ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2013 om apps i intelligente enheder

Save this PDF as:
 WORD  PNG  TXT  JPG

Størrelse: px
Starte visningen fra side:

Download "ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2013 om apps i intelligente enheder"

Transkript

1 ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00461/13/DA WP 202 Udtalelse nr. 02/2013 om apps i intelligente enheder Vedtaget den 27. februar 2013 Artikel 29-Gruppen er nedsat i henhold til artikel 29 i direktiv 95/46/EF. Gruppen er et uafhængigt EU-rådgivningsorgan vedrørende databeskyttelse og beskyttelse af privatlivets fred. Dens opgaver er beskrevet i artikel 30 i direktiv 95/46/EF og artikel 15 i direktiv 2002/58/EF. Sekretariatet varetages af Direktorat C (Grundlæggende rettigheder og unionsborgerskab) i Europa-Kommissionens Generaldirektorat for Retlige Anliggender, B-1049 Bruxelles, Belgien, kontor MO-59 02/013. Websted:

2 Resumé Der findes hundredtusindvis af forskellige apps fra en række forskellige app-butikker for de enkelte populære typer intelligente enheder. Det er blevet rapporteret, at app-butikkerne får flere end nye apps hver dag. Det siges, at den gennemsnitlige smartphone-bruger downloader 37 apps. Apps er enten gratis eller koster meget lidt at anskaffe for slutbrugeren og kan have meget få eller mange millioner brugere. Apps kan indsamle store mængder oplysninger fra enheden (f.eks. de oplysninger, som brugeren lagrer på enheden, og oplysninger fra forskellige sensorer, herunder lokalisering) og behandle dem med henblik på at tilbyde nye og innovative tjenester til slutbrugeren. Disse datakilder kan imidlertid viderebehandles, normalt for at generere indtægter, på en måde, som slutbrugeren er uvidende om eller ikke ønsker. App-udviklere, som ikke er bekendt med databeskyttelseskravene, kan skabe store risici for beskyttelsen af privatlivets fred og omdømmet for de intelligente enheders brugere. De største databeskyttelsesrisici for slutbrugerne er den manglende gennemsigtighed og det manglende kendskab til de typer behandling, en app kan foretage, samt undladelse af at indhente slutbrugernes samtykke, før behandlingen foretages. Dårlige sikkerhedsforanstaltninger, en klar tendens i retning af datamaksimering og de løse rammer for formålene med indsamlingen af personoplysninger bidrager til at øge databeskyttelsesrisiciene inden for det aktuelle app-miljø. Databeskyttelsen er også udsat for risiko som følge af den store fragmentering mellem de mange aktører, der er involveret i app-udviklingen, bl.a.: app-udviklere, app-ejere, app-butikker, producenter af operativsystemer og enheder (OS- og enhedsproducenter) samt andre tredjeparter, der kan være involveret i indsamlingen og behandlingen af personoplysninger fra intelligente enheder som f.eks. analyse- og reklamebureauer. De fleste af konklusionerne og anbefalingerne i denne udtalelse er rettet mod app-udviklerne (idet de har størst kontrol over, hvordan behandlingen præcist foretages, eller hvordan oplysningerne præsenteres i appen), men de er ofte nødt til at samarbejde med andre parter i appens økosystem for at kunne opfylde de højeste standarder for beskyttelse af privatlivets fred og databeskyttelse. Dette er især vigtigt i forbindelse med sikkerhed, hvor en kæde med flere aktører kun er så stærk som det svageste led. Mange af de typer oplysninger, der er tilgængelige på en intelligent mobil enhed, er personoplysninger. Retsgrundlaget er databeskyttelsesdirektivet samt den beskyttelse af mobile enheder som led i brugernes privatliv, der gives i e-data-direktivet. Reglerne finder anvendelse på enhver app, der er rettet mod app-brugere i EU, uanset hvor app-udvikleren eller -butikken befinder sig. I denne udtalelse uddyber Gruppen retsgrundlaget for behandlingen af personoplysninger i forbindelse med udvikling, distribution og brug af apps på intelligente enheder, med fokus på samtykkekravet, principperne om formålsbegrænsning og dataminimering, behovet for at træffe passende sikkerhedsforanstaltninger, forpligtelsen til at informere slutbrugerne korrekt, deres rettigheder, rimelige lagringsperioder og specifikt rimelig behandling af oplysninger, som indsamles fra og om børn. 2

3 Indholdsfortegnelse 1. Indledning Databeskyttelsesrisici Databeskyttelsesprincipper Gældende ret Personoplysninger, der behandles i apps Parter, der er involveret i databehandlingen App-udviklere OS- og enhedsproducenter App-butikker Tredjeparter Retligt grundlag Samtykke før installation og behandling af personoplysninger Retlige grundlag for databehandling under brug af appen Formålsbegrænsning og dataminimering Sikkerhed Information Oplysningspligt og påkrævet indhold Informationens form Den registreredes rettigheder Lagringsperioder Børn Konklusioner og anbefalinger

4 1. Indledning Apps er softwareprogrammer, der ofte er udviklet til en bestemt opgave og målrettet mod bestemte intelligente enheder som f.eks. smartphones, tablets og tv-apparater med internetforbindelse. De arrangerer information på en måde, der passer til enhedens særlige karakteristika, og indgår ofte i et tæt samspil med enhedernes hardware og operativsystem. Der findes hundredtusindvis af forskellige apps fra en række forskellige app-butikker for de enkelte populære typer intelligente enheder. Apps tjener en lang række forskellige formål, bl.a. browsing på internettet, kommunikation ( , telefoni og messaging), underholdning (spil, film/video og musik), sociale netværk samt bank- og lokalitetsbaserede tjenester. Det er blevet rapporteret, at app-butikkerne får flere end nye apps hver dag. 1 Den gennemsnitlige smartphone-bruger downloader 37 apps. 2 Apps er enten gratis eller koster meget lidt at anskaffe for slutbrugeren og kan have meget få eller mange millioner brugere. Det underliggende operativsystem indeholder også software eller datastrukturer, som er vigtige for den intelligente enheds primære tjenester, som f.eks. en smartphones adressebog. Operativsystemet er bygget til at gøre disse komponenter tilgængelige for apps ved hjælp af programmeringsgrænseflader for applikationer (API). Disse API'er giver adgang til en lang række sensorer, som kan være indbygget i intelligente enheder, bl.a.: et gyroskop, et digitalt kompas og accelerometer, som angiver hastighed og retning, kamera på for- og bagsiden til at optage video og billeder samt en mikrofon til at optage lyd. Intelligente enheder kan også indeholde afstandsfølere. 3 Desuden kan intelligente enheder skabe forbindelse gennem en lang række forskellige netværksgrænseflader som f.eks. Wi-Fi, Bluetooth, NFC eller Ethernet. Endelig kan den nøjagtige position beregnes ved hjælp af geolokaliseringstjenester (som beskrevet i Artikel 29-Gruppens udtalelse nr. 12/2011 om geolokaliseringstjenester i intelligente mobile enheder 4 ). Typen, nøjagtigheden og frekvensen af disse sensordata varierer fra enhed til enhed og afhængigt af operativsystemet. Ved hjælp af API kan app-udviklerne indsamle sådanne oplysninger løbende, få adgang til og skrive kontaktoplysninger, sende , SMS eller sociale netværksbeskeder, læse/ændre/slette indholdet på SD-kort, optage lyd, bruge kameraet og få adgang til de gemte billeder, læse telefonens tilstand og identitet, ændre de globale systemindstillinger og forhindre, at telefonen går i dvale. API'er kan også tilvejebringe oplysninger om selve enheden gennem en eller flere unikke identifikatorer samt oplysninger om andre installerede apps. Disse datakilder kan viderebehandles, normalt for at generere indtægter, på en måde, som slutbrugeren er uvidende om eller ikke ønsker Rapport i ConceivablyTech af 19. august 2012, tilgængelig på Citeret af Kamala D. Harris, generalstatsanklager i Californiens justitsministerium, i "Privacy on the go, Recommendations for the mobile ecosystem", januar 2013, Dette er et globalt overslag for 2012 foretaget af ABI Research, En sensor, som kan mærke tilstedeværelsen af et fysisk objekt uden fysisk kontakt. Se: Se Artikel 29-Gruppens udtalelse nr. 13/2011 om geolokaliseringstjenester i intelligente mobile enheder (maj 2011), 4

5 Formålet med denne udtalelse er at beskrive retsgrundlaget for behandlingen af personoplysninger i forbindelse med distribution og brug af apps på intelligente enheder samt at tage stilling til den viderebehandling, der kan finde sted uden for appen, som f.eks. brug af de indsamlede oplysninger til at udarbejde profiler og skabe kontakt til brugerne. Udtalelsen analyserer de vigtigste risici for databeskyttelsen, beskriver de forskellige aktører og fremhæver de forskellige retlige forpligtelser. Den kommer bl.a. ind på: app-udviklere, app-ejere, app-butikker, producenter af operativsystemer og enheder (OS- og enhedsproducenter) samt andre tredjeparter, der kan være involveret i indsamlingen og behandlingen af personoplysninger fra intelligente enheder som f.eks. analyse- og reklamebureauer. Udtalelsen fokuserer på samtykkekravet, principperne om formålsbegrænsning og dataminimering, behovet for at træffe passende sikkerhedsforanstaltninger, forpligtelsen til at informere slutbrugerne korrekt, deres rettigheder, rimelige lagringsperioder og specifikt rimelig behandling af oplysninger, som indsamles fra og om børn. Udtalelsen dækker mange forskellige typer intelligente enheder, men fokuserer især på apps til intelligente mobile enheder. 2. Databeskyttelsesrisici På grund af det tætte samspil med operativsystemet kan apps få adgang til væsentligt flere oplysninger end de traditionelle internetbrowsere. 5 Apps kan indsamle store mængder oplysninger fra enheden (positionsoplysninger, oplysninger, som brugeren lagrer på enheden, og oplysninger fra forskellige sensorer) og behandle dem med henblik på at tilbyde nye og innovative tjenester til slutbrugeren. Databeskyttelsen er også udsat for risiko som følge af den store fragmentering mellem de mange aktører, der er involveret i app-udviklingen. Et enkelt dataelement kan overføres i realtid fra enheden til behandling et andet sted i verden eller kan kopieres mellem kæder af tredjeparter. Nogle af de bedst kendte apps er udviklet af store teknologivirksomheder, men mange andre kommer fra små nystartede virksomheder. Én programmør med en god idé og beskeden eller slet ingen programmeringserfaring kan meget hurtigt nå ud til et globalt publikum. App-udviklere, som ikke er bekendt med databeskyttelseskravene, kan skabe store risici for beskyttelsen af privatlivets fred og omdømmet for de intelligente enheders brugere. Samtidig udvikler tredjepartstjenester såsom annoncering sig hurtigt, og disse kan, hvis en app-udvikler uden videre integrerer dem, videregive store mængder personoplysninger. De største databeskyttelsesrisici for slutbrugerne er den manglende gennemsigtighed og det manglende kendskab til de typer behandling, en app kan foretage, samt undladelse af at indhente slutbrugernes samtykke, før behandlingen foretages. Dårlige sikkerhedsforanstaltninger, en klar tendens i retning af datamaksimering og de løse rammer for formålene med indsamlingen af personoplysninger bidrager til at øge databeskyttelsesrisiciene inden for det aktuelle app-miljø. Mange af disse risici er allerede blevet undersøgt og behandlet af andre internationale tilsynsmyndigheder, herunder USA's Federal Trade Commission, Canadas Office of the Privacy Commissioner og generalstatsanklageren i Californiens justitsministerium Selv om internetbrowsere til desktopcomputere i større og større grad kan få adgang til sensordata på slutbrugernes enheder takket være udviklere af webspil. Se bl.a. FTC's rapport "Mobile Privacy Disclosures, Building Trust Through Transparency", februar 2013, FTC's rapport "Mobile Apps for Kids: Current Privacy Disclosures are Disappointing", februar 2012, og opfølgningsrapporten "Mobile Apps for 5

