I 2026 har Datatilsynet udpeget en række særlige fokusområder for sine tilsynsaktiviteter, som alle organisationer – både offentlige og private – bør forholde sig aktivt til.

Fokusområderne afspejler en markant udvikling i brugen af kunstig intelligens (AI), automatisering, digital overvågning og komplekse databehandlerstrukturer.

For virksomheder betyder det, at GDPR‑compliance i 2026 i højere grad kræver dokumentation, risikovurderinger og teknisk forståelse – særligt hvor nye teknologier anvendes til behandling af personoplysninger.

Denne artikel giver et fagligt og praksisnært overblik over Datatilsynets fokusområder i 2026 og forklarer, hvad de betyder i praksis.

1. Overvågning, nye teknologier og kunstig intelligens (AI)

Et centralt fokusområde i 2026 er anvendelsen af nye teknologier med overvågningspotentiale, herunder særligt AI‑baserede løsninger.

Datatilsynet retter opmærksomheden mod:

• AI‑systemer, der anvendes til overvågning, analyse eller beslutningsstøtte
• Brug af AI i sundheds‑ og plejesektoren, hvor der ofte behandles følsomme personoplysninger
• Systemer, der kan føre til automatiserede afgørelser eller profileringsrisici

AI‑løsninger kan give store effektiviseringsgevinster, men indebærer også betydelige databeskyttelsesrisici. I 2026 forventes det, at organisationer kan dokumentere:

• Lovligt behandlingsgrundlag
• Gennemførte DPIA’er (konsekvensanalyser)
• Forklarlighed og gennemsigtighed i AI‑modeller
• Klare roller mellem dataansvarlig og databehandler

2. IoT, sensorer og overvågning i private rum

Datatilsynet har i 2026 også fokus på internetforbundne enheder (IoT) og sensorteknologier – særligt når de anvendes i borgeres hjem eller andre private omgivelser.

Det kan f.eks. være:

• Sensorer i pleje‑ og sundhedsløsninger
• Kameraer og overvågningsudstyr
• Medicinsk og velfærdsteknologisk udstyr

Her vurderer Datatilsynet især, om:

• Indsamlingen af data er nødvendig og proportional
• Der er truffet passende tekniske og organisatoriske sikkerhedsforanstaltninger
• De registrerede modtager fyldestgørende information

3. Overvågning og kontrol af medarbejdere

Overvågning af ansatte er fortsat et højt prioriteret fokusområde i 2026. Datatilsynet har gennem flere år konstateret en stigende brug af digitale kontrol‑ og overvågningsværktøjer på arbejdspladsen. Tilsynet ser bl.a. på:

• Logning af medarbejderes system‑ og mailadgang
• Overvågning af internetbrug og lokationsdata
• Brug af performance‑ og adfærdsanalyser

Arbejdsgivere skal i 2026 kunne dokumentere, at overvågning:

• Har et sagligt og legitimt formål
• Er nødvendig og proportional
• Er klart kommunikeret til medarbejderne

4. Cookies, tracking og sporing på hjemmesider

Datatilsynet fortsætter i 2026 sit fokus på danske hjemmesiders brug af cookies og tracking‑teknologier. Særligt problematiske forhold omfatter:

• Manglende eller ugyldigt samtykke
• Dark patterns i cookie‑bannere
• Begrænsede muligheder for at fravælge sporing

Virksomheder forventes at kunne dokumentere:

• Korrekt samtykkeopsætning
• Klar adskillelse mellem nødvendige og ikke‑nødvendige cookies
• Overholdelse af både GDPR og ePrivacy‑regler

5. Databrud og brug af auto‑complete i mailsystemer

Et mere lavpraktisk, men fortsat alvorligt fokusområde i 2026 er databrud forårsaget af auto‑complete‑funktioner i mail‑ og kommunikationssystemer.

Datatilsynet modtager fortsat mange anmeldelser om:

• Fejlagtig fremsendelse af personoplysninger
• Utilsigtet deling af følsomme data

Derfor rettes tilsynet mod organisationer, der:

• Behandler store mængder persondata
• Håndterer følsomme eller fortrolige oplysninger

6. Tilsyn med store databehandlere og shared services

I 2026 intensiveres tilsynet med store databehandlere, herunder leverandører af cloud‑, platform‑ og shared service‑løsninger.

Datatilsynet vurderer bl.a. om:

• Databehandleraftaler er tilstrækkeligt detaljerede
• Databehandleren reelt understøtter den dataansvarliges compliance
• Sikkerhedsforanstaltninger lever op til risikoen

Dette er særligt relevant for koncerner, offentlige myndigheder og virksomheder med komplekse leverandørkæder.

7. Gennemsigtighed og registreredes rettigheder

Datatilsynet lægger i 2026 fortsat stor vægt på gennemsigtighed og korrekt opfyldelse af oplysningspligten. Det omfatter:

• Klare og forståelige privatlivspolitikker
• Tydelig information om formål, retsgrundlag og rettigheder
• Effektiv håndtering af indsigt, sletning og indsigelser

Manglende gennemsigtighed er et tilbagevendende kritikpunkt i Datatilsynets afgørelser.

