Christian Schmidt

Boligselskab slipper for GDPR-bøde: Politiet lukkede sagen ved en fejl

Hvad forhindrer politiet i at genåbne sagen?

4. maj kl. 11:03
Justitsministeriet fjerner ulovlige Google Analytics fra sin hjemmeside

og jeg har nu spurgt hvordan legitim interesse kan opvejes ved, at BT har 904 "partnere" som man skal tage stilling til.

Det belgiske datatilsyn har i deres nylige afgørelse vedr. IAB Europe Transparency and Consent Framework skrevet følgende omkring interesseafvejning, når der deles personoplysninger med hundredevis af virksomheder:

459. Once again, the Litigation Chamber finds that due to the large number of TCF partners that may receive their personal data, data subjects cannot reasonably expect the processing associated with this disclosure. In addition, there is the considerable amount of data that, in accordance with the preferences entered within the TCF system, is collected by means of a bid request and transmitted to the adtech vendors within the context of the OpenRTB protocol.

Omkring samtykke til at dele personoplysnigner med hundredevis af virksomheder skriver de følgende:

435. The Litigation Chamber also notes that the TCF makes it particularly difficult for users to obtain more information about the identity of all data controllers to whom they give consent to process their data for certain purposes before obtaining their consent. In particular, the recipients for whom consent is obtained are so numerous that users would need a disproportionate amount of time to read this information, which means that their consent can rarely be sufficiently informed

Jeg deler denne betragtning. Hvis jeg skulle bruge bare ét minut på at tage stilling til hver af de 904 virksomheder, som B.T. deler mine personoplysninger med, ville det tage mig 15 timer at tage stilling til, om jeg ønsker at give samtykke eller ej.

3. marts kl. 10:09
Datatilsynet undersøger Den Blå Avis

tv2.dk har i hvert fald modtaget memoet.

Grr, der skulle stå “tv2.dk har i hvert fald IKKE modtaget memoet”.

1. marts kl. 22:11
Datatilsynet undersøger Den Blå Avis

Det var gået min næse forbi, at Datatilsynet i januar 2022 traf afgørelse i sagen.

Det gamle samtykkebanner fra før juni 2020 (øverste screenshot) blev fundet ulovligt. Det var ikke overraskende, idet det var i klar strid med Datatilsynets retningslinjer fra februar 2020. Lidt mere overraskende er det, at Den Blå Avis slipper med “alvorlig kritik” (inkl. fed skrift). Man kan åbenbart stadig slippe omkostningsfrist fra at bryde klokkeklare retningslinjer. Jeg havde faktisk forventet, at Datatilsynet ville benytte denne sag til at smide fløjshandskerne.

DBA's nye samtykkeboks er også fundet ulovlig (at dømme efter afgørelsen er den vurderede løsning dog ikke identisk med screenshottet herover). Det har tidligere været fremme, at Datatilsynet trods det generelle forbud mod forudafkrydsede felter ikke partout finder en Acceptér alle-knap ulovlig. I denne afgørelse præciseres det, at en sådan knap skal ledsages af flueben for hver enkelt behandlingsaktivet (Statistik, Marketing, mv.). Jeg mindes ikke, at dette har været nævnt så udtrykkeligt før. tv2.dk har i hvert fald modtaget memoet.

Tilsynet slår desuden fast, at DBA ikke kan benytte Google Analytics uden samtykke med henvisning til interesseafvejningsreglen (legitim interesse), idet “de hjemmesidebesøgende ikke med rimelighed kan forvente, at deres oplysninger, udover at blive gjort til genstand for analyser og statistik på dba.dk, også videregives til Google LLC’s servere i USA”. Det er en lidt anden problemstilling end den, som for nylig fik det østrigste datatilsyn til at sende Google Analytics på bænken.

DBA får kritik for, at det ikke fremgår tilstrækkeligt tydeligt, hvordan man trækker sit samtykke tilbage. Den kritik kan overføres til mange andre websites. Prøv fx at trække dit samtykke tilbage på bt.dk – det kræver en smule detektivarbejde.