6 En stor risiko for databeskyttelsen er manglende gennemsigtighed. App-udviklerne er begrænset af de funktioner, som OS-producenterne og app-butikkerne udvikler for at sikre, at store mængder oplysninger kan være tilgængelige på det relevante tidspunkt for slutbrugeren. Det er imidlertid ikke alle app-udviklere, som udnytter disse funktioner, idet mange apps ikke har en fortrolighedspolitik eller undlader at informere de potentielle brugere på en meningsfuld måde om den type personoplysninger, som appen kan behandle, og til hvilke formål. Den manglende gennemsigtighed er ikke kun et problem for gratis apps eller apps ejet af uerfarne udviklere, hvilket for nyligt blev beskrevet i en undersøgelse, som viste, at blot 61,3 % af de 150 mest populære apps havde en fortrolighedspolitik. 7 Den manglende gennemsigtighed er tæt forbundet med manglen på frivilligt og informeret samtykke. Når først appen er blevet downloadet, skal slutbrugeren ofte blot give sit samtykke ved at afkrydse et felt, hvor denne accepterer vilkår og betingelser, og hvor der end ikke er mulighed for at sige "Nej tak". Ifølge en GSMA-undersøgelse fra september 2011 ønsker 92 % af app-brugerne flere valgmuligheder. 8 Dårlige sikkerhedsforanstaltninger kan føre til uautoriseret behandling af (følsomme) personoplysninger, f.eks. hvis der sker et sikkerhedsbrud hos en app-udvikler, eller hvis appen selv lækker personoplysninger. En anden risiko for databeskyttelsen handler om tilsidesættelse (på grund af uvidenhed eller bevidst) af princippet om formålsbegrænsning, ifølge hvilket personoplysninger kun må indsamles og behandles med specifikke og legitime formål for øje. Personoplysninger, som indsamles af apps, kan videregives til en lang række tredjeparter til uafgrænsede eller upræcise formål såsom "markedsanalyse". Det samme alarmerende fænomen ses for princippet om dataminimering. En nylig undersøgelse har vist, at mange apps indsamler store mængder oplysninger fra smartphones, uden at det har nogen meningsfuld relation til appens umiddelbare funktionalitet. 9 3 Databeskyttelsesprincipper 3.1 Gældende ret Den relevante retlige ramme i EU er databeskyttelsesdirektivet (95/46/EF). Det finder anvendelse i alle situationer, hvor personoplysninger behandles som følge af brugen af apps i intelligente enheder. Kids: Disclosures Still Not Making the Grade", december 2012, Office of the Privacy Commissioner of Canadas "Seizing Opportunity: Good Privacy Practices for Developing Mobile Apps", oktober 2012, Kamala D. Harris, generalstatsanklager i Californiens justitsministerium, "Privacy on the go, Recommendations for the mobile ecosystem", januar 2013, 7 FPF, juni 2012, "Mobile Apps Study", Study-June-2012.pdf 8 "89 % [af brugerne] finder det vigtigt at vide, hvornår deres personoplysninger deles af en applikation, samt at kunne vælge dette til eller fra." Kilde: "User perspectives on mobile privacy", september 2011, 9 Wall Street Journal, "Your Apps Are Watching You", 6

7 For at bestemme den gældende ret er det vigtigt først at afdække de forskellige aktørers rolle, og her er det særligt vigtigt at identificere, hvem den eller de registeransvarlige er i forbindelse med behandlingen af personoplysninger i mobile apps. Bestemmelse af, hvem den registeransvarlige er, er afgørende for, hvorvidt EU's databeskyttelseslovgivning skal anvendes, men er dog ikke det eneste kriterium. I henhold til databeskyttelsesdirektivets artikel 4, stk. 1, litra a), finder medlemsstaternes nationale bestemmelser anvendelse på al behandling af personoplysninger, "der foretages som led i en virksomheds [ ] aktiviteter", inden for den medlemsstats område, hvor den registeransvarlige er etableret. Ifølge artikel 4, stk. 1, litra c), finder medlemsstatens nationale lovgivning også anvendelse på situationer, hvor den registeransvarlige ikke er etableret på Fællesskabets område og anvender midler, som befinder sig på den pågældende medlemsstats område. Eftersom enheden er medvirkende til behandlingen af personoplysninger fra og om brugeren, er dette kriterium normalt opfyldt. 10 Dette er imidlertid kun relevant, hvis den registeransvarlige ikke er etableret i EU. Derfor gælder det, at når en part, som er involveret i udvikling, distribution og drift af apps, vurderes at være registeransvarlig, er en sådan part alene eller sammen med andre ansvarlig for at sikre opfyldelse af alle kravene i databeskyttelsesdirektivet. Identifikation af rollerne for de forskellige parter, der er involveret i de mobile apps, bliver analyseret nærmere i afsnit 3.3 nedenfor. Ud over databeskyttelsesdirektivet udstikker e-data-direktivet (2002/58/EF, som ændret ved 2009/136/EF) en specifik standard for alle, der ønsker at lagre eller få adgang til oplysninger, der er lagret på enheder tilhørende brugere i Det Europæiske Økonomiske Samarbejdsområde (EØS). E-data-direktivets artikel 5, stk. 3, fastlægger, at "lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i en abonnents eller brugers terminaludstyr, kun er tilladt på betingelse af, at abonnenten eller brugeren har givet sit samtykke hertil efter i overensstemmelse med direktiv 95/46/EF at have modtaget klare og fyldestgørende oplysninger, bl.a. om formålet med behandlingen". ( ) Mange af bestemmelserne i e-data-direktivet finder kun anvendelse på udbydere af offentligt tilgængelige elektroniske kommunikationstjenester og udbydere af offentlige kommunikationsnet i Fællesskabet, men artikel 5, stk. 3, finder anvendelse på enhver enhed, som placerer oplysninger på eller læser oplysninger fra intelligente enheder. Det finder anvendelse uanset enhedens beskaffenhed (dvs. offentlig eller privat, en individuel programmør eller en stor virksomhed, eller om den er registeransvarlig, registerfører eller tredjepart). Samtykkekravet i artikel 5, stk. 3, finder anvendelse på alle oplysninger uden hensyn til arten af de oplysninger, der lagres eller skaffes adgang til. Det er ikke begrænset til personoplysninger, men kan være en hvilken som helst type oplysninger, der er lagret på enheden. Samtykkekravet i e-data-direktivets artikel 5, stk. 3, finder anvendelse på alle tjenester, der tilbydes "i Fællesskabet", dvs. på alle enkeltpersoner, der bor i Det Europæiske Økonomiske Samarbejdsområde, uanset tjenesteudbyderens position. Det er vigtigt for app-udviklere at vide, at begge direktiver er ufravigelige retsakter, idet en persons rettigheder ikke kan overdrages og ikke kan fraviges ved kontrakt. Det betyder, at anvendelse af den europæiske lovgivning om beskyttelse af privatlivets fred ikke kan fraviges ved en ensidig erklæring eller en aftale I det omfang appen genererer trafik med personoplysninger til registeransvarlige. Det er ikke sikkert, at dette kriterium er opfyldt, hvis oplysninger kun behandles lokalt på selve enheden. F.eks. erklæringer om, at det udelukkende er lovgivningen i et retsområde uden for EØS, der finder anvendelse. 7

8 3.2 Personoplysninger, der behandles i apps Mange af de typer oplysninger, der lagres på eller genereres af intelligente enheder, er personoplysninger. Betragtning 24 i e-data-direktivet: "Terminaludstyr for brugere af elektroniske kommunikationsnet og alle oplysninger, der er lagret på sådant udstyr, er en del af brugernes privatsfære, der kræver beskyttelse i henhold til den europæiske konvention til beskyttelse af menneskerettigheder og grundlæggende frihedsrettigheder." De er personoplysninger, hvis de er relateret til en person, som direkte (f.eks. ved navn) eller indirekte kan identificeres af den registeransvarlige eller en tredjepart. De kan omhandle ejeren af enheden eller en anden person, f.eks. en vens kontaktoplysninger i adressebogen. 12 Oplysninger kan indsamles og behandles på enheden eller, når de er overført, et andet sted, på app-udvikleres eller tredjeparters infrastruktur, via forbindelse til en ekstern API, i realtid uden slutbrugerens vidende. Eksempler på sådanne personoplysninger, som kan have en væsentlig indvirkning på brugernes og andre personers privatliv, omfatter: - position - kontakter - unik enheds- og kundeidentifikatorer (f.eks. IMEI 13, IMSI 14, UDID 15 og mobiltelefonnummer) - den registreredes identitet - telefonens identitet (dvs. telefonens navn 16 ) - kreditkort- og betalingsdata - opkaldsregistrering, SMS eller instant messaging - browsinghistorik - - informationssamfundstjenesters autentificeringsoplysninger (herunder især tjenester med sociale funktioner) - billeder og video - biometri (f.eks. ansigtsgenkendelse og fingeraftryksskabeloner). 3.3 Parter, der er involveret i databehandlingen Mange forskellige parter er involveret i udvikling, distribution og drift af apps, og de kan alle have forskellige databeskyttelsesforpligtelser. Der er fire primære parter, nemlig: i) app-udviklerne (herunder app-ejere) 17, ii) producenterne af operativsystemet og enheden ("OS- og enhedsproducenter") 18, iii), app-butikkerne (appens distributør) Oplysninger kan i) genereres automatisk af enheden på grundlag af funktioner, som OS- og/eller enhedsproducenten eller den relevante mobiltelefoniudbyder har indbygget (f.eks. geolokaliseringsdata, netværksindstillinger, IP-adresse), ii) genereres af brugeren gennem apps (kontaktlister, noter, billeder), iii) genereres af apps (f.eks. browsinghistorik). International identitet for mobiludstyr (International Mobile Equipment Identity). International identitet for mobilabonnement (International Mobile Subscriber Identity). Unik udstyrsidentifikator (Unique Device Identifier). Brugere giver ofte telefonen deres rigtige navn: "Hans Hansens iphone". Gruppen bruger app-udviklernes almindelige terminologi, men understreger, at begrebet ikke kun omfatter programmører eller tekniske udviklere af apps, men også app-ejerne, dvs. de virksomheder og organisationer, der bestiller apps og bestemmer, hvad de skal bruges til. 8

9 og endelig iv) andre parter, som deltager i behandlingen af personoplysninger. I nogle tilfælde deles databeskyttelsesforpligtelserne, især når den samme enhed deltager på flere trin, f.eks. hvis OSproducenten også kontrollerer app-butikken. Slutbrugerne bør også tage et ansvar, i det omfang de opretter og lagrer personoplysninger gennem deres mobile enheder. Hvis en sådan behandling kun tjener et formål i forbindelse med udøvelse af rent personlige eller familiemæssige aktiviteter, finder databeskyttelsesdirektivet ikke anvendelse (artikel 3, stk. 2), og brugeren er fritaget fra de formelle databeskyttelsesforpligtelser. Hvis brugere imidlertid beslutter sig for at dele oplysninger via appen, f.eks. ved at offentliggøre oplysninger til et ubegrænset antal personer 19, som er brugere af en social netværks-app, behandler de oplysninger på en måde, som ikke er omfattet af fritagelsen vedrørende familiemæssige aktiviteter App-udviklere App-udviklere udvikler apps og/eller stiller dem til rådighed for slutbrugere. Denne kategori omfatter organisationer i den private og offentlige sektor, som overgiver udviklingen af apps til en underleverandør, og de virksomheder og personer, der opbygger og anvender apps. De designer og/eller skaber den software, der skal køre på smartphones, og bestemmer dermed, i hvilket omfang appen skal have adgang til og behandle de forskellige kategorier af personoplysninger på enheden og/eller gennem fjernressourcer (app-udvikleres eller tredjeparters computerenheder). I det omfang app-udvikleren fastlægger formålet med og metoderne til behandling af personoplysninger på intelligente enheder, er han registeransvarlig, jf. databeskyttelsesdirektivets artikel 2, litra d). Det betyder, at han skal opfylde alle databeskyttelsesdirektivets bestemmelser. De vigtigste bestemmelser er beskrevet nærmere i denne udtalelses afsnit 3.4 til Selv når fritagelsen vedrørende familiemæssige aktiviteter finder anvendelse på en bruger, vil appudvikleren stadig være registeransvarlig, hvis han behandler oplysningerne til egne formål. Dette er f.eks. relevant, når appen kræver adgang til hele adressebogen for at kunne levere tjenesten (instant messaging, telefonopkald, videoopkald). App-udviklerens ansvar bliver væsentligt mindre, hvis der ikke behandles nogen personoplysninger, og/eller hvis de ikke bliver tilgængelige uden for enheden, eller hvis app-udvikleren har truffet passende tekniske og organisatoriske foranstaltninger til at sikre, at oplysningerne anonymiseres fuldstændigt og samles på selve enheden, før de forlader enheden. I alle tilfælde gælder det, at hvis app-udvikleren har adgang til oplysninger, der er lagret på enheden, finder e-data-direktivet også anvendelse, og app-udvikleren skal opfylde samtykkekravet i direktivets artikel 5, stk. 3. I det omfang app-udvikleren har overdraget hele eller dele af den egentlige behandling til en tredjepart, og denne tredjepart bliver registerfører, skal app-udvikleren opfylde alle forpligtelserne I nogle tilfælde er OS-producenten og enhedsproducenten overlappende, mens enhedsproducenten i andre tilfælde ikke er den samme som OS-producenten. Se Domstolens dom i sag C-101/01, Straffesag mod Bodil Lindqvist, dom af 6. november 2003, og sag C- 73/07, Tietosuojavaltuutettu mod Satakunnan Markkinapörssi Oy og SatamediaOy, dom af 16. december Se Artikel 29-Gruppens udtalelse nr. 5/2009 om internetbaserede sociale netværksaktiviteter (juni 2009), 9

