IP/TMT Update. Update: Forhandlingerne om databeskyttelsesforordningen. om "one-stop-shop" - Ny frist for mulig vedtagelse

Transkript

1 Update: Forhandlingerne om databeskyttelsesforordningen - Uenighed i Rådet om "one-stop-shop" - Ny frist for mulig vedtagelse... 2 Højesteretsdom om TV der ikke ville kunne modtage public service-kanaler... 2 Anmodning om midlertidigt forbud blev indleveret for sent... 3 Ny sikkerhedsstandard for betalingskort... 3 EU-kommissionen anbefaler ændringer til Safe Harbor-ordningen... 4 Kontakt... 6

2 Update: Forhandlingerne om databeskyttelsesforordningen - Uenighed i Rådet om "one-stop-shop" - Ny frist for mulig vedtagelse Senior Policy Advisor Christian Wiese Svanberg, Finansministeriet Ministerrådet (retlige og indre anliggender) skal på ny behandle forslaget til en ny databeskyttelsesforordning på mødet den 6. december Som tidligere beskrevet her i IP/TMT Update har fokus for forhandlingerne på det seneste været den såkaldte "one-stop-shop" mekanisme, der skal løse de jurisdiktions- og håndhævelsesproblemer mv., der opstår, når 28 forskellige datatilsyn skal fortolke de samme regler. Det var tanken, at ministrene skulle blive enige om mekanismens indretning på mødet (en såkaldt "partial general approach"). Imidlertid fremgår det nu af mødedokumenterne, at punktet kun skal underkastes en "orienterende debat", hvilket indebærer, at spørgsmålet ikke bliver lukket på dette møde. Dette indebærer endvidere, at det endegyldigt må anses for udelukket, at forordningen kan nå at blive vedtaget inden parlamentsvalget i maj Dette medfører i sagens natur en del usikkerhed om det videre forløb, men det må umiddelbart forventes, at Rådet vil fortsætte sit arbejde ufortrødent og så påbegynde processen med Kommissionen og EP, når de har konstitueret sig i løbet af efteråret. Først dér vil det være muligt at sige noget klart om, hvilken retning reformarbejdet vil tage, men hvis man skal gisne, må det formodes, at der inden for overskuelig tid herefter (2015) vil være mulighed for at sikre en endelig vedtagelse. Højesteretsdom om TV der ikke ville kunne modtage public service-kanaler Advokatfuldmægtig Christian Nielsen Højesteret har den 29. november givet en forbruger medhold i, at han kunne ophæve købet af et fladskærms-tv, fordi forbrugeren ikke var blevet oplyst om, at tv'et, kort tid efter købet, ikke ville kunne modtage public service-kanaler uden køb af ekstraudstyr. I sagen havde en forbruger i januar 2008 købt et fladskærms-tv hos Expert, der forhandler tv, computere, audio- og elektroniske produkter. I sommeren 2007 offentliggjorde Kulturministeriet et beslutningspapir, tiltrådt af partierne bag daværende medieaftale, hvori det var besluttet, at public service-kanalerne i 2009 og 2012 skulle overgå til at sende i MPEG 4-standard. Beslutningen medførte, at tv'er, der kun kunne modtage signaler i MPEG 2-standarden, ikke kunne modtage public service-kanalerne DR K, DR HD og Ramasjang fra november 2009 og DR1, DR2 og TV2 fra Forbrugerens fladskærms-tv kunne kun modtage tv-signaler i MPEG 2-standarden, så da DR i november 2009 overgik til at sende visse kanaler i MPEG 4-standard købte forbrugeren en tv-boks, så han var i stand til at modtage kanalerne. Forbrugeren var i januar 2008 ikke klar over de kommende ændringer i signalstandarder, og Expert oplyste ikke om dem ved købet. I efteråret 2007 havde der været så mange informationer om overgangen til ny standard, at Højesteret tiltrådte Østre Landsrets vurdering om, at Expert i januar 2008 burde have vidst, at det pågældende udstyr ikke uden tilkøb af tv-boks kunne vise visse DR-kanaler. I medfør af købeloven kan en forbruger ophæve et køb, hvis salgsgenstanden lider af en mangel, der ikke er uvæsentlig. Højesteret udtalte, at Experts forsømmelse af at give forbrugeren oplysninger om, at tv'et indenfor dets normale brugsperiode ikke ville kunne modtage public servicekanaler, medmindre der tilkøbtes ekstraudstyr, var en mangel, der som udgangspunkt ikke var uvæsentlig. Derfor havde forbrugeren ret til at hæve købet. Forbrugeren anvendte tv'et fra januar 2008 til april Højesteret fandt derfor, at Expert var berettiget til, at fradrage 10 % af købesummen per år, i alt kr. for den nytte forbrugeren havde haft af tv'et i perioden med fradrag af 500 kr., der udgjorde købsprisen for tv-boksen. Højesteretsdommen kan få betydning for en række forbrugere, som fra efteråret 2007 har købt et tv, der kun var i stand til at modtage signal i MPEG 2-format. Har sælgeren ikke oplyst om de nye signalstandarder og har forbrugerne

