risikobaseret tilgang til beskyttelse af IT-systemer.