Endelig får DBA kritik for ikke at beskrive de forskellige behandlingsformål og deres hjemmel samt de involverede trejdeparter tilstrækkeligt tydeligt, samt at bede om samtykke til en behandling, som iflg. dem selv sker med legitim interesse som behandlingshjemmel. Jeg tvivler på, at der er mange, der læser disse tekster, men det er selvfølgelig vigtigt, at informationen er tilgængelig og retvisende.

1. marts kl. 21:47
RIP GratisDNS Tak for mange gode år

Kan nogen her anbefale en god DNS-host til dette use-case?

For at besvare mit eget spørgsmål, ser det ud til, at ClouDNS understøtter templates (aka cloud domains), DNSSEC, anycast og API til en overkommelig pris.

20. februar kl. 11:17
RIP GratisDNS Tak for mange gode år

Jeg har mange små websites og derfor mange domæner. Jeg vil savne GratisDNS's template-funktion, hvor man let kan opdatere DNS for mange domæner på én gang. Denne funktion findes ikke mange andre steder – heller ikke hos dns.services, som ellers ser fint ud.

Hvis DNS-hosten understøtter API, kan jeg selvfølgelig scripte mig ud af det, men det må være plan B.

Kan nogen her anbefale en god DNS-host til dette use-case?

Jeg betaler gerne for DNS-hosting, men det skal helst være til en fast pris. Med afregning pr. domæne, bliver det hurtigt urimeligt dyrt med mine mange småsites.

17. februar kl. 09:32
Eksperter advarer: Ny lov giver Skat mulighed for at samkøre politiske tilhørsforhold

Det er altså tilladt at sende et lovforslag tilbage til fornyet behandling.

Et mindre indgribende alternativ er at stille et ændringsforslag og se, om det kan samle flertal i tinget.

Louise Schack Elholm:

Vi overvejede at stille et ændringsforslag med begrænset hjemmel, men jeg synes det er svært som folketingsmedlem, med de begrænsede resurser vi har.

Det undrer mig, at Venstre undlader dette med henvisning til, at de har begrænsede ressourcer. Venstre er et stort parti med mange ordførere, så hvis ikke de har tid/lyst/overskud til at stille ændringsforslag til de lovforslag, de er uenige i, hvem har så?

12. januar kl. 14:58
Antallet af .dk-domæner slår rekord

At dømme efter denne rekort bliver der sat ny rekord næsten hver dag:https://stats.dk-hostmaster.dk/domains/total_domains/yearly

Det skrider i øvrigt også fremad med DNSSEC-udrulningen. En tredjedel af alle .dk-domæner er nu beskyttet med DNSSEC:https://stats.dk-hostmaster.dk/domains/dnssec_domains/yearly

5. januar kl. 08:50
Erhvervsstyrelsen vil ikke længere prioritere tilsyn med statistik-cookies

Har jeg misforstået det, når jeg har troet, at det er GDPR, som er baggrunden for, at cookie-bekendtgørelsen er blevet strammet op? Er det sket på Erhvervsstyrelsens eget initiativ, hvor de så nu bare har ombestemt sig, og synes, at de har har været for skrappe i cookie-bekendtgørelsen?

Cookiebekendtgørelsen er uændret siden vedtagelsen i 2011. De formelle krav til samtykke er dog ikke defineret i selve bekendtgørelsen. I stedet henviser den til det EU-direktiv, som i maj 2018 blev erstattet af GDPR. Så på den måde har GDPR så at sige opdateret cookiebekendtgørelsen, selvom bekendtgørelsens tekst er uændret.

Det har altså hele tiden været nødvendigt at indhente samtykke til brug af cookies. Siden 2018 stilles der dog højere formkrav til samtykket. Jeg husker ikke lige den præcise ændring i formulering, men pointen var noget i retning af, at det fremover i højere grad skulle være udtryk for en utvetydig viljetilkendegivelse, så man ikke længere kunne skrive “ved at benytte dette site, accepterer du dit og dat”.

Erhvervsstyrelsen anerkendte i første omgang ikke, at GDPR havde nogen betydning for deres forvaltning af cookiebekendtgørelsen. I januar 2021 ændrede de dog opfattelse og oplyste, at de fremover ville benytte samme fortolkning af samtykkekravet som Datatilsynet.