10 vedrørende brug af en registerfører. Dette omfatter også brug af en udbyder af cloud computingtjenester (f.eks. til ekstern datalagring). 21 I det omfang app-udvikleren giver mulighed for, at tredjeparter får adgang til brugerdata (f.eks. et reklamenet, der får adgang til geolokaliseringsdata i enheden for at levere adfærdsbaseret annoncering), skal denne anvende passende mekanismer til at sikre overholdelse af de gældende krav i EU-lovgivningen. Hvis tredjeparten får adgang til oplysninger lagret på enheden, finder forpligtelsen til at indhente informeret samtykke i e-data-direktivets artikel 5, stk. 3, anvendelse. Hvis tredjeparten behandler personoplysninger til eget formål, kan denne også være fælles registeransvarlig med appudvikleren og skal derfor sikre overholdelse af princippet om formålsbegrænsning og sikkerhedsforpligtelserne 22 for den del af behandlingen, for hvilken tredjeparten bestemmer formål og metoder. Der kan være aftalt forskellige typer ordninger både kommercielle og tekniske mellem app-udviklere og tredjeparter, hvorfor de enkelte parters respektive ansvar skal fastsættes fra sag til sag under hensyntagen til de særlige omstændigheder ved den pågældende behandling. En app-udvikler kan bruge tredjepartsbiblioteker med software, der indeholder fælles funktionaliteter, f.eks. et bibliotek til en social spilplatform. App-udvikleren skal sikre, at brugerne er bekendt med den databehandling, der finder sted i sådanne biblioteker, og at sådan databehandling foretages i overensstemmelse med EU-lovgivningen, herunder ved at indhente brugerens samtykke, hvor det er relevant. App-udviklerne skal i den forstand undgå at bruge funktionaliteter, som er skjult for brugeren OS- og enhedsproducenter OS- og enhedsproducenterne bør også betragtes som registeransvarlige (og fælles registeransvarlige, hvor det er relevant) for personoplysninger, der behandles til eget formål, f.eks. med henblik på, at enheden fungerer korrekt, sikkerhed osv. Dette omfatter brugergenererede oplysninger (f.eks. brugeroplysninger ved registrering), oplysninger, som automatisk genereres af enheden (f.eks. hvis enheden har en "ring hjem"-funktion, der angiver hvor den er), eller personoplysninger, der behandles af OS- eller enhedsproducenten i forbindelse med installation eller brug af apps. Hvis OS- eller enhedsproducenten leverer yderligere funktionalitet såsom sikkerhedskopiering eller fjernlokalisering, vil denne også være registeransvarlig for de personoplysninger, der behandles til dette formål. Apps, som kræver adgang til geolokalisering, skal bruge OS-producentens lokaliseringstjenester. Hvis en app bruger geolokalisering, kan OS-producenten indsamle personoplysninger med henblik på at levere geolokaliseringsoplysningerne til appen og vil måske også overveje at bruge oplysningerne til at forbedre sine egne lokaliseringstjenester. OS-producenten er registeransvarlig for dette sidstnævnte formål. OS- og enhedsproducenten er også ansvarlig for programmeringsgrænsefladen for applikationer (API), som giver mulighed for behandling af personoplysninger i apps på den intelligente enhed. Appudvikleren vil kunne få adgang til de funktioner, som OS- og enhedsproducenterne stiller til rådighed gennem API. Eftersom OS- og enhedsproducenterne beslutter, med hvilke metoder (og i hvilket omfang) der kan opnås adgang til personoplysninger, skal de sikre, at app-udvikleren har tilstrækkeligt Se Artikel 29-Gruppens udtalelse nr. 5/2012 om cloud computing (juli 2012), Se Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet (juni 2010), og udtalelse nr. 1/2010 om begreberne "registeransvarlig" og "registerfører" (februar 2010), 10

11 defineret kontrol, så der kun gives adgang til de oplysninger, som er nødvendige for, at appen kan fungere. OS- og enhedsproducenterne bør også sikre, at denne adgang nemt og effektivt kan ophæves. Begrebet "indbygget privatlivsbeskyttelse" ("privacy by design") er et vigtigt princip, som allerede indirekte blev nævnt i databeskyttelsesdirektivet 23, og som sammen med "privatlivsbeskyttelse som standard" ("privacy by default") kommer mere klart frem i e-data-direktivet. 24 Det kræver, at producenterne af en enhed eller en applikation indbygger databeskyttelsen allerede i den allerførste designfase. Indbygget privatlivsbeskyttelse er et udtrykkeligt krav i forbindelse med telekommunikationsudstyr, som det fremgår af direktivet om radio- og teleterminaludstyr. 25 Derfor har OS- og enhedsproducenterne sammen med app-butikkerne et vigtigt ansvar for at sikre beskyttelsen af personoplysninger og privatlivets fred for app-brugerne. Dette omfatter at sikre, at der findes passende mekanismer til at informere og uddanne slutbrugeren i forhold til, hvad apps kan, og hvilke oplysninger de kan få adgang til, samt indføre passende indstillinger, som app-brugerne kan bruge til at ændre parametrene for behandlingen App-butikker De mest populære typer intelligente enheder har deres egen app-butik, og det er ofte sådan, at et bestemt operativsystem er fast integreret med en bestemt app-butik. App-butikkerne behandler ofte forudbetalinger for apps og kan også understøtte køb i apps, hvorfor de kræver brugerregistrering med navn, adresse og betalingsoplysninger. Disse (direkte) identificerbare oplysninger kan kombineres med oplysninger om købs- og brugsadfærd og med oplysninger, der aflæses fra eller genereres af enheden (som f.eks. unikke identifikatorer). I forbindelse med behandlingen af sådanne personoplysninger er app-butikkerne sandsynligvis registeransvarlige, hvilket også gælder, hvis de rapporterer sådanne oplysninger tilbage til app-udviklerne. Hvis app-butikken behandler en slutbrugers app-download- eller brugshistorik eller tilbyder en lignende funktion, som kan gendanne tidligere downloadede apps, vil denne også være registeransvarlig for de personoplysninger, der behandles til dette formål. En app-butik registrer loginoplysninger samt historikken over tidligere app-køb. Den beder også brugeren om at oplyse kreditkortnummer, som vil blive gemt sammen med brugerens konto. Appbutikken er registeransvarlig for disse registreringer. Derimod vil websteder, som giver mulighed for at downloade en app, der kan installeres på enheden, uden autentificering, muligvis ikke behandle nogen personoplysninger. App-butikkerne har indflydelsen til at få app-udviklerne til at give tilstrækkelige oplysninger om appen, herunder den type oplysninger, som appen kan behandle, og til hvilke formål. App-butikkerne kan håndhæve disse regler gennem deres leverandørpolitik (baseret på enten forudgående eller Se betragtning 46 og artikel 17. Se artikel 14, stk. 3. Direktiv 1999/5/EF af 9. marts 1999 om radio- og teleterminaludstyr samt gensidig anerkendelse af udstyrets overensstemmelse (EFT L 91 af , s. 10). I artikel 3, stk. 3, litra c), fastlægges det, at Kommissionen kan træffe afgørelse om, at slutbrugerenheder konstrueres på en sådan måde, at de er i stand til at sikre, at personoplysninger om brugeren og abonnenten og disses privatliv beskyttes. Gruppen glæder sig over FTC's anbefalinger i denne henseende i rapporten om meddelelser om beskyttelse af privatlivets fred på mobile enheder (se fodnote 6), f.eks. på side 15: "( ) platforme er i en unik position til at vise konsekvente meddelelser på tværs af apps og opfordres til at gøre dette. I overensstemmelse med svarene fra workshoppen kunne de også overveje at vise disse meddelelser på forskellige tidspunkter ( )." 11

12 efterfølgende kontrol). App-butikken kan i samarbejde med OS-producenten udstikke en ramme for app-udviklernes udarbejdelse af konsekvente og meningsfulde meddelelser (f.eks. symboler, der repræsenterer visse typer adgang til følsomme oplysninger) og tydelig visning af disse i app-butikkens katalog Tredjeparter Der er mange forskellige tredjeparter involveret i databehandling i forbindelse med brugen af apps. Mange gratis apps betales f.eks. af reklame, hvilket bl.a. kan omfatte kontekstuel eller personligt tilpasset annoncering, der understøttes af sporingsteknologier som cookies eller andre enhedsidentifikatorer. Annonceringen kan bestå af bannerreklamer inde i appen, annoncer uden for appen, som vises ved at ændre browserens indstillinger eller placere ikoner på mobilens skrivebord eller gennem personligt tilpasset arrangering af app-indholdet (f.eks. sponsorerede søgeresultater). Annoncering til apps leveres almindeligvis af reklamenet eller lignende mellemled, som kan have tilknytning til eller være samme enhed som OS-producenten eller app-butikken. Som beskrevet i Artikel 29-Gruppens udtalelse nr. 2/ medfører annoncering på internettet ofte behandling af personoplysninger som defineret i artikel 2 i databeskyttelsesdirektivet og fortolket af Artikel 29- Gruppen. 28 Andre eksempler på tredjeparter omfatter udbydere af analyser og kommunikationstjenester. Udbydere af analyser giver app-udviklerne et indblik i brugen, populariteten og brugervenligheden af deres apps. Udbydere af kommunikationstjenester 29 kan også spille en vigtig rolle med hensyn til at fastlægge standardindstillinger og sikkerhedsopdateringer for mange enheder og kan behandle oplysninger om brugen af apps. Deres brugertilpasning ("branding") kan have konsekvenser for omfanget af tekniske og funktionelle foranstaltninger, som brugeren kan anvende til at beskytte sine personoplysninger. Sammenlignet med app-udviklere kan tredjeparter have to typer roller: Den ene går ud på at udføre opgaver for app-ejeren, f.eks. at levere analyser i appen. I det tilfælde, når de udelukkende handler på vegne af app-udvikleren og ikke behandler oplysninger til eget formål og/eller deler oplysninger med andre udviklere, vil de sandsynligvis være registerførere. Den anden rolle er at indsamle oplysninger på tværs af apps for at levere andre tjenester: levere analysetal i større omfang (appens popularitet, personligt tilpasset anbefaling) eller undgå, at den samme annonce vises til den samme bruger. Når tredjeparter behandler personoplysninger til eget formål, optræder de som registeransvarlige og skal derfor overholde alle de gældende bestemmelser i databeskyttelsesdirektivet. 30 I forbindelse med adfærdsbaseret annoncering skal den registeransvarlige indhente gyldigt brugersamtykke til indsamling og behandling af personoplysninger, f.eks. i form af analyse og samling af personoplysninger samt oprettelse og/eller anvendelse af profiler. Som tidligere forklaret af Artikel 29-Gruppen i udtalelse nr. 2/2012 om adfærdsbaseret annoncering på internettet, er det mest hensigtsmæssigt at indhente et sådant samtykke gennem mekanismer til forudgående samtykke. 27 Se Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet (juni 2010), 28 Se også fortolkningen af begrebet personoplysninger i Artikel 29-Gruppens udtalelse nr. 4/2007 om begrebet personoplysninger (juni 2007), 29 Udbydere af kommunikationstjenester er også underlagt sektorspecifikke databeskyttelsesforpligtelser, som ligger uden for denne udtalelses rammer. 30 Artikel 29-Gruppens udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet, s

13 En virksomhed leverer metrik til app-ejere og annoncører ved hjælp af sporingsenheder, som er indbygget af app-udvikleren, i apps. Virksomhedens sporingsenheder kan derfor installeres på mange apps og enheder. En af ydelserne er underretning af app-udviklerne om, hvilke andre apps en bruger anvender, ved at indsamle en unik identifikator. Virksomheden definerer metoden for (dvs. sporingsenheder) og formålene med sine værktøjer, før den tilbyder dem til app-udviklere, annoncører og andre, og er derfor registeransvarlig. I det omfang tredjeparter får adgang til eller lagrer oplysninger på den intelligente enhed, skal de opfylde samtykkekravet i e-data-direktivets artikel 5, stk. 3. I denne forbindelse er det vigtigt at bemærke, at brugerne på intelligente enheder har begrænsede muligheder for at installere software, som kan kontrollere behandlingen af personoplysninger, hvilket er almindeligt i computeres webmiljø. Som et alternativ til brugen af HTTP-cookies får tredjeparter ofte adgang til unikke identifikatorer for at udvælge (grupper af) brugere og tilbyde dem målrettede ydelser, herunder annoncer. Eftersom mange af disse identifikatorer ikke kan slettes eller ændres af brugerne (som f.eks. IMEI, IMSI, MSISDN 31 og specifikke unikke enhedsidentifikatorer, der tilføjes af operativsystemet), har disse tredjeparter mulighed for at behandle store mængder personoplysninger, uden at slutbrugeren kan kontrollere det. 3.4 Retligt grundlag For at behandle personoplysninger kræves der et grundlag, som beskrevet i databeskyttelsesdirektivets artikel 7, der beskriver seks grundlag for behandlingen: Hvis der ikke hersker tvivl om, at den registrerede har givet sit samtykke, hvis behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt med den registrerede, hvis behandlingen er nødvendig for at beskytte den registreredes vitale interesser, hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, (for offentlige myndigheder), hvis behandlingen er nødvendig af hensyn til udførelsen af en opgave i samfundets interesse eller for at forfølge en legitim (forretningsmæssig) interesse. Med hensyn til lagring af oplysninger eller opnåelse af adgang til oplysninger, der allerede er lagret i den intelligente enhed, skaber e-data-direktivets artikel 5, stk. 3, (dvs. kravet om samtykke til placering og hentning af oplysninger fra en enhed) en mere detaljeret begrænsning af de retlige grundlag, der kan anvendes Samtykke før installation og behandling af personoplysninger I forbindelse med apps er det vigtigste retlige grundlag samtykke. Når en app installeres, placeres der oplysninger på slutbrugerens enhed. Mange apps har også adgang til oplysninger, der er lagret på enheden, kontakter i adressebogen, billeder, videoer og andre personlige dokumenter. I alle disse tilfælde kræver e-data-direktivets artikel 5, stk. 3, samtykke fra brugeren, som har modtaget klare og fyldestgørende oplysninger, før der placeres oplysninger på enheden eller hentes oplysninger på den. Det er vigtigt at bemærke sondringen mellem det samtykke, der kræves for at placere oplysninger på og aflæse oplysninger fra enheden, og det samtykke, der er nødvendigt for at have et retligt grundlag for behandling af forskellige typer personoplysninger. Begge samtykkekrav finder anvendelse sideløbende, baseret på hver deres retsgrundlag, men de er begge underlagt betingelser om, at de skal 31 Mobilabonnentens telefonnummer (Mobile Subscriber Integrated Services Digital Network). 13