Har du brug for hjælp?

Datatilsynets fokusområder i 2026 viser tydeligt, at databeskyttelse ikke længere er et rent juridisk spørgsmål. Organisationer skal kombinere jura, IT‑sikkerhed og forretningsforståelse – især ved brug af AI og nye teknologier.

For virksomheder betyder det, at et proaktivt compliance‑arbejde i 2026 bør omfatte:

• Opdaterede risikovurderinger og DPIA’er
• Gennemgang af AI‑ og teknologiløsninger
• Styrkede interne politikker og procedurer
• Løbende kontrol af databehandlere og leverandører

En tidlig indsats reducerer risikoen for påbud, kritik og bøder – og styrker samtidig tilliden hos kunder, medarbejdere og samarbejdspartnere.

Hos ØENS Advokatfirma anbefaler vi altid, at man tager databeskyttelsesreglerne seriøst. Det er ofte forbundet med omfattende bøder, hvis man handler i strid med reglerne, ligesom der i stigende grad opleves hackerangreb ved manglende beskyttelse. Reglerne er derfor med til at sikre os alle og give en større tryghed.

Hvis du har spørgsmål til databeskyttelseslovgivningen og de krav som din virksomhed kunne være underlagt, er du altid velkommen til at kontakte advokat og associeret partner Lisa Lykke på tlf. 32 46 46 38 eller mail lly@oadv.dk.

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

FAQ – Datatilsynets fokusområder og GDPR-tilsyn i 2026

Nedenfor har vi samlet svar på de mest stillede spørgsmål om Datatilsynets fokusområder i 2026. FAQ’en giver et hurtigt overblik over, hvordan tilsynsindsatsen, AI-regulering og GDPR-krav kan få betydning for både offentlige myndigheder og private virksomheder.

Virksomheder står løbende over for behovet for at tilpasse medarbejdernes ansættelsesvilkår.

Det kan være som led i en omstrukturering, ændrede forretningsmæssige behov eller en generel modernisering af organisationens arbejdsgange. Mindre justeringer kan som udgangspunkt gennemføres inden for arbejdsgiverens almindelige ledelsesret, men når ændringerne går ud over, hvad medarbejderen med rimelighed kan forvente efter sin kontrakt, bevæger vi os ind i området for væsentlige vilkårsændringer. Her gælder en række regler, som virksomheder bør have et skarpt fokus på – ikke mindst fordi fejl kan være både dyre og helt unødvendige.

Hvornår er en vilkårsændring væsentlig?

Selvom begrebet ikke er direkte defineret i lovgivningen, viser retspraksis en klar linje: En ændring er væsentlig, når den markant ændrer medarbejderens ansættelsesgrundlag, og når den ikke længere kan rummes inden for ledelsesretten. Vurderingen er konkret og afhænger altid af den enkelte medarbejders situation. For nogle kan ændringen være perifer, mens den for andre kan være så indgribende, at stillingen reelt ændrer karakter.

Typiske eksempler på væsentlige ændringer inkluderer:

• nedgang i løn
• flytning af arbejdssted med væsentligt længere transporttid
• betydelige ændringer i arbejdsopgaver
• fratagelse af ledelsesansvar
• væsentlige ændringer i arbejdstiden eller dens placering
• omlægning fra fuldtid til deltid
• tab af funktionærstatus
• afskaffelse af væsentlige personalegoder som betalt frokost eller firmabil

Varsling: Sådan skal ændringer gennemføres

Når en ændring vurderes som væsentlig, kan virksomheden ikke blot implementere den. Ændringen skal varsles over for medarbejderen med dennes individuelle opsigelsesvarsel.

I praksis betyder det:

• Opsigelse af det eksisterende ansættelsesforhold
• Samtidigt tilbud om genansættelse på de ændrede vilkår
• Ikrafttræden af de nye vilkår ved opsigelsesvarslets udløb

Det er afgørende, at varslingen er korrekt, saglig og skriftlig, da fejl kan føre til, at ændringen anses som en usaglig opsigelse. Medarbejderen kan herefter:

• acceptere ændringerne, hvorved ansættelsen fortsætter på de nye vilkår, eller
• afvise ændringerne, og dermed betragte sig som opsagt ved varslets udløb

Afviser medarbejderen ændringen, skal virksomheden behandle situationen som en almindelig opsigelse.

Krav om saglighed – og risiko ved utilstrækkelig begrundelse

Er ændringen ikke sagligt begrundet, risikerer virksomheden, at medarbejderen tilkendes godtgørelse for usaglig opsigelse. Dette gælder også, selv om varslingen formelt er korrekt, hvis begrundelsen ikke kan bære ændringen.