3 ikke haft viden om forholdet, kan købet som udgangspunkt ophæves. Det er dog en betingelse, at forbrugeren har klaget til sælgeren senest to år efter overgivelse af tv'et. Dommen viser, at erhvervsdrivende, der sælger elektronik mv., som hurtigt kan forældes, har pligt til at holde sig ajour med produkternes anvendelighed. Den erhvervsdrivende er desuden forpligtet til at vejlede kunderne om forhold, som vil få betydning for produkternes anvendelighed, når disse forhold er kendt i markedet. Højesteretsdommen kan læses her. Anmodning om midlertidigt forbud blev indleveret for sent Advokatfuldmægtig Andreas Cederholm Sø- og Handelsretten nægtede ved kendelse den 22. november 2013 at nedlægge et midlertidigt forbud under henvisning til, at forbudspåstanden samlet set savnede klarhed, og at sagsøgeren havde ventet for længe med at indgive sin anmodning. En påstand skal være klar og skal kunne danne basis for en domskonklusion. Dette var ikke tilfældet i denne sag, hvor Sø- og Handelsretten fandt, at en forbudspåstand, som bl.a. indeholdt formuleringen " i nogle sammenhænge, såvel digitalt som fysisk " var for ubestemt, hvorfor forbudspåstanden ikke kunne fremmes. Allerede af den grund kunne der ikke nedlægges et forbud, men Sø- og Handelsretten fandt alligevel grund til at bemærke, at sagsøgeren i øvrigt havde udvist en sådan tøven i sagen, at et forbud også ville blive nægtet af denne grund, jf. retsplejelovens 413, nr. 3. I den forbindelse lagde Sø- og Handelsretten vægt på, at sagsøgeren havde fremført indsigelser i 2007, 2009 og 2011, uden at der var fundet en løsning og uden at der var iværksat retslige skridt trods sagsøgerens trusler herom. Endvidere lagde Sø- og Handelsretten vægt på, at sagsøgeren havde ventet ca. 3½ måned med at indlevere sin forbudsanmodning regnet fra sagsøgerens seneste indsigelse i Henset til dette forløb var det ikke godtgjort, at sagsøgerens ret ville forspildes ved at afvente en retlig afgørelse af de foreliggende tvistepunkter, jf. retsplejelovens 413, nr. 3. Kendelsen viser, at man ikke skal vente alt for længe fra der opstår en konflikt til man indlever en anmodning om midlertidigt forbud. Det er dog usikkert, om en tøven på 3½ måned i sig selv vil være i strid med betingelsen i retsplejelovens 413, nr. 3. Kendelsen kan læses her. Ny sikkerhedsstandard for betalingskort Advokatfuldmægtig Christian Nielsen Payment Card Industry Security Standards Council (PCIC) udgav i november måned version 3.0 af standarden for datasikkerhed for betalingskort og standarden for datasikkerhed for betalingsinstrumenter - kendt som PCI-standarden. PCIC er et åbent, globalt forum med ansvar for udvikling, varetagelse, uddannelse af samt oplysning om sikkerhedsstandarderne. PCIC blev grundlagt i 2006 af de fem betalingstjenestemastodonter American Express, Discover Financial Services, JCB, MasterCard Worldwide og Visa International. Udover de fem grundlæggere består PCIC af en lang række aktører på markedet for betalingstjenester, blandt andet banker, finansieringsinstitutter, virksomheder og interesseorganisationer. PCIC udgav i november version 3.0 af standarden for datasikkerhed for betalingskort (PCI DSS), der gælder for alle der opbevarer, behandler eller videregiver data om betalingskortet. Betalingskortdata omfatter blandt andet kortnummer, kortholders navn og sikkerhedskoder. Standarden for datasikkerhed for betalingsinstrumenter (PA-DSS) er målrettet erhvervsdrivende, der udvikler, integrerer og administrerer betalingsinstrumenter, og som opbevarer, behandler og videregiver data om betalingskortet i forbindelse med godkendelse og gennemførelse af betalinger. Undtaget fra PA-DSS er dog betalingsinstrumenter, der alene er udviklet og anvendt til intern brug hos en erhvervsdrivende eller organisation. PCIC's standarder revideres og udgives i en ny version hvert tredje år, og de seneste versioner 3.0 træder i kraft 1. januar For at give erhvervsdrivende og organisationer mulighed for at implementere de nye standarder, er der en relativt lang transitionsfase, hvilket betyder, at stan-