14 være frivillige, specifikke og informerede (som defineret i databeskyttelsesdirektivets artikel 2, litra h)). Derfor kan de to typer samtykke i princippet kombineres, enten under installationen eller før appen begynder at indsamle personoplysninger fra enheden, forudsat at brugeren bliver utvetydigt oplyst om, hvad han giver samtykke til. Mange app-butikker giver app-udviklerne mulighed for at informere slutbrugerne om de basale funktioner i en app før installation og kræver en positiv handling fra brugeren, før appen downloades og installeres (dvs. klik på en "Installér"-knap). En sådan handling kan i nogle tilfælde opfylde samtykkekravet i artikel 5, stk. 3, men den vil sandsynligvis ikke omfatte tilstrækkelig information til, at den kan fungere som gyldigt samtykke til behandling af personoplysninger. Dette emne er tidligere blevet drøftet af Artikel 29-Gruppen i udtalelse nr. 15/2011 om definitionen af samtykke. 32 I forbindelse med intelligente enheder betyder "frivilligt samtykke", at en bruger har valget mellem at acceptere eller nægte behandling af sine personoplysninger. Hvis en app skal behandle personoplysninger, skal brugeren derfor frivilligt kunne acceptere eller nægte dette. Brugeren bør ikke blive mødt med et skærmbillede kun med valgmuligheden "Ja, jeg accepterer" for at kunne afslutte installationen. Muligheden for at annullere eller på anden måde stoppe installationen skal være til stede. "Informeret" betyder, at den registrerede skal have den nødvendige information til rådighed til at kunne træffe et passende valg. 33 For at undgå tvivl skal denne information altid være tilgængelig, før der sker nogen form for behandling af personoplysninger. Dette omfatter behandling, som kunne finde sted under installationen, f.eks. med henblik på fejlfinding eller sporing. Denne informations indhold og form er nærmere beskrevet i denne udtalelses afsnit 3.7. "Specifikt" betyder, at viljetilkendegivelsen skal vedrøre behandlingen af en bestemt oplysning eller en begrænset kategori af databehandling. Derfor kan et klik på en "Installér"-knap ikke betragtes som gyldigt samtykke til behandling af personoplysninger, fordi et samtykke ikke må være en generelt formuleret godkendelse. I nogle tilfælde kan brugerne give specifikt samtykke, hvis der skal indhentes samtykke til hver enkelt type oplysninger, som appen skal have adgang til. 34 Denne metode opfylder to vigtige retlige krav, nemlig tilstrækkelige oplysning af brugeren om vigtige elementer i tjenesten og indhentning af specifikt samtykke til hver af disse. 35 Den alternative metode, hvor app-udvikleren beder sine brugere om at acceptere et langt dokument med vilkår og betingelser og/eller en fortrolighedspolitik, udgør ikke specifikt samtykke. 36 Specifikt knytter sig også til annoncørernes og andre tredjeparters sporing af brugeradfærd. Standardindstillingerne i operativsystemer og apps skal forhindre sporing, så brugerne får mulighed for at afgive specifikt samtykke til denne type databehandling. Disse standardindstillinger kan ikke Artikel 29-Gruppens udtalelse nr. 15/2011 om definitionen af samtykke (juli 2011), Ibid., s. 19. Specifikt samtykke betyder, at man kan føre detaljeret (specifik) kontrol med, hvilke funktioner til behandling af personoplysninger, som appen indeholder, der skal aktiveres. Behovet for et sådant specifikt samtykke bekræftes også udtrykkeligt af FTC i den seneste rapport (se fodnote 6), s : "( ) platforme bør overveje at levere rettidige meddelelser og indhente udtrykkeligt samtykke til indsamling af andet indhold, som mange forbrugere vil betragte som følsomt i mange sammenhænge, såsom billeder, kontakter, kalenderaftaler eller optagelse af lyd- eller videoindhold". Ibid., s : "Generelt samtykke uden nogen præcis angivelse af formålet med den behandling, som den registrerede indvilliger i, opfylder ikke dette krav. Det betyder, at information om formålet med behandlingen ikke må indgå i de generelle bestemmelser, men i en separat samtykkebestemmelse." 14

15 omgås af tredjeparter, hvilket ellers ofte er tilfældet med de "Do Not Track"-mekanismer, der er indbygget i browsere. Eksempler på specifikt samtykke En app giver oplysninger om restauranter i nærheden. For at den kan installeres, skal app-udvikleren indhente samtykke. For at få adgang til geolokaliseringsdata skal app-udvikleren anmode om samtykke separat, f.eks. under installationen, eller før geolokaliseringen åbnes. Specifikt betyder, at samtykke skal være begrænset til det specifikke formål at rådgive brugeren om restauranter i nærheden. Der kan derfor kun opnås adgang til lokaliseringsoplysninger fra enheden, når brugeren anvender appen til det pågældende formål. Brugerens samtykke til at behandle geolokaliseringsdata giver ikke appen mulighed for løbende indsamling af lokaliseringsdata fra enheden. Denne yderligere behandling ville kræve mere information og separat samtykke. For at en kommunikations-app kan få adgang til kontaktlisten, skal brugeren kunne vælge de kontakter, som brugeren ønsker at kommunikere med, i stedet for at skulle give adgang til hele adressebogen (herunder kontaktoplysninger for personer, som ikke er brugere af den tjeneste, og som ikke har givet deres samtykke til behandling af oplysninger vedrørende dem). Det er imidlertid vigtigt at bemærke, at selv om samtykket opfylder de tre ovenstående elementer, giver det ikke ret til uretfærdig og ulovlig behandling. Hvis formålet med databehandlingen er for omfattende og/eller urimeligt, selv om brugeren har givet sit samtykke, vil app-udvikleren ikke have et gyldigt retligt grundlag, og databeskyttelsesdirektivet vil sandsynligvis være overtrådt. Eksempel på for omfattende og ulovlig databehandling Et vækkeur indeholder en funktion, hvor brugeren ved hjælp af en talekommando kan slukke det eller "snooze". I dette eksempel vil samtykket til optagelse være begrænset til det tidsrum, hvor alarmen lyder. Enhver overvågning eller optagelse af lyd, mens alarmen ikke lyder, vil sandsynligvis blive betragtet som for omfattende og ulovligt. Med hensyn til apps, som er installeret på enheden som standard (før slutbrugeren køber enheden), eller anden behandling, som OS foretager, og som kræver samtykke som et retligt grundlag, skal de registeransvarlige nøje overveje, hvorvidt dette samtykke er gyldigt. I mange tilfælde bør en separat samtykkemekanisme overvejes, muligvis når appen bruges første gang, for at gøre det muligt for den registeransvarlige at give slutbrugeren tilstrækkelig information. Når oplysningerne er særlige kategorier af oplysninger, som defineret i databeskyttelsesdirektivets artikel 8, skal samtykket være udtrykkeligt. Sidst, men ikke mindst, skal brugerne have mulighed for nemt og effektivt at trække deres samtykke tilbage. Dette vil blive beskrevet nærmere i udtalelsens afsnit Retlige grundlag for databehandling under brug af appen Som forklaret ovenfor udgør samtykke det nødvendige retlige grundlag for at give app-udvikleren tilladelse til at læse og/eller skrive oplysninger og dermed behandle personoplysninger lovligt. Efterfølgende under brug af appen kan app-udvikleren anvende andre retlige grundlag til andre typer databehandling, så længe det ikke omfatter behandling af følsomme personoplysninger. Disse retlige grundlag kan være, at det er nødvendigt af hensyn til opfyldelsen af en kontrakt med den registrerede eller for at forfølge en legitim (erhvervsmæssig) interesse, jf. databeskyttelsesdirektivets artikel 7, litra b) og f). Disse retlige grundlag er begrænset til behandling af en specifik brugers ikke-følsomme personoplysninger og kan kun anvendes i det omfang, at databehandling i et vist omfang er strengt 15

16 nødvendigt for at udføre den ønskede tjeneste eller, i forbindelse med artikel 7, litra f), medmindre den registreredes grundlæggende rettigheder og frihedsrettigheder går forud herfor. Eksempler på et kontraktligt retligt grundlag En bruger giver sit samtykke til installation af en mobilbank-app. For at opfylde en anmodning om at foretage en betaling behøver banken ikke at indhente brugerens separate samtykke til at oplyse dennes navn og bankkontonummer til betalingsmodtageren. Denne videregivelse af oplysninger er strengt nødvendig for at opfylde kontrakten med denne specifikke bruger, hvorfor banken har en retlig grund i henhold til databeskyttelsesdirektivets artikel 7, litra b). Det samme gælder for kommunikations-apps. Når de leverer væsentlige oplysninger, såsom et kontonavn, en -adresse eller et telefonnummer, til en anden person, som brugeren ønsker at kommunikere med, er dette åbenlyst nødvendigt for at opfylde kontrakten. 3.5 Formålsbegrænsning og dataminimering De grundlæggende principper for databeskyttelsesdirektivet er formålsbegrænsning og dataminimering. Formålsbegrænsning giver brugerne mulighed for at træffe et bevidst valg om at give en anden part deres personoplysninger, idet de bliver oplyst om, hvordan deres oplysninger vil blive brugt, og vil med den restriktive formålsbeskrivelse få en forklaring på, hvilke formål deres oplysninger skal bruges til. Formålene med databehandlingen skal derfor være veldefinerede og forståelige for den gennemsnitlige bruger uden juridisk eller teknisk ekspertviden. Samtidig kræver formålsbegrænsningen, at app-udviklerne har et godt overblik over deres forretningsmodel, før de begynder at indsamle personoplysninger fra brugere. Personoplysninger må kun behandles med et rimeligt og lovligt formål (databeskyttelsesdirektivets artikel 6, stk. 1, litra a)), og disse formål skal defineres, før databehandlingen finder sted. Princippet om formålsbegrænsning udelukker pludselige ændringer i de væsentlige betingelser for behandlingen. Hvis det oprindelige formål med en app f.eks. var at give brugerne mulighed for at sende s til hinanden, men udvikleren beslutter sig for at ændre sin forretningsmodel og sammenkører sine brugeres -adresser med en anden apps brugeres telefonnumre. De respektive registeransvarlige vil dermed skulle henvende sig til hver enkelt bruger og anmode om deres forudgående utvetydige samtykke til dette nye formål med behandlingen af deres personoplysninger. Formålsbegrænsning går hånd i hånd med princippet om dataminimering. For at forhindre unødvendig og potentiel ulovlig databehandling skal app-udviklere nøje overveje, hvilke oplysninger der er strengt nødvendige for at opnå den ønskede funktionalitet. Apps kan få adgang til mange af enhedens funktioner og kan derfor udføre mange ting, som f.eks. at sende en hemmelig SMS ("stealth SMS"), få adgang til billeder og hele adressebogen. Mange appbutikker understøtter (semi-)automatiske opdateringer, hvor app-udvikleren kan integrere nye funktioner og gøre dem tilgængelige med kun begrænset eller slet ingen indblanding fra slutbrugerens side. Gruppen understreger i denne forbindelse, at tredjeparter, som får adgang til brugeroplysninger gennem apps, skal overholde principperne om formålsbegrænsning og dataminimering. Unikke enhedsidentifikatorer, som ofte ikke kan ændres, bør ikke bruges til interessebaseret annoncering og/eller analyse, fordi brugerne ikke har mulighed for at trække deres samtykke tilbage. Appudviklerne bør sikre, at funktionsskred forhindres ved ikke at ændre behandlingen fra én version af en 16