Særligt beskyttede medarbejdere: Skærpede krav

Visse medarbejdergrupper har en særlig lovgivningsmæssig beskyttelse, eksempelvis:

• gravide
• medarbejdere på barsel eller forældreorlov
• medarbejdere med handicap
• tillidsrepræsentanter
• arbejdsmiljørepræsentanter

Her påhviler der virksomheden en skærpet bevisbyrde. Det betyder, at arbejdsgiver må kunne dokumentere, at ændringen er fuldt ud sagligt begrundet, og at beslutningen ikke har nogen forbindelse til medarbejderens beskyttelsesstatus. I praksis ser vi ofte problemer i sager, hvor:

• varslingen ikke er tilstrækkeligt dokumenteret
• processen håndteres for hastigt
• begrundelsen ikke er specifik eller objektiv nok

Overenskomster: Særlige regler og procedurer

Virksomheder bør desuden være opmærksomme på, om medarbejderen er omfattet af en overenskomst, da disse ofte indeholder særlige procedurer for gennemførelse af væsentlige vilkårsændringer og i visse tilfælde begrænsninger i arbejdsgivers handlemuligheder.

ØENS’ anbefaling: Grundighed før varsling

Hos ØENS anbefaler vi, at virksomheder foretager en grundig forberedelse, inden væsentlige vilkårsændringer varsles. Det indebærer blandt andet:

• en klar vurdering af ændringens karakter
• en præcis og skriftlig begrundelse
• korrekt varsling efter lov og eventuel overenskomst
• dokumentation for saglighed
• særlig opmærksomhed på medarbejdere i beskyttede kategorier
• efterfølgende opdatering af personalepolitikker og stillingsbeskrivelser

En korrekt tilrettelagt og veldokumenteret proces skaber ro i organisationen og reducerer risikoen for konflikter og efterfølgende krav.

Hvem hjælper dig?

Hos ØENS Advokatfirma rådgives du af advokater med dyb specialisering i ansættelsesretten og omfattende erfaring med håndtering af væsentlige vilkårsændringer – både i mindre virksomheder og i komplekse organisationer.

Vi arbejder dagligt med:

• vurdering af ledelsesrettens grænser
• håndtering af væsentlige vilkårsændringer
• saglighedsvurderinger og dokumentation
• rådgivning vedrørende medarbejdere med særlig beskyttelse

Vi sikrer ikke blot, at processen er juridisk korrekt, men også at den gennemføres på en måde, der skaber ro i organisationen og minimerer risikoen for konflikter. Du får en rådgiver, der kender juraen, forstår medarbejdernes reaktioner og har blik for virksomhedens forretningsmæssige rammer.

Hvis din virksomhed står over for at skulle gennemføre ændringer i ansættelsesvilkår – eller hvis du er i tvivl om, hvorvidt en ændring er væsentlig – er du altid velkommen til at række ud for sparring.

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

FAQ: Væsentlige ændringer i ansættelsesvilkår

Hos ØENS Advokatfirma har vi stor erfaring med at vurdere, planlægge og gennemføre ændringer i ansættelsesvilkår – både i små virksomheder og komplekse organisationer. Vi sikrer en juridisk korrekt og praktisk bæredygtig proces, der minimerer risici og skaber ro i organisationen. Herunder kan du læse nogle af de ofte spørgsmål, vi oftest får.

Advokatrådet er efter retsplejelovens § 143, stk. 2, ansvarlig for, at der føres tilsyn

Advokatrådet er efter retsplejelovens § 143, stk. 2, ansvarlig for, at der føres tilsyn med alle danske advokater og advokatvirksomheder. Advokatsamfundet udfører tilsynet, som kan bestå af skriftlige tilsyn, online tilsyn via videokonference eller on-site tilsyn, hvor de aflægger besøg hos advokatvirksomhederne.

Advokater har pligt til at medvirke til berammelse af tilsyn, indsende relevant materiale og deltage i de møder, som er nødvendige for, at tilsynet kan gennemføres. Tilsynet skal sikre, at advokater og advokatvirksomheder overholder reglerne om god advokatskik, håndtering af klientkonti samt de omfattende pligter efter hvidvaskloven. Det er en central del af arbejdet med at sikre transparens, kvalitet og tillid i advokatbranchen.

Når du eller dit advokatfirma udtages til tilsyn, modtager du et brev fra Advokatsamfundet. Her fremgår de væsentligste oplysninger om, hvordan du skal forholde dig. Tilsynets omfang og den dokumentation, som advokaten eller advokatfirmaet skal indsende, afhænger af, hvilken type tilsyn der er tale om.

For mange advokater kan et tilsyn – uanset om det er et standardtilsyn, risikobaseret tilsyn, hvidvaskspecifikt tilsyn eller en kollegial samtale – medføre et betragteligt arbejde. Der kan være behov for at indhente dokumentation, opdatere politikker, gennemgå klientkonti, kvalitetssikre opdrags- og prisoplysninger og redegøre for interne processer.