4 darderne version 2.0 først sættes ud af kraft 31. december Version 3.0 har en endnu længere integrationsfase, og vil alene blive anset for "best practice" indtil midten af PCIC har som målsætning at hjælpe erhvervsdrivende og organisationer med at implementere værktøjer til at varetage betalingssikkerheden i alle dele af deres forretning. Standarderne version 3.0 har derfor et øget fokus på "best practice", forbedret træning og krav til uddannelse samt indført en vis fleksibilitet i forhold til opfyldelse af visse regler. Nogle af de nye krav i PCI DSS version 3.0 er: - Minimumskrav til kompleksitet af pinkode - Krav til tjenesteydere med fjernadgang til kundedatabaser om at anvende unikke identifikationsmekanismer til at genkende hver kunde - Kontrol af personales fysiske adgang til områder med følsomme oplysninger - Krav om, at en dataansvarlig og en databehandler skriftligt aftaler, hvilke ansvarsområder de hver især har ansvar for. Dette punkt er en slags udvidelse af persondatalovens krav til indgåelse af en databehandleraftale. På trods af, at der er en lang transitionsperiode for version 3.0, bør erhvervsdrivende og organisationer allerede nu starte forberedelserne med implementering af de nye standarder. Læs mere om PCI DSS og PA-DSS her. EU-kommissionen anbefaler ændringer til Safe Harbor-ordningen Advokatfuldmægtig Christian Nielsen EU-kommissionen offentliggjorde den 27. november 2013 en analyse af EU-USA Safe Harborordningen samt andre aftaler mellem EU og USA om overførsel af persondata fra EU til USA. I henhold til persondataloven må der som udgangspunkt kun overføres persondata til et land udenfor EØS (de såkaldte tredjelande), hvis tredjelandet sikrer et tilstrækkeligt beskyttelsesniveau for behandling af persondata. USA anses som et tredjeland, der ikke sikrer et tilstrækkeligt beskyttelsesniveau. Supplerende til de andre retsgrundlag for overførsel til usikre tredjelande, har man indgået aftale mellem EU og USA om Safe Harbor-ordningen: Amerikanske virksomheder kan certificeres på USA's handelsministeriums hjemmeside, og betragtes derefter som virksomheder etableret i et sikkert tredjeland. Safe Harbor-ordningen gør overførslen af persondata fra EU til USA enklere og mindre bureaukratisk. I sin analyse af Safe Harbor-ordningen konkluderer EU-kommissionen, at den nuværende ordning mangler gennemsigtighed samt ikke håndhæves i praksis. Resultatet er, at virksomheder, der er certificeret, i nogle tilfælde undlader at overholde principperne i Safe Harbor-ordningen, og dermed ikke leverer den beskyttelse af persondata som EU kræver. EU-kommissionen anbefaler derfor, at Safe Harbor-certificerede virksomheder skal offentliggøre deres persondatapolitik samt persondataklausuler i kontrakter med underleverandører og samarbejdspartnere. Desuden anbefales det, at der foretages regelmæssig ekstern kontrol af, om certificerede virksomheder overholder principperne i Safe Harbor-ordningen. Derudover ønsker EU-kommissionen også klarere retningslinjer for, i hvilke tilfælde amerikanske myndigheder kan opnå adgang til persondata, der behandles af en certificeret virksomhed i medfør af Safe Harbor-ordningen. De tiltag, der er nødvendige for at imødekomme EU-kommissionens anbefalinger, vil blive forhandlet frem mod sommeren I forhandlingerne deltager både EU-kommissionen, Parlamentet, Rådet og de relevante amerikanske myndigheder. Herefter vil EU-kommissionen vurdere, om Safe Harbor-ordningen skal fastholdes i sin nuværende form, ændres, suspenderes eller ophæves. I kølvandet på EU-kommissionens anbefalinger, vil Artikel 29-gruppen (der består af repræsentanter fra EU-medlemsstaternes nationale datatilsyn m.fl.) undersøge de registrerede personers rettigheder under Safe Harbor-ordningen. Artikel 29-gruppen planlægger at offentliggøre en foreløbig tilkendegivelse i februar 2014, inden den officielle undersøgelse offentliggøres.