25. oktober 2021 kl. 17:40
Erhvervsstyrelsen vil ikke længere prioritere tilsyn med statistik-cookies

Jeg kan ikke gennemskue hvor den her statistik cookie definition opstår, især ikke set med GDPR briller. Hvis man indsamler anonymiseret statistik som ikke bruges til andet end netop statistik, kan jeg ikke se problemet i at man kan køre det ind under legitim interesse ift. cookie indsamling?

Erhvervsstyrelsens udmelding drejer sig ikke om GDPR men om cookiebekendtgørelsen. GDPR sorterer under Datatilsynet, mens cookiebekendtgørelsen er Erhvervsstyrelsens ansvarsområde.

Bekendtgørelsen stiller krav om samtykke til enhver brug af cookies, undtagen for “teknisk nødvendige” cookies. Modsat GDPR opererer den ikke med “legitim interesse” eller lignende alternativer til samtykke, og formelt har statistikcookies ingen særstatus i bekendtgørelsen.

Så vidt jeg forstår styrelsens udmelding, er det i princippet stadig ulovligt at bruge “statistikcookies” uden at indhente samtykke. Styrelsen vil dog ikke håndhæve bekendtgørelsen på dette område, så hvis en virksomhed ønsker at bryde reglerne, kan den nu gøre det uden at frygte bøder. Det kunne den dog også før i den forstand, at der til dato aldrig er udstedt en bøde for at overtræde cookiebekendtgørelsen.

Personligt synes jeg ikke, der er det store privatlivstab i at tillade anonym statistik uden samtykke, forudsat at det vitterligt er anonymt, og adfærd ikke trackes på tværs af websites. I den forbindelse er det dog værd at bemærke, at fx Google Analytics i standardkonfiguration logger brugernes IP-numre og derfor ikke er anonym. Hvordan Erhvervsstyrelsen ser på denne problemstilling, bliver interessant at følge.

Kan vi få at vide, hvor mange bøder de har langet ud?

0.

21. oktober 2021 kl. 00:13
Britisk datatilsyn med cookie-opråb: Konstant samtykke forstyrrer brugeroplevelsen

I Danmark har man besluttet at Erhvervsstyrrelsen skal have klager over cookies og de sender selv åbenlyse og ekstremt grove overtrædelser direkte i syltekrukken.

Min erfaring med Erhvervsstyrrelsen en smule mere positiv.

Erhvervsstyrelsen udsteder af princip ikke bøder for overtrædelse af reglerne, selvom cookiebekendtgørelsen giver hjemmel til dette. Derfor kan det ikke undre, at virksomheder ikke tager reglerne særlig alvorligt.

Desuden ønsker styrelsen ikke at tage stilling til problemstillinger, der ikke er udtrykkeligt nævnt i deres egen eller Datatilsynets egne vejledninger på området.

Hvis en virksomhed handler direkte i strid imod disse vejledninger, har jeg dog flere gange oplevet, at styrelsen tager kontakt til virksomheden og beder dem rette op. Det har delvist haft den ønskede effekt.

Det kniber dog med at tjekke op på, om virksomheden så rent faktisk har rettet op på de kritiserede forhold. Hvis virksomheden oplyser, at de nu har løst problemet, så lukker styrelsen sagen, selvom den ulovlige praksis fortsætter (formentlig pga. virksomhedens tekniske inkompetence til at tøjle alle de annonce- og trackingsystemer, de har proppet ind på deres website).

10. september 2021 kl. 10:44
Datatilsynet med skarp kritik af Erhvervsstyrelsen: Optog samtaler i årevis uden samtykke

Du har helt ret i at Nordnet gerne må optage samtaler uden samtykke.

De er faktisk forpligtet til at optage telefonopkald, der kan føre til handel med værdipapirer. Det følger af § 10 i bekendtgørelse om de organisatoriske krav til værdipapirhandlere.

I min banks fortolkning giver denne bestemmelse dem hjemmel til at optage alle ind- og udgående telefonsamtaler. Jeg ved ikke, om den holder i byretten.

Ved et tilfælde fandt jeg ud af, at banken også optager såkaldte “serviceopkald”, dvs. når de uopfordret ringer til kunder, der ikke har givet samtykke til at blive ringet op i salgsøjemed. Ved den slags opkald er det som udgangspunkt ulovligt for dem at forsøge at sælge noget (herunder værdipapirer).