Hos ØENS Advokatfirma oplever vi, at behovet for rådgivning i den forbindelse er stigende. Det skyldes blandt andet:

• øget fokus på hvidvaskforpligtelser
• skærpet kontrol med klientkonti
• ændringer i tilsynsmodellen
• flere spontane eller temabaserede tilsyn
• den stadig mere detaljerede risikobaserede tilgang

Hvordan foregår et tilsyn fra Advokatsamfundet?

Et tilsyn fra Advokatsamfundet kan omfatte alle eller enkelte områder:

• klientkonto og interne kontroller
• opdrags- og prisoplysninger
• hvidvasklovens §§ 7-8 (risikovurdering, politikker og forretningsgange)
• screeningsprocedurer
• kundekendskabsprocedurer
• dokumentation for uddannelse og efteruddannelse
• erklærings- og oplysningsforpligtelser

Den konkrete gennemgang tilpasses advokatens eller firmaets risikoprofil – og omfanget kan derfor variere betydeligt.

Hvordan kan vi hjælpe, hvis I udtages til tilsyn?

ØENS Advokatfirma tilbyder rådgivning og fuld støtte i forbindelse med alle typer tilsyn. Det kan blandt andet omfatte:

Forberedelse før tilsynet

• opdatering af hvidvaskdokumentation, politik, risikovurdering og forretningsgange
• kontrol af opdrags- og prisoplysninger
• screening og interne kontrolprocedurer
• sikring af dokumentation til den årlige tilsynserklæring

Bistand under selve tilsynet

• vejledning i kommunikationen med Advokatsamfundet
• gennemgang af de spørgsmål og dokumentationskrav, du modtager
• udarbejdelse af redegørelser og materialesamlinger

Opfølgning efter tilsynet

• implementering af eventuelle anbefalinger
• tilretning af politikker og procedurer
• risikoanalyse og etablering af “best practice” fremadrettet

Har du brug for hjælp?

Hos ØENS har vi specialiseret viden inden for blandt andet compliance, hvidvask og GDPR, og vi har erfaring med at rådgive både små og mellemstore advokatfirmaer med alt fra forberedelse og dokumentation til sparring under og efter tilsynet.

Har du fået besked om et tilsyn fra Advokatsamfundet – eller vil du sikre, at din praksis og dokumentation er opdateret og robust – er du meget velkommen til at kontakte os for en uforpligtende drøftelse. Flere advokater oplever, at tilsynet mest af alt føles som en administrativ byrde, der tager tempoet ud af forretningen. Det er helt forståeligt. Vores rådgivning kan derfor være en enkeltstående gennemgang, løbende sparring eller et samlet compliance-setup, afhængigt af dit behov og tilsynets karakter.

Hvis du står over for et tilsyn og gerne vil have ro, overblik og en smidig proces, er du altid velkommen til at kontakte os.

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

FAQ – Bliver du udtaget til tilsyn fra Advokatsamfundet

Nedenfor finder du svar på de mest stillede spørgsmål om tilsyn fra Advokatsamfundet. FAQ’en giver dig et overblik over formålet med tilsynet, hvad det kan omfatte, og hvordan du bedst forbereder dig. Den er relevant for både advokater og advokatvirksomheder.

Har du været ude for, at personoplysninger om dig deles uden dit samtykke?

Den teknologiske udvikling har gjort det let for virksomheder og privatpersoner, at få online adgang til alle typer personoplysninger – blot ved få klik. Heldigvis er det som EU-borger blevet lettere at slette personoplysninger med Persondataforordningen. Med Persondataforordningen, kaldet GDPR, indførtes sletningsretten, ”retten til at blive glemt”

Hvilke personoplysninger kan du få slettet?

Det er formodentligt ikke alt, du ønsker at blive husket for.

Sletning af private oplysninger, sker som udgangspunkt kun efter din anmodning. Sletningsretten gør sig gældende når:

• Personoplysningerne ikke længere er nødvendige for at opfylde de formål, hvortil de blev indsamlet.
• Den registrerede trækker sit samtykke tilbage, og der ikke er et andet retsgrundlag for at beholde data.
• Personoplysningerne er blevet behandlet ulovligt.
• Sletningen kræves for at overholde en retlig forpligtelse i EU-retten eller anden national ret.
• Indsamlingen er sket i forbindelse med udbud af informationssamfundstjenester.

Hvilke begrænsninger er der for dig?

Der er dog få undtagelser. Sletningsretten kan ikke kræves, hvis dine data bruges enten:

• For at udøve retten til ytrings- og informationsfriheden.
• For at overholde en retlig forpligtelse, udføre en opgave i samfundets interesse eller udøve offentlig myndighedsudøvelse.
• Af hensyn til samfundsinteresser på folkesundhedsområdet.
• Til arkivformål i samfundets interesse, til videnskabelige eller historiske forskningsformål eller til statistiske formål.
• For at et retskrav kan fastlægges, gøres gældende eller forsvares.