5 Indtil EU-kommissionen har afgjort Safe Harborordningens skæbne, kan den anvendes som hidtil. Virksomheder i EU, der ønsker at overføre persondata til virksomheder i USA, kan fortsat, som alternativ til Safe Harbor-ordningen, anvende EU-kommissionens standardkontraktbestemmelser. For multinationale koncerner, er et andet alternativ at anvende bindende virksomhedsregler (Binding Corporate Rules). Ved at anvende et af de to alternativer sikrer virksomheder sig, at et tilstrækkeligt beskyttelsesniveau for behandlingen af persondata er opnået, uanset om Safe Harbor også kan anvendes fremover.

6 Kontakt De nævnte er og e kan også kontaktes på telefon Peter-Ulrik Plesner pup@plesner.com Sture Rygaard sry@plesner.com Niels Chr. Ellegaard nce@plesner.com Michael Hopp mho@plesner.com Mikkel Vittrup mvi@plesner.com Christian L. Bardenfleth chb@plesner.com Jon Balsby jby@plesner.com Henrik Bechgaard hbd@plesner.com Mette Hygum Clausen mhc@plesner.com Kasper Frahm kfr@plesner.com Henrik Rubæk Jørgensen hrj@plesner.com Andreas Poul Cederholm apc@plesner.com Peter Nørgaard pno@plesner.com Kamilla Enevoldsen kam@plesner.com Mette-Marie Henrichsen mmh@plesner.com Sara Munch Andersen san@plesner.com

7 Christian Nielsen Sarah Gahrn Møller Plesner Amerika Plads København Ø CVR-nr Tlf Fax Plesner er anerkendt som et af de førende full-service firmaer i Danmark. Med ca. 380 ansatte, hvoraf 250 er juridiske medarbejdere, kan vi løfte de største og mest komplekse juridiske opgaver. Vores mål er at skabe størst mulig værdi for vores klienters forretning gennem fokuseret og proaktiv rådgivning, konstant udvikling af vores kompetencer og et højt serviceniveau. Vi dækker alle væsentlige erhvervsretlige områder og opnår til stadighed branchens højeste ratings. Vores specialister er blandt de absolut bedste på hver deres felt og varetager danske og internationale klienters interesser i Danmark og udlandet. Dette nyhedsbrev er kun til generel oplysning og kan ikke erstatte juridisk rådgivning. Plesner påtager sig intet ansvar for tab som følge af fejlagtig information i nyhedsbrevet eller andre forhold i forbindelse hermed.