17 app til en anden uden at give slutbrugerne passende meddelelser derom samt mulighed for at fravælge enten behandlingen eller hele tjenesten. Brugerne bør også få teknisk mulighed for at verificere erklæringer om de oplyste formål ved at give dem adgang til oplysninger om mængden af udgående trafik pr. app i forhold til brugergenereret trafik. Information og brugerkontrol er de vigtigste midler til at sikre overholdelse af principperne om dataminimering og formålsbegrænsning. Adgang til de underliggende oplysninger på enheden gennem API'er giver OS- og enhedsproducenter og app-butikker mulighed for at håndhæve specifikke regler og give slutbrugerne passende information. OS- og enhedsproducenter bør f.eks. tilbyde en API med præcis kontrol for at differentiere mellem disse forskellige datatyper og sikre, at app-udviklerne kan anmode om adgang kun til de oplysninger, der er strengt nødvendige for deres apps (lovlige) funktionalitet. De typer oplysninger, som app-udvikleren anmoder om, kan derefter vises tydeligt i app-butikken, så brugeren oplyses om dette før installationen. I denne henseende kræver kontrol med adgangen til de oplysninger, der er lagret på enheden, forskellige mekanismer: a. OS- og enhedsproducenter og app-butikker definerer regler, som gælder for apps, der tilbydes i deres app-butik: App-udviklerne skal overholde disse regler, hvis de ikke vil risikere ikke at blive udbudt i disse butikker. 37 b. Operativsystemers API'er definerer standardmetoder for adgang til oplysninger lagret på telefonen, som apps har adgang til. De har også en indvirkning på indsamlingen af oplysninger på serversiden. c. Forudgående kontrol kontroller, der er implementeret før installation af appen. 38 d. Efterfølgende kontrol kontroller, der er implementeret efter installation af appen. 3.6 Sikkerhed I henhold til databeskyttelsesdirektivets artikel 17 skal registeransvarlige og registerførere iværksætte de fornødne tekniske og organisatoriske foranstaltninger til at beskytte de personoplysninger, de behandler. Dermed skal alle de aktører, der er defineret i afsnit 3.3, træffe foranstaltninger i forhold til den enkeltes rolle og ansvar. Overholdelse af sikkerhedsforpligtelsen har et dobbelt formål. Det giver brugerne mulighed for at føre strengere kontrol med deres oplysninger og styrker tilliden til de enheder, der håndterer brugernes oplysninger. For at kunne opfylde de respektive sikkerhedsforpligtelser som registeransvarlige skal app-udviklere, app-butikker, OS- og enhedsproducenter og tredjeparter tage højde for principperne om indbygget privatlivsbeskyttelse og privatlivsbeskyttelse som standard. Dette kræver løbende vurdering af både eksisterende og fremtidige databeskyttelsesrisici samt gennemførelse og evaluering af effektive afbødende foranstaltninger, herunder dataminimering På enheder, der har været udsat for "jailbreaking", kan der installeres apps uden om de officielle butikker. På Android-enheder kan der også installeres apps fra andre kilder. Det særlige tilfælde med forudinstallerede apps. 17

18 App-udviklere Der findes mange offentligt tilgængelige retningslinjer om sikkerheden i mobile apps, som er offentliggjort af OS- og enhedsproducenter samt uafhængige tredjeparter, f.eks. ENISA. 39 Det ligger uden for denne udtalelses rammer at gennemgå alle former for bedste sikkerhedspraksis i udviklingen af apps. Gruppen vil imidlertid benytte lejligheden til at gennemgå dem, som potentielt kan få en alvorlig indvirkning på app-brugernes grundlæggende rettigheder. En vigtig beslutning, der skal træffes, før en app designes, er, hvor oplysningerne skal lagres. I nogle tilfælde lagres brugeroplysningerne på enheden, men app-udviklerne kan også bruge en klient/serverarkitektur. Det betyder, at personoplysninger overføres eller kopieres til tjenesteudbyderens systemer. Lagring og behandling af oplysninger på enheden giver slutbrugerne den størst mulige kontrol over disse oplysninger, f.eks. ved at give dem mulighed for at slette dem, hvis de trækker deres samtykke til behandlingen tilbage. Sikker fjernlagring af oplysninger kan imidlertid bidrage til genoprettelse af dem, hvis en enhed mistes eller stjæles. Mellemliggende metoder er også en mulighed. App-udviklerne skal udstikke klare politikker for, hvordan softwaren udvikles og distribueres. OS- og enhedsproducenterne spiller også en rolle med hensyn til at fremme sikker behandling i apps, hvilket vil blive beskrevet nærmere nedenfor. Derudover skal app-udviklere og app-butikker designe og implementere et sikkerhedsvenligt miljø med værktøjer, der kan forhindre ondsindede apps i at sprede sig og gøre det muligt nemt at installere/afinstallere hver enkelt app. God praksis, som kan anvendes i forbindelse med udviklingen af en app, omfatter minimering af kodelinjer og -kompleksitet samt implementering af kontroller for at udelukke, at oplysninger overføres eller kompromitteres utilsigtet. Desuden bør al input valideres for at forhindre bufferoverløb eller injektionsangreb. Blandt andre sikkerhedsmekanismer, der bør nævnes her, er passende strategier for administration af sikkerhedspatch og udførelse af regelmæssig, uafhængig systemsikkerhedskontrol. Endvidere bør kriterierne for design af apps omfatte implementering af princippet om minimering af autorisation ("least privilege"), hvilket betyder, at apps kun kan få adgang til de oplysninger, de skal bruge for at stille en funktion til rådighed for brugeren. Appudviklere og app-butikker bør også, gennem advarsler, tilskynde brugerne til at supplere denne bedste designpraksis med god brugerpraksis, som f.eks. at opdatere deres apps til de seneste versioner, og minde dem om ikke at bruge de samme adgangskoder til forskellige tjenester. Når en app designes, skal app-udviklerne også træffe foranstaltninger til at undgå uautoriseret adgang til personoplysninger ved at sikre, at oplysningerne beskyttes både i transit og der, hvor de lagres, hvor det er relevant. Mobile apps bør køre bestemte steder i enhedernes hukommelse (sandkasser 40 ) for at reducere konsekvenserne af malware/ondsindede apps. I tæt samarbejde med OS-producenten og/eller appbutikken skal app-udviklerne bruge de mekanismer, der er til rådighed til at give brugerne mulighed for at se, hvilke oplysninger der behandles af hvilke apps, samt for at vælge at aktivere og deaktivere tilladelser. Brugen af skjulte funktioner bør ikke være tilladt ENISA "Smartphone Secure Development Guideline": CIIP/critical-applications/smartphone-security-1/smartphone-secure-development-guidelines En sandkasse er en sikkerhedsmekanisme, der adskiller kørende programmer. 18

19 App-udviklere skal nøje overveje de metoder, de anvender til brugeridentifikation og autentificering. De bør ikke bruge permanente (enhedsspecifikke) identifikatorer, men app-specifikke eller midlertidige enhedsidentifikatorer med lav entropi, så det undgås, at brugerne spores over tid. Autentificeringsmekanismer, der understøtter beskyttelsen af privatlivets fred, bør overvejes. Når appudviklerne autentificerer brugerne, bør de være særligt omhyggelige med administrationen af brugernavne og adgangskoder. Sidstnævnte skal krypteres og lagres sikkert som en hashværdi med krypteringsnøgle. At stille en test af de valgte adgangskoders kvalitet til rådighed for brugerne er også en nyttig måde at opfordre brugerne til at oprette bedre adgangskoder på (entropitest). Hvis det er relevant (adgang til følsomme oplysninger, men også adgang til betalingsressourcer), kan det overvejes at genautentificere brugeren, også ved hjælp af flere faktorer og forskellige kanaler (f.eks. adgangskode sendt pr. SMS) og/eller brug af autentificeringsoplysninger relateret til slutbrugeren (og ikke til enheden). Når der vælges sessionsidentifikatorer, bør der desuden bruges uforudsigelige strenge, muligvis sammen med kontekstuelle oplysninger som dato og tidspunkt, men også IP-adresser eller geolokaliseringsdata. App-udviklerne bør også være opmærksomme på kravene i e-data-direktivet med hensyn til brud på persondatasikkerheden og behovet for at informere brugerne proaktivt. Disse krav gælder i øjeblikket kun for udbydere af offentligt tilgængelige elektroniske kommunikationstjenester, men det forventes, at forpligtelsen vil blive udvidet til at omfatte alle registeransvarlige (og registerførere) med den fremtidige databeskyttelsesforordning, jf. Kommissionens forslag (COM(2012) 11/COD). Dette betyder, at det bliver endnu vigtigere at have og løbende evaluere en omfattende "sikkerhedsplan" om indsamling, lagring og behandling af personoplysninger med henblik på at forhindre sådanne brud samt undgå at blive idømt de store bøder, der foreslås i disse situationer. Sikkerhedsplanen skal bl.a. også komme ind på sårbarhedsstyring samt rettidig og sikker udsendelse af pålidelige fejlretninger. App-udviklernes ansvar for deres produkters sikkerhed stopper ikke, når de har leveret en fungerende version på markedet. Apps kan som alle andre softwareprodukter have sikkerhedsfejl og sårbarheder, og app-udviklerne skal udvikle fejlretninger eller patches for disse og levere dem til de aktører, der kan stille dem til rådighed for brugerne, eller gøre det selv. App-butikker App-butikker er et vigtigt mellemled mellem slutbrugerne og app-udviklerne og bør foretage en række solide og effektive kontroller af apps, før de markedsfører dem. De bør oplyse om de kontroller, de faktisk udfører, samt om deres kontrol af overholdelsen af databeskyttelseslovgivningen. Dette er ikke fuldstændigt effektivt med hensyn til at undgå spredning af ondsindede apps, men statistikken viser, at denne praksis i væsentlig grad reducerer forekomsten af ondsindede funktioner i "officielle" app-butikker. 41 For at kunne håndtere det store antal apps, der modtages hver dag, kunne det være hensigtsmæssigt for denne proces at have automatiske analyseværktøjer samt at indføre muligheder for informationsudveksling mellem sikkerhedseksperter og softwareudviklere samt effektive procedurer og politikker til håndtering af indberetninger om problemer. Ud over at gennemgå apps, før de udbydes i app-butikken, bør der også etableres en brugervurderingsmekanisme. Apps bør ikke kun vurderes ud fra, hvor "cool" de er, men også i forhold til deres funktioner, særligt med hensyn til deres fortroligheds- og sikkerhedsmekanismer. Disse brugervurderinger bør endvidere udvikles således, at man undgår falske vurderinger. Kvalificeringsog vurderingsmekanismer for apps kan også være effektive med hensyn til at opbygge gensidig tillid 41 "Hey, You, Get Off of My Market: Detecting Malicious Apps in Official and Alternative Android Markets", Y Zhou et al., Network and Distributed System Security Symposium (NDSS)

20 mellem de forskellige parter, navnlig hvis der udveksles oplysninger langs en lang kæde af tredjeparter. App-butikker har ofte en metode til at afinstallere ondsindede eller usikre apps fra fjernt hold. Denne mekanisme kan, hvis den ikke er designet rigtigt, udgøre en hindring for brugernes mulighed for at føre strengere kontrol med deres oplysninger. Den metode, som app-butikken anvender til at afinstallere apps fra fjernt hold, bør derfor for at beskytte privatlivets fred tage udgangspunkt i information og brugersamtykke. Endvidere bør brugerne rent praktisk have adgang til at give feedback, så de kan indberette sikkerhedsproblemer med deres apps samt oplysninger om effektiviteten af en sådan afinstallationsprocedure. Ligesom app-udviklerne bør app-butikkerne være opmærksomme på fremtidige forpligtelser til at oplyse om brud på persondatasikkerheden og samarbejde tæt med app-udviklerne for at forhindre sådanne brud. OS- og enhedsproducenter OS- og enhedsproducenterne er også en vigtig aktør i forbindelse med udarbejdelsen af minimumsstandarder og bedste praksis for app-udviklere ikke kun med hensyn til sikkerheden af den underliggende software og API'er, men også i de værktøjer, vejledninger og det referencemateriale, de stiller til rådighed. OS- og enhedsproducenterne bør anvende effektive og velkendte krypteringsalgoritmer og understøtte tilstrækkelige nøglelængder. De bør desuden stille effektive og sikre autentificeringsmekanismer til rådighed for app-udviklerne (f.eks. brug af certifikater underskrevet af anerkendte certificeringsmyndigheder for at verificere godkendelsen af en fjernressource). Dette ville betyde, at det ikke er nødvendigt for app-udviklerne at udvikle egne autentificeringsmekanismer. I praksis er dette ofte dårligt implementeret og kan udgøre en væsentlig sårbarhed. 42 Adgang til og behandling af personoplysninger i apps bør styres gennem indbyggede API-klasser og -metoder, som omfatter passende kontroller og beskyttelsesforanstaltninger. OS- og enhedsproducenterne bør sikre, at de metoder og funktioner, der tillader adgang til personoplysninger, omfatter midler til at indføre anmodninger om specifikt samtykke. Tilsvarende bør der træffes foranstaltninger til at forhindre eller begrænse adgang til personoplysninger ved hjælp af funktioner på lavt niveau eller andre metoder, som kunne omgå den kontrol og de beskyttelsesforanstaltninger, der er indbygget i API'er. OS- og enhedsproducenterne skal også indarbejde klare revisionsspor i enhederne, så slutbrugerne klart kan se, hvilke apps der har fået adgang til oplysninger på deres enheder. Alle parter skal reagere hurtigt på sikkerhedsbrister, så slutbrugerne ikke eksponeres unødigt for sikkerhedsproblemer. Desværre giver nogle OS- og enhedsproducenter (samt telekommunikationsselskaber, som sælger mærkeenheder) ikke langsigtet support til OS-versionerne, hvilket betyder, at brugerne ikke er beskyttet mod velkendte sikkerhedsbrister. OS- og enhedsproducenterne skal sammen med app-udviklerne på forhånd give slutbrugerne oplysninger om, i hvor lang tid de kan forvente at modtage regelmæssige sikkerhedsopdateringer. De bør også hurtigst muligt informere brugerne, hvis et sikkerhedsproblem kræver en opdatering. 42 Det er for nyligt blevet påpeget, at manglen på visuelle sikkerhedsindikatorer for SSL/TLS-brug og den utilstrækkelige brug af SSL/TLS kan udnyttes til at gennemføre MITM-angreb. Ifølge nylig research omfatter det samlede antal apps med sårbarheder over for MITM-angreb, som er installeret, flere millioner brugere. "Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security", Bernd Freisleben og Matthew Smith, 19. ACM Conference on Computer and Communications Security (ACM CCS 2012). 20