Hvis ingen af de fem undtagelser eksisterer i din sag, kan du således kræve sletning af dine personoplysninger.

Den dataansvarliges underretningspligt

Hvis den dataansvarlige har offentliggjort dine personlige oplysninger, skal den dataansvarlige, som noget nyt, foruden at slette dine personoplysninger, links, billeder og kopier, underrette andre dataansvarlige, som kunne have dine personoplysninger, om sletning, medmindre underretningen er umulig eller uforholdsmæssig vanskelig.

Hvis uheldet er ude:

Har du oplevet, at dine personoplysninger er blevet benyttet i problematiske sammenhænge, delt uden dit samtykke eller vil du vide mere, så kontakt advokat Henrik Karl Nielsen, som kan hjælpe dig med din sag.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Advokatfirma

Henrik Karl Nielsen

Advokat (H), ph.d.

Afdeling:

FAQ – Retten til at blive glemt

Nedenfor har vi samlet svar på de mest stillede spørgsmål om retten til at blive glemt. FAQ’en giver dig et klart overblik over hvad retten til at blive glemt er, hvilke regler der gælder i Danmark og EU, og hvilke rettigheder og begrænsninger personer og virksomheder skal kende til.

Er din virksomhed klar til at etablere den lovpligtige whistleblowerordning?

Den 24. juni 2021 vedtog Folketinget Forslag til lov om beskyttelse af whistleblowere. Loven implementerer EU-direktivet 2019/1937 af 23. oktober 2019 om beskyttelse af personer, der indberetter overtrædelser af EU-retten (whistleblowerdirektivet).
For mange private arbejdsgivere er der ikke lang tid til, at det bliver lovpligtigt at etablere en intern whistleblowerordning. Det følger nemlig af loven, at:

• Private virksomheder med 50-249 ansatte, skal have etableret en whistleblowerordning i overensstemmelse med whistleblowerloven senest den 17. december 2023.
• Private virksomheder med mere end 250 ansatte skulle have etableret en whistleblowerordningen allerede den 17. december 2021. Det samme gælder for offentlige institutioner.

Risikoen for at medarbejdere foretager indberetninger til den eksterne whistleblowerordning hos Datatilsynet er større, når ikke virksomhederne har etableret den interne whistleblowerordning. Det er således vores klare anbefaling, at alle arbejdsgivere får etableret en intern whistleblowerordning – også inden fristen den 17. december 2023.

Udvidelse af kredsen af forpligtede arbejdsgivere

Loven udvider kredsen af arbejdsgivere, der før december 2021 var forpligtet til at etablere en whistleblowerordning. Videre bestemmer loven også, at arbejdsgivere, der er omfattet af loven, og der i dag har etableret en lovpligtig whistleblowerordning, skal opdatere denne, således at ordningen opfylder betingelserne i lovgivningen.

Ud over at være en ordning som virksomhederne skal have for at overholde lovgivningen, så er en whistleblowerordning et vigtigt redskab, som giver ansatte, bestyrelsesmedlemmer og andre med direkte tilknytning til virksomheden mulighed for fortroligt og/eller anonymt at indberette uregelmæssigheder eller overtrædelse af lovgivningen til ledelsen eller en uafhængig rådgiver. Det giver mulighed for at forebygge og opdage alvorlige økonomiske og kriminelle forhold på arbejdspladsen, herunder chikane. Det giver således uanset god mening at have et proaktivt værktøj som en whistleblowerordning.

Beskyttelse af whistlebloweren

Loven beskytter whistleblowere mod bl.a. repressalier, når vedkommende indberetter forhold, som vedkommende er blevet bekendt med i forbindelse med arbejdsrelaterede aktiviteter, så længe oplysningen er omfattet af lovens anvendelsesområde.

Beskyttelsen forudsætter, at whistlebloweren har lavet en indberetning eller offentliggørelse i overensstemmelse med lovens regler. Beskyttelsen forudsætter desuden at oplysningerne var omfattet af lovens anvendelsesområde at whistlebloweren var i god tro om, at de indberettede oplysninger om overtrædelser var korrekte på tidspunktet for indberetningen.

Loven sikrer, at der ikke må udøves repressalier mod whistleblowere, herunder afskedigelse, forflytning, lønnedgang, chikane mv., som følge af, at de har foretaget en indberetning. Whistleblowere, der er blevet udsat for repressalier som følge af en indberetning, har krav på en godtgørelse, hvis størrelsesniveau lægger sig op ad ligebehandlingslovens regler. Der gælder en særlig bevisbyrderegel om omvendt bevisbyrde, hvorefter det er arbejdsgiveren, der skal bevise, at der konkret ikke er tale om repressalier, hvis whistlebloweren beviser at have foretaget en indberetning og have lidt en ulempe.