10. juli 2021 kl. 20:42
Privatliv er noget vi betaler for

Der er ikke i dansk civilret tradition for at man kan få erstatning uden for tab, man faktisk har lidt.

Denne tradition blev ændret ved indførelsen af GDPR. Se fx her: https://www.horten.dk/viden/artikel-2016/overtraedelse-af-persondatareglerne-kan-ogsaa-udloese-tortgodtgoerelse

Se & Hørs ulovligheder foregik længe før GDPR. Jeg tør ikke spå, om det ville føre til bøder, hvis noget tilsvarende var sket i dag.

13. april 2021 kl. 14:30
Mænd og Børn Først!

Der skal overhovedet ikke tages hensyn til brancher i folks frie valg. Ellers så kan du også begynde at begrænse folks muligheder for at skifte job, tvinge folk ind på uddannelser hvor vi forventer mangel, etc. Virksomhederne må indrette sig efter hvordan frie borgere vælger. Og disse borgere må selv tage ansvaret for deres valg.

For god ordens skyld skal jeg understrege, at jeg ikke har noget ønske om at fratage folks frie valg til at holde barsel. For min skyld må begge forældre holde barsel i årevis, hvis de selv betaler for det.

I det omfang at staten betaler gildet, synes jeg dog godt, man kan diskutere, hvordan ordningen bedst skrues sammen. Jeg finder det uhensigtsmæssigt, at den nuværende ordning skaber et økonomisk incitament til at lade den lavestlønnede ægtefælle tage al barslen. Det problem kan så adresseres ved øremærkning eller på anden vis.

Men jeg vil egentlig give dig ret i, at hensynet til “kvindearbejdspladser” isoleret set ikke bør fylde alverden. Indirekte har det dog alligevel betydning for borgerne, idet en sådan virksomhed vil have en særlig motivation til (ulovligt) at fravælge kvinder i den fødedygtige alder, når de rekrutterer.

24. marts 2021 kl. 12:31
Mænd og Børn Først!

Reglerne for barsel har ikke kun betydning for de enkelte forældrepar men også for deres arbejdsgivere. Barsel er en stor udfordring for visse kvindedominerede brancher og arbejdspladser. Så der også andre hensyn at tage end forældrenes ret til selvbestemmelse, når man udformer reglerne for barsel.

Et tilsvarende eksempel er betalt fri på barnets første sygedag. Som arbejdsgiver ville jeg være træt af at skulle betale for en masse fridage til en medarbejder, hvis barnets har en anden forælder med en “vigtigere” karriere, som aldrig tager en tørn.

24. marts 2021 kl. 10:04
IT-Havarikommission nu!

-Region Midtjylland beklager at en menneskelig fejl har forsinket invitation til vaccination af nogle borgere i målgruppe 5</p>
<p>Hvorfor er der mennesker i den process

Begrebet “menneskelig fejl” er vagt defineret og kan i praksis dække over næsten alt andet end naturkatastrofer. Indtil vi en dag kan skyde skylden på andre arter eller kunstige intelligenser, vil alle it-problemer skyldes menneskelige fejl – nogle mere undskyldelige end andre.

Hvad der menes i det konkrete tilfælde, må stå hen i det uvisse.

22. marts 2021 kl. 16:22
Brandfolk deler billeder af smadrede biler: Alle kan se, hvem der er kørt galt

Som jeg forstår lovgivningen og retspraksis, har det aldrig nogensinde været hensigten at indføre, endsige tillade en sådan ret for motorkøretøjer, tværtimod.

Det er ikke lovgivers hensigt, at enhver skal kunne slå op, hvem der er ejer af et motorkøretøj. Der er dog ganske mange virksomheder, som har adgang til det.

https://danskelove.dk/k%C3%B8ret%C3%B8jsregistreringsloven/17

Kun hvis der er tinglyst gæld i bilen, er personens navn offentligt tilgængeligt. Hvis man har et specielt navn, vil man være nem at identificere, mens Jens Jensen kan bevare en vis grad af anonymitet.

15. marts 2021 kl. 14:26