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse

ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE. Artikel 29-gruppen vedrørende databeskyttelse ARTIKEL 29 -GRUPPEN VEDRØRENDE DATABESKYTTELSE 5058/00/DA/endelig WP 33 Artikel 29-gruppen vedrørende databeskyttelse Udtalelse 5/2000 om Brugen af offentlige registre til reverse- eller flerkriterie-søgetjenester

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 00065/2010/DA WP 174 Udtalelse nr. 4/2010 om FEDMA's europæiske adfærdskodeks for brug af personoplysninger i forbindelse med direkte markedsføring vedtaget

Læs mere

1. Introduktion 2. Om os

1. Introduktion 2. Om os Fortrolighedspolitik 1. Introduktion Atchik udvikler fantastiske spil med sjov og underholdning for alle. Hos Atchik respekterer vi personlige oplysninger for enhver, der bruger vores spil, website(s)

Læs mere

Senest opdateret: 15. januar 2010 FORTROLIGHEDSPOLITIK

Senest opdateret: 15. januar 2010 FORTROLIGHEDSPOLITIK FORTROLIGHEDSPOLITIK Senest opdateret: 15. januar 2010 Fortrolighedspolitikkens indhold Denne fortrolighedspolitik ("Fortrolighedspolitikken") beskriver, hvordan Rezidor Hotel Group, via vores danske holdingselskab,

Læs mere

Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne

Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne ARTIKEL 29-Databeskyttelsesgruppen 02318/09/DA WP167 Udtalelse 8/2009 om beskyttelse af passageroplysninger, der er indsamlet og behandlet af afgiftsfrie butikker i lufthavne og havne Vedtaget den 1. december

Læs mere

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 1112/05/DA WP 103 Udtalelse 1/2005 om databeskyttelsesniveauet i Canada i forbindelse med luftfartsselskabers overførsel af PNR- og API-oplysninger Vedtaget

Læs mere

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre.

Privatlivspolitik. Coverwise Limited deler en forpligtelse til at beskytte dit privatliv og holde dine personlige oplysninger sikre. Privatlivspolitik Denne hjemmeside opererer internationalt og er i overensstemmelse med den lokale lovgivning og regler i de pågældende lande. Denne privatlivspolitik omhandler hvordan vi bruger og behandler

Læs mere

Program til beskyttelse af privatlivets fred

Program til beskyttelse af privatlivets fred Program til beskyttelse af privatlivets fred I dette program til beskyttelse af privatlivets fred ("politik") oplyser vi, Qualcomm Incorporated og vores datterselskaber (kollektivt "vi", "os" eller "vores"),

Læs mere

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk

IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø. jahs@itst.dk IT- og Telestyrelsen Holsteinsgade 63 2100 København Ø Sendt til: hvs@itst.dk og jahs@itst.dk 17. marts 2011 Vedrørende høring over udkast til bekendtgørelse om krav til information og samtykke ved lagring

Læs mere

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99

Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger. Henstilling 1/99 5093/98/DA/endelig udg. WP 17 Arbejdsgruppen vedrørende Beskyttelse af Personer i forbindelse med Behandling af Personoplysninger Henstilling 1/99 om usynlig og elektronisk behandling af personoplysninger

Læs mere

MEDDELELSE TIL MEDLEMMERNE

MEDDELELSE TIL MEDLEMMERNE Europa-Parlamentet 2014-2019 Udvalget for Andragender 27.1.2016 MEDDELELSE TIL MEDLEMMERNE Om: Andragende nr. 1563/2014 af D. G., polsk statsborger, om den praksis, der Andragende nr. 1618/2014 af D. G.,

Læs mere

Retningslinjer for behandling af cookies og personoplysninger

Retningslinjer for behandling af cookies og personoplysninger Gældende fra 27. juni 2017 Retningslinjer for behandling af cookies og personoplysninger MDL ApS ( MDL vi, os, vores ) ved, hvor vigtig fortrolighed er i forhold til vores kunder, og vi bestræber os på

Læs mere

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 11601/DA WP 90 Udtalelse nr. 5/2004 om uanmodet kommunikation med henblik på markedsføring, jf. artikel 13 i direktiv 2002/58/EF Vedtaget den 27. februar 2004

Læs mere

Aktion Børnehjælp og vores hjemmesider er nedenfor samlet benævnt Aktion Børnehjælp eller aktionboernehjaelp.dk.

Aktion Børnehjælp og vores hjemmesider er nedenfor samlet benævnt Aktion Børnehjælp eller aktionboernehjaelp.dk. September 2017 Privatlivspolitik Aktion Børnehjælp indsamler oplysninger om vores brugere og deres besøg ved hjælp af såkaldte cookies eller ved at brugeren selv afgiver oplysningerne på aktionboernehjaelp.dk

Læs mere

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 30.6.2016 L 173/47 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2016/1055 af 29. juni 2016 om gennemførelsesmæssige tekniske standarder for så vidt angår de tekniske metoder til passende offentliggørelse

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00327/11/DA WP 180 Udtalelse 9/2011 om industriens reviderede forslag til en ramme for konsekvensvurderinger vedrørende privatlivs- og databeskyttelse i forbindelse

Læs mere

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER

POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER POLITIK FOR BESKYTTELSE AF PERSONLIGE OPLYSNINGER Ikrafttrædelsesdato: 1/1/2013 Nærværende Politik for beskyttelse af personlige oplysninger forklarer, hvordan vi håndterer de personlige oplysninger, som

Læs mere

Blip Systems A/S Hækken 2 Vester Hassing 9310 Vodskov

Blip Systems A/S Hækken 2 Vester Hassing 9310 Vodskov Blip Systems A/S Hækken 2 Vester Hassing 9310 Vodskov 26. marts 2015 Sag /JV Afgørelse Erhvervsstyrelsen finder ikke, at systemet Bliptrack s indsamling af MACadresser fra brugeres terminaludstyr er omfattet

Læs mere

1. Hvordan vi indsamler og opbevarer personoplysninger

1. Hvordan vi indsamler og opbevarer personoplysninger WAVINS ERKLÆRING OM PERSONOPLYSNINGER OG COOKIES Vi beskytter dine oplysninger og giver dig fuld gennemsigtighed og kontrol over dem Dette er erklæringen om personoplysninger og cookies for webstedet http://dk.wavin.com/

Læs mere

De Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN

De Europæiske Fællesskabers Tidende. (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN L 181/19 II (Retsakter hvis offentliggørelse ikke er obligatorisk) KOMMISSIONEN KOMMISSIONENS BESLUTNING af 15. juni 2001 om standardkontraktbestemmelser for overførsel af personoplysninger til tredjelande

Læs mere

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD

Databehandleraftale Bilag 8 til Contract regarding procurement of LMS INDHOLD INDHOLD INDHOLD... 1 1. Baggrund... 2 2. Definitioner... 2 3. Behandling af personoplysninger... 3 4. Behandlinger uden instruks... 3 5. Sikkerhedsforanstaltninger... 3 6. Underdatabehandling... 4 7. Overførsel

Læs mere

ARTIKEL 29-Gruppen vedrørende Databeskyttelse

ARTIKEL 29-Gruppen vedrørende Databeskyttelse ARTIKEL 29-Gruppen vedrørende Databeskyttelse 881/11/DA WP 185 Udtalelse nr. 13/2011 om geolokaliseringstjenester i intelligente mobile enheder Vedtaget den 16. maj 2011 Artikel 29-Gruppen er nedsat ved

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00727/12/DA WP 192 Udtalelse nr. 02/2012 om ansigtsgenkendelse i online- og mobiltjenester Vedtaget den 22. marts 2012 Gruppen er nedsat ved artikel 29 i direktiv

Læs mere

GENERELLE BRUGERBETINGELSER FOR

GENERELLE BRUGERBETINGELSER FOR GENERELLE BRUGERBETINGELSER FOR mypku Disse generelle brugerbetingelser ( Betingelser ) fastsætter de betingelser, der gælder mellem dig som bruger ( Brugeren ) og Nutricia A/S, CVR.: 73128110 ( Nutricia

Læs mere

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018

Persondatareguleringen. Hvorfor, hvornår, systemet og lidt om maj 2018 Persondatareguleringen Hvorfor, hvornår, systemet og lidt om maj 2018 Hvorfor? I er så meget i et brændpunkt for persondataretten, at vi er nødt til at stige op i helikopteren. Hvad tænker EU? Hvad tænker

Læs mere

Artikel 29-gruppen vedrørende databeskyttelse

Artikel 29-gruppen vedrørende databeskyttelse Artikel 29-gruppen vedrørende databeskyttelse 2130/05/DA WP115 Udtalelse 5/2005 fra Artikel 29-Gruppen om brug af lokaliseringsdata med henblik på at yde tillægstjenester Vedtaget den 25. november 2005

Læs mere

Vi vil ikke bruge eller dele dine oplysninger, undtagen de tilfælde som er beskrevet i denne fortrolighedspolitik.

Vi vil ikke bruge eller dele dine oplysninger, undtagen de tilfælde som er beskrevet i denne fortrolighedspolitik. Fortrolighedspolitik Effektiv fra: 8. november 2017 Introduktion Pagobox ApS ( "Pleo", "os", "vi" eller "vores") driver Pleo.io webstedet, Pleo webapplikationen, Pleo mobilapplikationen og tilbyder Pleo

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 844/14/DA WP 217 Udtalelse 6/2014 om den registeransvarliges legitime interesser som omhandlet i artikel 7 i direktiv 95/46/EF Vedtaget den 9. april 2014 Artikel

Læs mere

POLITIK FOR DATABESKYTTELSE

POLITIK FOR DATABESKYTTELSE POLITIK FOR DATABESKYTTELSE Disse retningslinjer for databeskyttelse beskriver, hvordan vi bruger og beskytter oplysninger, som du afgiver i forbindelse med brug af vores hjemmeside. Vi har forpligtet

Læs mere

Generelle vilkår og betingelser for køb, der foretages i online-shoppen på www.grohe.dk.

Generelle vilkår og betingelser for køb, der foretages i online-shoppen på www.grohe.dk. Generelle vilkår og betingelser for køb, der foretages i online-shoppen på www.grohe.dk. 1 Generelt, de generelle vilkår og betingelsers anvendelsesområde 1.1 Alle leverancer og serviceydelser fra Grohe

Læs mere

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet

ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE. Udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet ARTIKEL 29-GRUPPEN VEDRØRENDE DATABESKYTTELSE 00909/10/DA WP 171 Udtalelse nr. 2/2010 om adfærdsbaseret annoncering på internettet Vedtaget den 22. juni 2010 Artikel 29-Gruppen er nedsat i henhold til

Læs mere

Hi3G Denmark ApS. Fremsendes alene via . Afgørelse om Hi3G Denmarks ApS behandling og opbevaring af lokaliseringsdata

Hi3G Denmark ApS. Fremsendes alene via  . Afgørelse om Hi3G Denmarks ApS behandling og opbevaring af lokaliseringsdata Hi3G Denmark ApS 15. juni 2017 Fremsendes alene via e-mail /chtoch Afgørelse om Hi3G Denmarks ApS behandling og opbevaring af lokaliseringsdata til fejlsøgning Indledning På baggrund af en borgerhenvendelse

Læs mere

Oplysninger om databeskyttelse

Oplysninger om databeskyttelse Oplysninger om databeskyttelse Beskyttelse af dine data er et væsentligt anliggende for os Hvad er personoplysninger? Princippet om anonym behandling Vi byder dig velkommen til vores hjemmeside og sætter

Læs mere

BILAG 14: DATABEHANDLERAFTALE

BILAG 14: DATABEHANDLERAFTALE BILAG 14: DATABEHANDLERAFTALE Side 1/9 Aftale om databehandling mellem Kunden og Leverandøren Side 2/9 Vejledning: [Dette bilag kan ikke ændres af tilbudsgiver. Bilaget udgør således i sin helhed et mindstekrav

Læs mere

1.1 Vi kan indsamle og opbevare følgende oplysninger fra og om dig, hvis du interagerer med os gennem webstedet:

1.1 Vi kan indsamle og opbevare følgende oplysninger fra og om dig, hvis du interagerer med os gennem webstedet: FLAVORS - PRIVATLIVSPOLITIK Ikrafttrædelsesdato: 01/10/2014 Denne privatlivspolitik beskriver, hvorledes Flavors IVS, Flensborggade 6 Kld. 1669 København V. ("Flavors", "os", "vores", og "vi") indsamler,

Læs mere

GROUPON DANMARK - ERKLÆRING OM BEHANDLING AF PERSONOPLYSNINGER

GROUPON DANMARK - ERKLÆRING OM BEHANDLING AF PERSONOPLYSNINGER GROUPON DANMARK - ERKLÆRING OM BEHANDLING AF PERSONOPLYSNINGER Ikrafttrædelsesdato: 13.06.2014 Denne erklæring om behandling af personoplysninger ("erklæring om behandling af personoplysninger) beskriver,

Læs mere

Udvalgte persondataretlige udfordringer og hvordan de kan håndteres. 12. maj 2016

Udvalgte persondataretlige udfordringer og hvordan de kan håndteres. 12. maj 2016 Udvalgte persondataretlige udfordringer og hvordan de kan håndteres 12. maj 2016 Emner 1. mhealth og sociale medier 2. Introduktion hvordan reguleres helbredsoplysninger efter persondataforordningen 3.

Læs mere

Politik om beskyttelse af personlige oplysninger

Politik om beskyttelse af personlige oplysninger Politik om beskyttelse af personlige oplysninger Denne politik ("Politik om beskyttelse af personlige oplysninger") kan ændres fra tid til anden. Vi vil ikke nødvendigvis gøre dig opmærksom på disse ændringer,

Læs mere

P R I V A T L I V S P O L I T I K

P R I V A T L I V S P O L I T I K PRIVATLIVSPOLITIK 1. Introduktion 1.1 Denne privatlivspolitik ( Privatlivspolitikken ) fastsætter, hvordan Chabs ApS ( Chabs, vi, os, vores o.lign.) indsamler, bruger, videregiver og beskytter indhentede

Læs mere

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma

JNA/jna DATABEHANDLERAFTALE. mellem. herningcentret (Dataansvarlig) Emplate ApS (Databehandler) Advokatfirma 647-192717 JNA/jna 26.09.2016 DATABEHANDLERAFTALE mellem herningcentret (Dataansvarlig) og Emplate ApS (Databehandler) Advokatfirma Indholdsfortegnelse 1. Parterne... 3 2. De juridiske rammer... 3 3. Pligt

Læs mere

Johnson Controls' erklæring om beskyttelse af personoplysninger

Johnson Controls' erklæring om beskyttelse af personoplysninger Johnson Controls' erklæring om beskyttelse af personoplysninger Johnson Controls, Inc. og dets associerede selskaber (under ét betegnet som Johnson Controls, vi, os eller vores) varetager beskyttelsen

Læs mere

Henkel Norden AB ("Henkel") er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel.

Henkel Norden AB (Henkel) er en del af Henkel Corporation, og i henhold til DPA, er Jörg Heine, den dataansvarlige: schwarzkopf.dk@henkel. HENKEL FORTROLIGHEDSPOLITIK Vi, hos Henkel, tager vores forpligtelser i henhold til dansk lov om databeskyttelse (persondataloven) alvorligt og er forpligtet til at beskytte dit privatliv. Denne fortrolighedserklæring

Læs mere

EUROPA-PARLAMENTET. Retsudvalget UDKAST TIL UDTALELSE. til Udvalget om det Indre Marked og Forbrugerbeskyttelse

EUROPA-PARLAMENTET. Retsudvalget UDKAST TIL UDTALELSE. til Udvalget om det Indre Marked og Forbrugerbeskyttelse EUROPA-PARLAMENTET 2004 Retsudvalget 2009 2007/0248(COD) 19.3.2008 UDKAST TIL UDTALELSE fra Retsudvalget til Udvalget om det Indre Marked og Forbrugerbeskyttelse om forslag til Europa-Parlamentets og Rådets

Læs mere

Honda MaRIS Pay & Go. Politik for cookies og beskyttelse af personlige oplysninger

Honda MaRIS Pay & Go. Politik for cookies og beskyttelse af personlige oplysninger Honda MaRIS Pay & Go Politik for cookies og beskyttelse af personlige oplysninger Honda anerkender vigtigheden af retskaffen og ansvarlig brug af dine personlige oplysninger. Denne politik for cookies

Læs mere

BILAG til KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) / af...

BILAG til KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) / af... BILAG til KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) / af... [ ] om gennemførelsesbestemmelser til Europa-Parlamentets og Rådets forordning (EU) nr. 511/2014 for så vidt angår registret over samlinger,

Læs mere

KOMMISSIONENS DELEGEREDE FORORDNING (EU)

KOMMISSIONENS DELEGEREDE FORORDNING (EU) 17.6.2016 L 160/29 KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2016/960 af 17. maj 2016 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014 for så vidt angår reguleringsmæssige

Læs mere

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning?

1. Har jeres organisation kendskab til den nye databeskyttelsesforordning? Her finder I 12 spørgsmål, som I, der er dataansvarlige, med fordel kan forholde jer til allerede nu for at forberede jer på den nye databeskyttelsesforordning, som finder anvendelse fra den 25. maj 2018.

Læs mere

P R I V A T L I V S P O L I T I K

P R I V A T L I V S P O L I T I K P R I V A T L I V S P O L I T I K 1. Introduktion 1.1 Denne privatlivspolitik ( Privatlivspolitikken ) fastsætter, hvordan Neat Meal IVS ( Neat Meal, vi, os, vores o.lign.) indsamler, bruger, videregiver

Læs mere

10/01/2012 ESMA/2011/188

10/01/2012 ESMA/2011/188 Retningslinjer og henstillinger Samarbejde, herunder delegation, mellem ESMA, de kompetente myndigheder og de kompetente sektormyndigheder i henhold til forordning (EU) nr. 513/2011 om kreditvurderingsbureauer

Læs mere

HENSTILLINGER. KOMMISSIONENS HENSTILLING af 18. juli 2011 om adgang til at oprette og anvende en basal betalingskonto. (EØS-relevant tekst)

HENSTILLINGER. KOMMISSIONENS HENSTILLING af 18. juli 2011 om adgang til at oprette og anvende en basal betalingskonto. (EØS-relevant tekst) 21.7.2011 Den Europæiske Unions Tidende L 190/87 HENSTILLINGER KOMMISSIONENS HENSTILLING af 18. juli 2011 om adgang til at oprette og anvende en basal betalingskonto (EØS-relevant tekst) (2011/442/EU)

Læs mere

Forbrugerombudsmanden. Carl Jacobsens vej 35. 2500 Valby. Att.: Chefkonsulent Tina Morell Nielsen. Frederiksberg, 19.

Forbrugerombudsmanden. Carl Jacobsens vej 35. 2500 Valby. Att.: Chefkonsulent Tina Morell Nielsen. Frederiksberg, 19. Forbrugerombudsmanden Carl Jacobsens vej 35 2500 Valby Att.: Chefkonsulent Tina Morell Nielsen Frederiksberg, 19. december 2011 Vedrørende standpunkt til markedsføring via sociale medier. Indledende bemærkninger.

Læs mere

- Vejledning til bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr

- Vejledning til bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr Nye regler om lagring af cookies og lignende teknologier - Vejledning til bekendtgørelse om krav til information og samtykke ved lagring af eller adgang til oplysninger i slutbrugeres terminaludstyr Udgave

Læs mere

Beskyttelse af personlige oplysninger

Beskyttelse af personlige oplysninger Beskyttelse af personlige oplysninger Kelly Services, Inc. og dens datterselskaber (herefter kaldet "Kelly Services" eller Kelly ) respekterer dit privatliv, og vi anerkender, at du har rettigheder i forbindelse

Læs mere

P R I V A T L I V S P O L I T I K

P R I V A T L I V S P O L I T I K PRIVATLIVSPOLITIK 1. Introduktion 1.1 Denne privatlivspolitik ( Privatlivspolitikken ) fastsætter, hvordan Chabber ApS ( Chabber ApS, vi, os, vores o.lign.) indsamler, bruger, videregiver og beskytter

Læs mere

EasyParks Datapolitik

EasyParks Datapolitik EasyParks Datapolitik Gældende fra 16. December 2016 1. Om EasyParks Datapolitik Når du anvender Easy Park A/S, Jægersborg Alle 16, 3. th., DK-2920 Charlottenlund ( EasyPark ) tjenester, afgiver du visse

Læs mere

Wallet-regler og privatlivspolitik

Wallet-regler og privatlivspolitik Wallet-regler og privatlivspolitik Indledning og brug Denne wallet er en app til din mobiltelefon, som gør det muligt at opbevare en virtuel version af dit allerede eksisterende fysiske betalingskort på

Læs mere

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 17.6.2016 L 160/23 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 2016/959 af 17. maj 2016 om gennemførelsesmæssige tekniske standarder for markedssonderinger for så vidt angår de systemer og indberetningsmodeller,

Læs mere

VISION CRITICAL COMMUNICATIONS INC. FORTROLIGHEDSPOLITIK FOR VIRKSOMHEDEN OVERSIGT

VISION CRITICAL COMMUNICATIONS INC. FORTROLIGHEDSPOLITIK FOR VIRKSOMHEDEN OVERSIGT VISION CRITICAL COMMUNICATIONS INC. FORTROLIGHEDSPOLITIK FOR VIRKSOMHEDEN OVERSIGT Hos Vision Critical Communications Inc. ("VCCI") er respekt for privatlivets fred en vigtig del af vores forpligtelser

Læs mere

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK

BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK BRIDGESTONE FIRESTONE FORTROLIGHEDSPOLITIK Det glæder os, at du er i interesseret i vores selskab. Det er os meget magtpåliggende at beskytte vores besøgendes privatliv. Vi gør derfor alt, hvad vi kan,

Læs mere

Muligheder og risici ved eprivacy

Muligheder og risici ved eprivacy Europaudvalget 2017 KOM (2017) 0010 Bilag 1 Offentligt Jesper Lund IT-Politisk Forening Europaudvalget, 3. februar 2017 Muligheder og risici ved eprivacy Tak for invitationen til dette møde. Min baggrund

Læs mere

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker

Vandforsyningens håndtering af den kommende persondataforordning. Danske Vandværker Vandforsyningens håndtering af den kommende persondataforordning Danske Vandværker Praktiske spørgsmål vi modtog Hvem har ansvaret for beskyttelse af forbrugernes persondata? Er medlemslister i ringbindsmapper

Læs mere

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester

Sag 61828-mho Udkast 06.05.2015. Cookiepolitik. 1. Politik for brug af HC Containers onlinetjenester Sag 61828-mho Udkast 06.05.2015 Cookiepolitik 1. Politik for brug af HC Containers onlinetjenester På denne side oplyses om de nærmere vilkår for brugen af www.hccontainer.dk og eventuelle andre hjemmesider,

Læs mere

UDKAST TIL UDTALELSE

UDKAST TIL UDTALELSE Europa-Parlamentet 2014-2019 Udvalget om Industri, Forskning og Energi 2015/0284(COD) 26.5.2016 UDKAST TIL UDTALELSE fra Udvalget om Industri, Forskning og Energi til Retsudvalget om forslag til Europa-Parlamentets

Læs mere

Persondatapolitik for VIAVANA.COM. GO WITH PASSION

Persondatapolitik for VIAVANA.COM. GO WITH PASSION Persondatapolitik for VIAVANA.COM 1 Dataansvar Vi tager din databeskyttelse alvorligt 1.1. Vi behandler persondata og har derfor vedtaget denne persondatapolitik, der fortæller dig, hvordan vi behandler

Læs mere

Privatlivspolitik for Vejle Rejser ApS.

Privatlivspolitik for Vejle Rejser ApS. Privatlivspolitik for Vejle Rejser ApS. Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan

Læs mere

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til KOMMISSIONENS DIREKTIV

KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER. Forslag til KOMMISSIONENS DIREKTIV DA KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den KOM(2003) Forslag til KOMMISSIONENS DIREKTIV af [ ] om gennemførelse af Europa-Parlamentets og Rådets direktiv 2003/6/EF med hensyn til redelig

Læs mere

DEN EUROPÆISKE CENTRALBANK

DEN EUROPÆISKE CENTRALBANK 22.2.2014 Den Europæiske Unions Tidende C 51/3 III (Forberedende retsakter) DEN EUROPÆISKE CENTRALBANK DEN EUROPÆISKE CENTRALBANKS UDTALELSE af 19. november 2013 om et forslag til Europa-Parlamentets og

Læs mere

EUROPA-PARLAMENTET. Rådets fælles holdning (15396/2/2001 C5-0035/ /0189(COD)) Ændringsforslag af The Earl of Stockton

EUROPA-PARLAMENTET. Rådets fælles holdning (15396/2/2001 C5-0035/ /0189(COD)) Ændringsforslag af The Earl of Stockton EUROPA-PARLAMENTET 1999 2004 Udvalget om Borgernes Friheder og Rettigheder og Retlige og Indre Anliggender 10. april 2002 PE 311.019/20-37 ÆNDRINGSFORSLAG 20-37 Udkast til indstilling ved andenbehandling

Læs mere

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler)

Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Johnson Controls' Binding Corporate Rules (bindende virksomhedsregler) Indhold 1. Introduktion 2. Område og anvendelse 3. Gennemsigtighed og underretning 4. Rimelig behandling og afgrænsning af formål

Læs mere

Den Europæiske Tilsynsførende for Databeskyttelse

Den Europæiske Tilsynsførende for Databeskyttelse Den Europæiske Tilsynsførende for Databeskyttelse ÅRSBERETNING FOR 2004 Resumé Årsberetningen for 2004 dækker den første periode med Den Europæiske Tilsynsførende for Databeskyttelse (EDPS) som en ny uafhængig

Læs mere

Politik om cookies. Introduktion Om cookies

Politik om cookies. Introduktion Om cookies Introduktion Om cookies Politik om cookies De fleste hjemmesider, du besøger, bruger cookies for at forbedre din brugeroplevelse ved at sætte webstedet i stand til at 'huske' dig enten under hele dit besøg

Læs mere

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU)

KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) 21.3.2013 Den Europæiske Unions Tidende L 79/7 KOMMISSIONENS GENNEMFØRELSESFORORDNING (EU) Nr. 254/2013 af 20. marts 2013 om ændring af forordning (EF) nr. 340/2008 om gebyrer og afgifter til Det Europæiske

Læs mere

Tevas datafortrolighedspolitik for lægemiddelovervågning. Definitioner, der anvendes i denne fortrolighedspolitik

Tevas datafortrolighedspolitik for lægemiddelovervågning. Definitioner, der anvendes i denne fortrolighedspolitik Tevas datafortrolighedspolitik for lægemiddelovervågning Definitioner, der anvendes i denne fortrolighedspolitik Bivirkning betyder en uønsket, utilsigtet eller skadelig hændelse i forbindelse med brug

Læs mere

Reglerne Om Behandling Af Personlige Oplysninger

Reglerne Om Behandling Af Personlige Oplysninger Reglerne Om Behandling Af Personlige Oplysninger Sådan bruger og beskytter vi personlige oplysninger Hos Genworth Financial ligger det os stærkt på sinde at beskytte dit privatliv og dine personlige oplysninger.

Læs mere

SALGSBETINGELSER FOR GROUPON-VÆRDIBEVISER - DANMARK

SALGSBETINGELSER FOR GROUPON-VÆRDIBEVISER - DANMARK SALGSBETINGELSER FOR GROUPON-VÆRDIBEVISER - DANMARK 1. Generelle oplysninger 1.1 Disse salgsbetingelser gælder for alle værdibeviser, der købes på Groupons websted. 1.2 Groupon betyder Groupon ApS, der

Læs mere

Forsvarsministeriets Materiel- og Indkøbsstyrelse

Forsvarsministeriets Materiel- og Indkøbsstyrelse Bilag 8 Databehandleraftale [Vejledning til Tilbudsgiverne: Bilaget skal ikke udfyldes af Tilbudsgiver i forbindelse med afgivelse af tilbud. Bilag udfyldes i fællesskab med FMI, hvis det er nødvendigt.

Læs mere

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt

Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Europaudvalget 2010 KOM (2010) 0609 Bilag 1 Offentligt Lovafdelingen Dato: 15. november 2010 Kontor: Statsretskontoret Sagsnr.: 2010-7614-0030 Dok.: OTE40148 G R U N D - O G N Æ R H E D S N O T A T vedrørende

Læs mere

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt

Retsudvalget, Retsudvalget L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt Retsudvalget, Retsudvalget 2017-18 L 68 endeligt svar på spørgsmål 4, L 69 endeligt svar på spørgsmål 4 Offentligt Spørgsmål 4 fra Folketingets Retsudvalg vedrørende L 68 og L 69: Vil ministeren overveje

Læs mere

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED?

NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED? NY PERSONDATALOV (GDPR) HVAD BETYDER DET FOR DIN VIRKSOMHED? WEBCRM, SEPTEMBER 2017 Indholdsfortegnelse Overblik 3 Hvad indebærer GDPR? 4 Hvorfor er GDPR så vigtigt for alle virksomheder? 7 Hvordan skal

Læs mere

Politik vedrørende cookies og andre lignende teknologier. 1. Hvad dækker denne politik?

Politik vedrørende cookies og andre lignende teknologier. 1. Hvad dækker denne politik? Politik vedrørende cookies og andre lignende teknologier 1. Hvad dækker denne politik? Denne politik dækker dine handlinger relateret til Tikkurilas digitale serviceydelser. Denne politik dækker ikke,

Læs mere

Sidst ændret: 28. jun. 2016 (se ældre versioner) (De eksempler, som er markeret som links, findes i slutningen af dette dokument.)

Sidst ændret: 28. jun. 2016 (se ældre versioner) (De eksempler, som er markeret som links, findes i slutningen af dette dokument.) Privatlivspolitik Sidst ændret: 28. jun. 2016 (se ældre versioner) (De eksempler, som er markeret som links, findes i slutningen af dette dokument.) Du kan bruge vores tjenester på mange forskellige måder

Læs mere

Bilag 1: Spørgeskema 1

Bilag 1: Spørgeskema 1 Bilag 1: Spørgeskema 1 1. Generelt om dig: Mand Kvinde 18 Mand Kvinde 19 Mand Kvinde 20 Mand Kvinde 21 Mand Kvinde 22 Mand Kvinde 23 Mand Kvinde 24 Mand Kvinde 25 Mand Kvinde 26 Mand Kvinde 27 Mand Kvinde

Læs mere

VILKÅR OG BETINGELSER FOR GRATIS KUNDESUPPORTORDNING FOR PORSCHE DESIGN SMARTPHONE FROM BLACKBERRY

VILKÅR OG BETINGELSER FOR GRATIS KUNDESUPPORTORDNING FOR PORSCHE DESIGN SMARTPHONE FROM BLACKBERRY LÆS VENLIGST DETTE DOKUMENT GRUNDIGT, INDEN DU ACCEPTERER. BLACKBERRY (som defineret herunder) er glad for at kunne tilbyde DIG (som defineret herunder) BLACKBERRYS GRATIS KUNDESUPPORTORDNING, der starter

Læs mere

Privatlivspolitik for Zieglersoft.

Privatlivspolitik for Zieglersoft. Privatlivspolitik for Zieglersoft. Dataansvar Vi tager din databeskyttelse alvorligt Vi behandler persondata og har derfor vedtaget denne privatlivsbeskyttelsespolitik, der fortæller dig, hvordan vi behandler

Læs mere

Helsinki, den 25. marts 2009 Dok.: MB/12/2008 endelig

Helsinki, den 25. marts 2009 Dok.: MB/12/2008 endelig Helsinki, den 25. marts 2009 Dok.: MB/12/2008 endelig BESLUTNING OM GENNEMFØRELSE AF EUROPA- PARLAMENTETS OG RÅDETS FORORDNING (EF) NR. 1049/2001 OM AKTINDSIGT I EUROPA-PARLAMENTETS, RÅDETS OG KOMMISSIONENS

Læs mere

Konsekvensanalyse/Data Protection Impact Assessment (DIA)

Konsekvensanalyse/Data Protection Impact Assessment (DIA) /Data Protection Impact Assessment (DIA) Nye instrumenter i persondataretten Janne Glæsel (Gorrissen Federspiel) Max Sørensen () Oversigt 01 Kort om konsekvensanalyse/data Protection Impact Assessment

Læs mere

Privatlivspolitik for Hellers Massage

Privatlivspolitik for Hellers Massage Privatlivspolitik for Hellers Massage Overblik Jeg respekterer dit privatliv og gør mig umage for at beskytte dine data. Jeg indsamler derfor ikke data om dig uden dit samtykke og vil aldrig misbruge dine

Læs mere

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt

Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Europaudvalget 2008 2907 - transport, tele og energi Bilag 2 Offentligt Bilag til brev til Europaudvalget af 19. november 2008 19. november 2008 Martin Salamon Dok. 66500/ps Telekom-pakken Rådet har indledt

Læs mere

Europaudvalget 2007 KOM (2007) 0698 Offentligt

Europaudvalget 2007 KOM (2007) 0698 Offentligt Europaudvalget 2007 KOM (2007) 0698 Offentligt KOMMISSIONEN FOR DE EUROPÆISKE FÆLLESSKABER Bruxelles, den 29.7.2009 KOM(2009) 421 endelig 2007/0248 (COD) KOMMISSIONENS UDTALELSE i henhold til EF-traktatens

Læs mere

DET EUROPÆISKE UDVALG FOR SYSTEMISKE RISICI

DET EUROPÆISKE UDVALG FOR SYSTEMISKE RISICI 3.4.2014 DA Den Europæiske Unions Tidende C 98/3 DET EUROPÆISKE UDVALG FOR SYSTEMISKE RISICI DET EUROPÆISKE UDVALG FOR SYSTEMISKE RISICIS AFGØRELSE af 27. januar 2014 om en koordineringsramme for de kompetente

Læs mere

Kontraktbilag 3. Databehandleraftale

Kontraktbilag 3. Databehandleraftale Kontraktbilag 3 Databehandleraftale 1. DATABEHANDLERAFTALENS OMFANG OG FORMÅL Formålet med behandlingen af personoplysninger er overordnet set at drive en iværksætterpilotordning som nærmere fastlagt i

Læs mere

Rigsarkivets konference 2. november 2016

Rigsarkivets konference 2. november 2016 Pligten til at huske retten til at blive glemt Rigsarkivets konference 2. november 2016 Birgit Kleis, kommitteret i Datatilsynet Persondatabeskyttelse: afvejning af hensyn Privatlivets fred Informations-

Læs mere

C 279/20 Den Europæiske Unions Tidende 23.9.2011

C 279/20 Den Europæiske Unions Tidende 23.9.2011 C 279/20 Den Europæiske Unions Tidende 23.9.2011 Udtalelse fra Den Europæiske Tilsynsførende for Databeskyttelse vedrørende forslag til Europa- Parlamentets og Rådets forordning om integritet og gennemsigtighed

Læs mere

11. januar 2013 EBA/REC/2013/01. EBA-henstillinger. om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet

11. januar 2013 EBA/REC/2013/01. EBA-henstillinger. om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet 11. januar 2013 EBA/REC/2013/01 EBA-henstillinger om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet Henstillinger om tilsyn med aktiviteter vedrørende bankers deltagelse i Euribor-panelet

Læs mere

BILAG 5 DATABEHANDLERAFTALE

BILAG 5 DATABEHANDLERAFTALE BILAG 5 DATABEHANDLERAFTALE INDHOLDSFORTEGNELSE 1. Formål og omfang... 5 2. Databehandlers opgave... 5 3. Instruks... 5 4. Brug af ekstern Databehandler eller underleverandør... 5 5. Behandling i udlandet...

Læs mere

Almindelig viden om persondataforordningen

Almindelig viden om persondataforordningen Almindelig viden om persondataforordningen Hvad er persondata? En Personoplysning er enhver form for information om en identificeret eller identificerbar fysisk person ( den registrerede ). Dette gælder

Læs mere

TILLÆG TIL BBM CHANNELS

TILLÆG TIL BBM CHANNELS TILLÆG TIL BBM CHANNELS Velkommen til BBM Channels, en social netværksfunktion inden for BBM, der udvider dit netværk til andre ud over din familie og venskabskreds, og giver dig mulighed for at kommunikere

Læs mere

RÅDET FOR DEN EUROPÆISKE UNION. Bruxelles, den 13. februar 2008 (OR. en) 5598/08 COPEN 11

RÅDET FOR DEN EUROPÆISKE UNION. Bruxelles, den 13. februar 2008 (OR. en) 5598/08 COPEN 11 RÅDET FOR DEN EUROPÆISKE UNION Bruxelles, den 13. februar 2008 (OR. en) 5598/08 COPEN 11 RETSAKTER OG ANDRE INSTRUMENTER Vedr.: Initiativ fra Republikken Slovenien, Den Franske Republik, Den Tjekkiske

Læs mere

Politik om cookies. Introduktion Om cookies

Politik om cookies. Introduktion Om cookies Introduktion Om cookies Politik om cookies De fleste hjemmesider, du besøger, bruger cookies for at forbedre din brugeroplevelse ved at sætte webstedet i stand til at 'huske' dig enten under hele dit besøg

Læs mere

WP243 BILAG OFTE STILLEDE SPØRGSMÅL

WP243 BILAG OFTE STILLEDE SPØRGSMÅL WP243 BILAG OFTE STILLEDE SPØRGSMÅL Formålet med dette bilag er at besvare, i et forenklet og letlæseligt format, nogle af de centrale spørgsmål, som organisationer eventuelt har med hensyn til de nye

Læs mere