Beskyttelsen indeholder derudover en særlig tavshedspligt om indberetningens indhold og whistleblowerens identitet. Der vil dog være mulighed for at videregive oplysningerne under visse betingelser, herunder når det er nødvendigt til brug for at hindre lovovertrædelser mv.

ØENS tilbyder

Det er ikke kun selve indberetningskanalen, som er et krav i forbindelse med etableringen af whistleblowerordningen. Arbejdsgivere har ligeledes pligt til at etablere interne retningslinjer samt politikker, der beskriver hvordan ordningen anvendes. Derudover skal der etableres en whistleblowerenhed der – uafhængigt af virksomhedens ledelse – har ansvaret for at behandle alle indberetninger korrekt.

ØENS har allerede hjulpet mange arbejdsgivere ved at tilbyde en whistleblowerordning med tilhørende dokumentpakke således, at din virksomhed lever op til lovkravene inden for området.

ØENS tilbyder i samarbejde med LegalTech Denmark ApS et whistleblowersystem, som håndterer jeres whistleblowerordning fra start til slut, herunder:

• Adgang til whistleblowerportalen for jeres medarbejdere og samarbejdspartnere,
• En krypteret og sikker løsning for indberetning både skriftligt og mundtligt,
• Mulighed for at tilgå portalen både fra PC, mobil og tablet,
• Mulighed for kommunikation i en lukket portal,
• Mulighed for anonym indberetning,
• Mulighed for at uploade dokumentation krypteret direkte på portalen,
• Skriftlige retningslinjer for indberetningen, beskyttelsen af whistlebloweren, de forhold der kan indberettes m.v.,
• Skriftlig vejledning om indberetning,
• Skriftlig forretningsgang vedr. jeres interne proces og procedure for håndteringen af indberetningerne under whistleblowerordningen, og en
• Skriftlig privatlivspolitik, der redegør for, hvordan indberetterens og den indberettedes personoplysninger behandles under jeres ordningen.

Vi tager udgangspunkt i jeres virksomhed

Dokumentpakken og vores abonnementsløsning udarbejdes specifikt til jeres virksomhed og i tæt dialog med jer. De indberetninger, som I modtager vil ØENS, som whistleblowerenhed, gennemgå ift. om de falder inden for eller uden for jeres ordning – alternativt som en personalesag – samt om det er indberetninger, der skal forfølges.

ØENS Advokatfirma tilbyder alt dette for kr. 6.000 pr. år.

Det kan være vanskeligt både som medarbejder og som arbejdsgiver at navigere i det nye regelsæt, herunder særligt om et konkret forhold falder ind under whistleblowerlovens anvendelsesområdet. Hvis ikke forholdet falder indunder, er medarbejderen altså ikke beskyttet af loven.

I den forbindelse tilbyder ØENS også muligheden for at tilkøbe specifik juridisk rådgivning, undervisning af ledelsen og/eller medarbejderne og yderligere rapportering

Hvis I ønsker at høre mere om ØENS whistleblowerordning, er I velkomne til at kontakte advokat Lisa Lykke eller advokatfuldmægtig Maria-Melissa Schneider.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Advokatfirma

Melissa Schneider

Advokatfuldmægtig

Afdeling:

Ofte, og for mange, flyder arbejdstid og fritid sammen, så vi skelner mindre og mindre mellem fritid og arbejde. Smartphones med mailindbakke og vores elektroniske adgang til arbejdet gør, at mange i stigende omfang blander fritid og arbejdstid sammen.

Men hvor tæt er forbindelsen mellem arbejdspladsen og medarbejderen egentlig, når det kommer til medarbejdernes gøren og laden i fritiden?

Dette blev prøvet i en konkret sag, U.2016.3097, som Vestre Landsret fik lejlighed til at vurdere.

I den konkrete sag bortviste en arbejdsgiver den 1. juli 2013 en medarbejder fra arbejdspladsen, fordi den pågældende medarbejder den 22. juni 2013 havde udvist grov adfærd til en privat 50 års fødselsdag, hvor en del af den pågældendes kollegaer ligeledes deltog.

Medarbejderen havde til festen været voldelig. Han havde tildelt et slag i ansigtet på en mandlig kollegas ægtefælle, verbalt fornærmet en kvindelig kollega samt bevidst hældt øl i håret på en mandlig kollega. Dette gjorde, at landsretten fandt, at adfærden var så grov, at kollegaerne berettiget var utryg ved den pågældende og ved at samarbejde med ham.

Sagen kom for landsretten

Landsretten fandt, modsat byretten, at bortvisningen var berettiget. Dette blev begrundet i alvoren af den tidligere medarbejders udtalelser og handlinger. Og naturligvis det faktum, at flere af medarbejderens kollegaer efter festen udtrykte bekymring ved at samarbejde med den pågældende efterfølgende.

Retten lagde i den konkrete sag til grund, at bortvisningen den 1. juli 2013 ikke var bortfaldet ved passivitet. Omsorgschefen i virksomheden var først den 25. juni 2013 blevet orienteret om den pågældendes adfærd ved festen og først derefter kunne det fulde hændelsesforløb klarlægges efter flere undersøgelser.

Dommen viser, at arbejdsgiverens ret til at bortvise en medarbejder kan strækkes uden for arbejdspladsen og ud over arbejdstiden. Hvert fald når adfærden har indflydelse på arbejdspladsen.

Har du spørgsmål til en lignende sag? Kontakt en af ØENS specialister til en drøftelse af sagen.

En personoplysning er information, der kan henføres til en bestemt person. Dette gælder også, hvis personen kun kan identificeres, såfremt oplysningen kombineres med andre oplysninger. Behandler du mon persondata?

Uanset om du er håndværker, revisor eller andet, så modtager og opbevarer du oplysninger om dine kunder. De oplysninger kan f.eks. være navn, adresse, telefonnummer eller e-mail. Det er alle oplysninger, som er omfattet af persondataforordningen, og som for dig indebærer, at du skal overholde lovgivningen.

Hvad er persondata og personoplysninger og hvordan behandler du disse?

Personoplysninger kan for eksempel være et navn, en e-mail, personnumre, registreringsnumre, et billede, et fingeraftryk, en stemme, lægejournaler eller andet. Der er tale om personoplysninger, når det i praksis er muligt at identificere en person ud fra oplysningerne eller i kombination med andre. Man siger, at oplysningen er “personhenførbar”.

Du er dataansvarlig

Når du registrerer disse oplysninger om dine kunder, så bliver du dataansvarlig i forordningens forstand. Persondataforordningen medfører en række krav og pligter til dig som dataansvarlig.

Som dataansvarlig skal du derfor bl.a. sikre dig, at du:

• overholder persondataforordningen, og at du kan dokumentere dette, herunder ved hjælp af inkorporering af nødvendige tekniske og organisatoriske sikkerhedsforanstaltninger i virksomheden,
• har et behandlingsgrundlag (en behandlingshjemmel), som giver dig lov til at behandle de oplysninger, som du og dine eventuelle databehandlere er i besiddelse af,
• er i stand til at imødekomme og efterleve dine kunders rettigheder som registrerede personer, som f.eks. at du kan opfylde din oplysningspligt, berigtigelsespligt eller give den registrerede indsigt i de oplysninger du opbevarer om personen,
• har gyldige aftaler med klare instruksbeføjelser til eventuelle databehandlere, som du ønsker at gøre brug af,
• får indberettet eventuelle brud på persondatasikkerheden til Datatilsynet inden for 72 timer.

Ovenstående er alene eksempler på nogle af de pligter, du kan være underlagt i Persondataforordningen.

De grundlæggende principper for behandling

Udover at du som dataansvarlig er pålagt nogle krav for behandling af dine kunders personoplysninger, så indeholder databeskyttelsesreglerne videre følgende grundlæggende principper, du som dataansvarlig altid skal overholde:

• Behandlingen skal overholde databeskyttelsesreglerne om lovlighed, rimelighed og gennemsigtighed.
• Det skal ved indsamling være klart, hvilke saglige formål oplysningerne skal anvendes til og en eventuel senere behandling må ikke være uforenelig med det oprindelige formål, som personoplysningerne blev indsamlet til.
• Behandling af oplysningerne, herunder opbevaring, skal begrænses til det, der er nødvendigt for at opfylde formålet.
• Oplysninger skal ajourføres, og konstateres det, at oplysningerne er urigtige skal disse slettes eller berigtiges.
• Oplysningerne må ikke opbevares længere tid end nødvendigt for behandlingen. Når de ikke længere er nødvendige, skal de anonymiseres eller slettes.
• Oplysningerne skal passes godt på. De må ikke komme uvedkommende til kendskab, gå tabt eller blive beskadiget.

De grundlæggende principper for behandling kan findes i forordningens art. 5.

Hvad skal du gøre nu?

Det er vigtigt, at du er compliant med persondataforordningen, og dermed overholder reglerne og kravene som dataansvarlig. De mulige retsmidler, det ansvar og de sanktioner, der kan opstå som følge af manglende overholdelse af forordningen, understreger vigtigheden heraf.

Konsekvensen kan være vidtgående. I Danmark blev det første selskab i marts 2019 således indstillet til en bøde på 1,2 millioner kroner for manglende sletning af personhenførbare kundeoplysninger efter et tilsynsbesøg fra Datatilsynet. Indstillingen understreger, at Datatilsynet ikke tager let på brud med Databeskyttelsesforordningen. Alle afgørelserne kan findes på Datatilsynets hjemmeside.

Har du spørgsmål til persondatareglerne eller vil du vide, om du er compliant, er du meget velkommen til at kontakte ØENS persondataspecialist Lisa Lykke.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling:

Overholder din virksomhed persondatareglerne?
GDPR har til formål at fremme beskyttelsen af persondata. Hvis virksomheder ikke efterlever persondatareglerne, er der i GDPR, persondataforordningen, hjemmel til at pålægge private virksomheder store bøder på op til 20 millioner euro eller op til 4 % af virksomhedens/koncernens globale årsomsætning – afhængig af, hvad der er højest.

Hvad er persondata?
Håndtering af persondata gælder både følsomme og ikke-følsomme personoplysninger. Eksempler på følsomme oplysninger er personnummer, helbredsoplysninger, politisk tilhørsforhold og strafbare forhold, mens data som navn, adresse og telefonnummer betragtes som ikke-følsomme oplysninger.

Overordnet om persondataforordningen:

• Persondataforordningen giver en række rettigheder til de personer, hvis personoplysninger behandles (de registrerede), herunder en oplysningspligt om indsamling samt behandling af data.
• Persondataforordningen stiller krav til skriftlige databehandleraftaler mellem virksomheder og leverandører, som opbevarer eller behandler data på vegne af virksomheden.
• Virksomheder, hvis forretningsområde er at være databehandler, har udvidede forpligtelser og ansvar for overtrædelser. Den dataansvarlige, der har bestilt databehandlingen, skal dog stadig opfylde forpligtelserne over for de registrerede, herunder en oplysningspligt om enhver indsamling og behandling af data om den pågældende.
• Virksomheden skal have IT-systemer og applikationer, der kan anvendes til behandling af persondata, og de skal opfylde et krav om “Privacy by Design”. Det betyder, at de som standardindstilling skal sikre størst mulig beskyttelse af persondata.
• Kravene til den registreredes gyldige samtykke er skærpet og er eksplicit fastsat i lovgivningen.
• I har en selvanmeldelsespligt ved databrud, f.eks. ved hackerangreb, hvor persondata kompromitteres. Anmeldelse skal ske inden 72 timer til Datatilsynet.

Det er ikke nok, at I overholder reglerne i persondataforordningen. I skal ligeledes kunne dokumentere denne overholdelse. Kravene til dokumentation for at I overholder persondataforordningen (compliance) er blevet skærpet væsentligt og skal kunne vises til Datatilsynet, hvis de kommer på uanmeldt besøg.

Hvordan kommer I i gang?

Vi anbefaler at I udpeger relevante nøglepersoner i virksomheden, og afsætter tid og økonomi til arbejdet.
Dernæst skal I få kortlagt persondata i virksomheden, herunder:

• Hvilke persondata behandles?
• Hvem behandler vi persondata om?
• Hvad er formålet med databehandlingen?
• Er der samtykke eller andet lovligt grundlag for databehandlingen?
• Hvor gemmes data og hvem har adgang hertil?
• Deles data med tredjemand?
• Hvor længe gemmes data?

Når I har kortlagt persondata i virksomheden, bør I:

• Få skriftlige databehandleraftaler på plads i det omfang, det er nødvendigt.
• Få udarbejdet persondatapolitikker for de relevante funktioner, f.eks. HR, salg/marketing samt jeres egen personalehåndbog mv. – eller få opdateret de eksisterende politikker, så de opfylder de nye krav.
• Implementere de nødvendige tekniske og organisatoriske foranstaltninger, herunder interne instrukser til de medarbejdere, der behandler persondata.
• Få udviklet processer, der sikrer, at medarbejdere, kunders mv. (de registrerede) rettigheder bliver overholdt. F.eks. oplysningspligt og samtykke ved indsamling af data samt ved tilbagetrækning af samtykke.
• Vær klar til et eventuelt databrud. I skal have udarbejdet en procedure og et beredskab til håndtering heraf.
• Sørg for uddannelse af medarbejdere.
• Udpeg en persondataansvarlig, som følger op og sikrer fortsat compliance i virksomheden.

Få vores hjælp til GDPR

ØENS Advokatkontor kan hjælpe jer videre i forbindelse med persondatatjek og overholdelse af persondataforordningen. Vi vil sikre:

• Persondatatjek af jeres virksomhed.
• Persondatainstruks til HR-medarbejdere eller andre nøglepersoner.
• Persondatapolitik til rekruttering.
• Opdatering/udarbejdelse af intern personalehåndbog vedr. persondata.
• Persondatapolitik til virksomhedens hjemmeside og dermed jeres kunder.
• Persondatainstruks ift. it-sikkerhedspolitik.
• Procedure for håndtering af databrud.
• Udarbejdelse/gennemgang af databehandleraftaler.
• Tekstforslag og procedure for samtykkeerklæringer.
• Løbende uddannelse af medarbejdere, der håndterer.

Der er meget at tage fat på. Brug ØENS persondataspecialist Lisa Lykke til at afdække jeres behov og til prioritering af jeres opgaver.

Kontakt en af ØENS specialister

Advokatfirma

Lisa Lykke

Advokat, associeret partner

Afdeling: