It-retlig opdatering Professor, dr.jur. Henrik Udsen henrik.udsen@jur.ku.dk Dias 1
Oversigt Persondata It-kontraktret Ophavsret Varemærker, domænenavne og kendetegn Mellemmandsansvar E-handel Andre emner Dias 2
Persondataret Dias 3
Ændringer af persondataloven pr. 1/1 2013 Pdl. 27, stk. 5 (ny): Datatilsynet skal ikke længere give tilladelse til selve overførslen af personoplysninger til usikre tredjelande, når en overførsel sker på grundlag af kontrakter, der er i overensstemmelse med standardkontraktbestemmelser, som er godkendt af Kommissionen Pdl. 58, stk. 3 (ny): Datatilsynet kan i særlige tilfælde forbyde eller suspendere overførsel af personoplysninger, som er omfattet af 27, stk. 5 Gebyr for tilladelser fra Datatilsynet forhøjes fra 1.000 kr. til 2.000 kr. Dias 4
Dom fra EU-Domstolen om off. myndigheders adgang til kontroloplysninger (C-342/12) Registrering af oplysninger om medarbejderes mødetidspunkter og arbejdstid udgør personoplysninger (så ved vi det) Stater har ingen pligt til at sikre, at personoplysninger undergives de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger det har kun den dataansvarlige og en eventuel databehandler (så ved vi også det) Ikke i strid med persondatadirektivet at indføre regler, der forpligter en arbejdsgiver til at udlevere oplysninger om medarbejderes arbejdstider til en offentlig kontrolinstans Dias 5
Forslag til afgørelse fra generaladvokaten i sag om ret til at få fjernet links i søgemaskiner (C-131/12) Sagens faktum Sagens tre spørgsmål: Er Googles behandling af oplysninger omfattet af persondatadirektivets territoriale anvendelsesområde? Er Google databehandler? Har Google en generel pligt til at fjerne personoplysningerne (right to be forgotten)? Territorialt anvendelsesområde Udgangspunkt i søgemaskineudbyderens forretningsmodel Hvis virksomhed etableret i EU markedsfører søgeord omfattes aktiviteterne af direktivet (virksomhed skal betragtes som samlet enhed) Databehandler Registrering af oplysninger på tredjepartshjemmesider til brug for indeksering i en søgemaskine gør ikke søgemaskineudbyderen til databehandler, og den registrerede kan som udgangspunkt ikke kræve, at oplysningerne fjernes fra indekset Right to be forgotten Ingen generel right to be forgotten, heller ikke efter EU Charter om grundlæggende rettigheder. Dias 6
Forordning om breach notification proceduren efter e-databeskyttelsesdirektivet (For. 611/2013) Underretningspligt for teleudbydere følger af e- databeskyttelsesdirektivet og implementeringen i lov om elektroniske kommunikationsnet og tjenester 8 Forpligtelsen er nu blevet udspecificeret i en EU forordning Hovedindhold Underretning til tilsynsmyndighed inden for 24 timer Underretning skal indeholde nærmere angivne oplysninger (se bilag 1 til forordningen) Standardformular til indberetning Underretning til registrerede hvis bruddet kan forventes at krænke personoplysninger eller privatlivets fred Eksempler opregnet (konsekvensanalyse) Gælder ikke hvis data er beskyttet med eksempelvis kryptering Dias 7
BCR for databehandlere BCR for databehandlere muligt pr. 1. januar 2013 Ansøgningsskema offentliggjort 17. september 2012 http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2012/ wp195_application_form_en.doc Explanatory document on the Processor BCR af 19. april 2013 fra art. 29-gruppen http://ec.europa.eu/justice/data-protection/article-29/ documentation/opinion-recommendation/files/2013/ wp204_en.pdf Dias 8
Art. 29-gruppens opinion 02/2013 om apps Behandler persondataretlige spørgsmål knyttet til indsamling og behandling af personoplysninger via apps Samtykke Hjemmelsgrundlag Formålsbegrænsning Sikkerhed Informationskrav Den registreredes rettigheder Opbevaring Dias 9
Art. 29-gruppens opinion 03/2013 om formålsbestemthed Pdl. 5, stk. 2: senere behandling må ikke være uforenelig med det oprindelige formål. Konkret vurdering om senere behandling er uforenelig med oprindelige formål Udtalelsen giver vejledning i denne vurdering. Centrale kriterier: the relationship between the purposes for which the personal data have been collected and the purposes of further processing; the context in which the personal data have been collected and the reasonable expectations of the data subjects as to their further use; the nature of the personal data and the impact of the further processing on the data subjects; the safeguards adopted by the controller to ensure fair processing and to prevent any undue impact on the data subjects. Dias 10
Udkast til persondataforordning Fortsatte forhandlinger Uklart hvad resultatet bliver og hvornår der foreligger et endeligt dokument Seneste udkast (31. maj 2013): http://register.consilium.europa.eu/pdf/en/13/st10/ st10227-ad01.en13.pdf?goback= %2Enmp_*1_*1_*1_*1_*1_*1_*1_*1_*1_*1%2Eanb_413 0197_*2_*1_*1_*1_*1_*1%2Enmp_*1_*1_*1_*1_*1_*1_ *1_*1_*1_*1%2Egmr_4130197%2Egde_4130197_member _247498611 Dias 11
It-kontraktret Dias 12
Højesterets domme i FMT mod Saab U.2013.2113/1H og U.2013.2113/2H (udeladt) Dommene i fuld længde: http://www.domstol.dk/hojesteret/nyheder/afgorelser/ Documents/309-10.pdf http://www.domstol.dk/hojesteret/nyheder/afgorelser/ Documents/310-10.pdf Hvad kan udledes af dommene? Konkrete afgørelser Aftaleregulering ctr. parternes praksis og handlemåde Omfanget af afhjælpningsret Forhandling i good faith Dias 13
K03 Endelig udgave i december 2012 Hovedindhold (meget overordnet) Fast pris Fast tid Sondring mellem absolutte krav og øvrige krav Iterationer der afsluttes med interne tests Kunden kan til enhver tid udtræde mod vederlag Hidtidige erfaringer Dias 14
Tvistløsning Nye regler om udtalelse i it-tvist af juridiske eller teknisk ekspert i kraft pr. 1. september 2013 Hør mere i speed talk indlæg fra Niels Chr. Ellegaard Nye regler for behandling af voldgiftssager under Voldgiftsinstituttet Som udgangspunkt behandles sager kun af én voldgiftsdommer Dias 15
Cloud computing EU-Kommissionen: Unleashing the Potential of Cloud Computing in Europe - COM(2012)529 Standardisering Europæisk cloud partnership Rimelige kontraktsvilkår (standardvilkår) Bl.a. bevaring af data efter aftaleophør, beskyttelse af data, overførsel af data, direkte og indirekte ansvar, ejerskab til data, flytning til anden cloudleverandør, brug af underleverandører Dias 16
Ophavsret Dias 17
Infopaq-sagen (U.2013.1782H) Sagens baggrund Infopaq begik ophavsretskrænkelse, da det ikke fremgik af beskrivelsen af datafangstprocessen, at ordene automatisk blev slettet Højesterets dom indeholder ikke i sig selv de væsentlige præjudikatsbidrag. Det gør de to sager for EU-Domstolen. Dias 18
Salg af digitale kopier (download-eksemplarer) Problemstillingen ReDigi-sagen US District Court, Southern District of New York: Videresalg af digitale kopier har hverken hjemmel i fair usereglen eller i right of first sale-reglen => ikke tilladt at videresælge digitale kopier Afgørelse fra regional domstol i Tyskland Ikke tilladte at videresælger digitale bøger Ingen hjemmel til lovlig kopiering i infosoc-direktivet (i modsætning til softwaredirektivet) Dias 19
Verserende sager for EU-Domstolen Sag C-466/12 Den retlig karakter af linking Sag C-360/13 Kopier ved internetbrowsing omfattet af undtagelsesbestemmelsen i infosoc-direktivet Kan national ret tillade privatkopiering af baggrund af ulovlige kopier? Dias 20
Varemærker, domænenavne og kendetegn Dias 21
AdWords-sager U.2013.242SH (SKA-DAN mod Bredenoord) Sagens omstændigheder Brug i strid med mfl. 1 og 18 (der var ikke procederet på vml.) SH-dom af 7. marts 2013 (Experian med Debitorregistret) Ikke varemærkekrænkelse, men i strid med mfl. 1 Ikke muligt af præmisserne at udlede, hvorfor forholdet var i strid med mfl. 1 Dias 22
Udkast til forslag til ny domænelov Baggrund Bestemmelsen om god domænenavnsskik I det nuværende udkast anføres i bemærkningerne til bestemmelsen om god domænenavnsskik (nuværende 12, stk. 1, 25, stk. 1 i udkastet), at den er en delvis videreførelse af den hidtil gældende bestemmelse. Uklart hvori forskellen består. Den meget deltajerede bemærkninger i den nuværende lov er ikke videreført. Høringsfase afsluttet. Forslag forventes fremsat i starten af det nye FT-år Dias 23
Nye TLD ere - status Ca 2.000 ansøgninger Afgørelse af indsigelser fra varemærkeindehavere Afgørelse af indsigelser fra lande (.amazon er f.eks. blevet afvist) De første nye TLD ere har bestået den teknisk test og forventes at gå i luften i slutningen af september Ingen meldinger om tidspunkt for næste ansøgningsrunde Dias 24
Mellemmandsansvar Dias 25
Ændring af retsplejeloven De hidtil gældende forbudsregler i rpl. 641 ff. er ophævet og afløst af nye regler i rpl. 411 ff. Sproglige ændringer af bestemmelserne men ifølge forarbejder ikke tilsigtet indholdsmæssige ændringer Afvist at inddrage hensyn til tredjeparter ved forbudssager eller at pålægge en pligt til at informere tredjeparter Dias 26
Fogedsretsafgørelse om blokering Kendelse af 14. december 2012 fra Retten på Frederiksberg Telenor påbudt at blokere for spansk hjemmeside, der formidlede ferieboliger rettet mod det danske marked, og som krænkede HOMEs varemærkerettigheder Endnu et eksempel på, at retsstridighedskravet i RPL opfyldes blot ved at teleudbyderen stiller internetforbindelser til rådighed Dias 27
ØL-kendelse om blokering Kendelse af 3. juni 2013 TDC ikke pålagt at blokere for adgang til engelsk hjemmeside, hvorfra der blev solgt kopimøbler (dissens) Lagt til grund, at sagen skulle afgøres efter dansk ret, og at der skete en krænkelse af den danske ophavsretslov ved den visning af billeder, der skete på hjemmesiden og ligeledes en krænkelse af den danske varemærkelov Flertallet på to dommere: Internetudbydere kun forpligtet til at blokere, hvis der foreligger dom eller hjemmesiden åbenbart er ulovlig Dias 28
ØL-kendelse om gennemførelse af forbud overfor DNSudbyder (U.2013.4Ø) Københavns Fogedret havde ved kendelse påbudt hjemmesideindehaver at nedtage hjemmeside, der krænkede tredjemands varemærkerettigheder Forbuddet blev ikke efterlevet og fogedretten pålagde herefter DNS-udbyderen af det til hjemmesiden hørende domænenavn at afbryde DNS-tjenesten Øster Landsret fastslog, at der ikke var hjemmel i RPL til at pålægge gennemførelse af et forbud, der var nedlagt overfor en anden. Kendelsen tager ikke stilling til, om der kunne nedlægges selvstændigt forbud overfor DNS-udbyderen Dias 29
Forbudsbestemmelse i lægemiddelloven ophævet Lægemiddelloven 39 b, der blev indført i 2011, ophævet ved lov af 18. december 2012 Politisk modvilje mod blokeringer af hjemmesider MEN: der er fortsat hjemmel i RPL og dermed indebærer lovændringen næppe nogen realitetsændringer Dias 30
Dom fra EMD om ytringsfrihed for stifterne af Pirate Bay Dom af 19. februar 2013 Ikke i strid med ytringsfriheden, at stifterne af Pirate Bay blev idømt fængsel og erstatningsansvar for deres medvirken til udbredelse af piratkopierede værker gennem Pirate Bay Ytringsfriheden skal afvejes overfor de immaterielle rettigheder, der også har karakter af grundlæggende rettigheder Dias 31
E-handel Dias 32
Opdateret udgave af cookie-vejledning Erhvervsstyrelsen vejledning fra april 2013 (2. udgave) Særligt om samtykkekravet Kan opfyldes ved brugerens aktive brug af en tjeneste, hvor det må forventes, at brugeren er informeret om, at der vil ske lagring af eller adgang til oplysninger Browserindstillinger kan ikke i sig selv tages til udtryk for et samtykke Forudgående samtykke Ifølge erhvervsstyrelsen må der ikke sættes cookies før samtykke. Spørgsmålet drøftes dog med kommissionen og kravet vil ikke blive håndhævet for en afklaring foreligger Dias 33
Gennemførelse af direktivet om forbrugerrettigheder ny forbrugeraftalelov Forbrugerrettighedsdirektivet (dir. 2011/83) Afløser fjernsalgsdirektivet, men har et bredere anvendelsesområde Totalharmoniseringsdirektiv Skal være implementeret i national ret senest 13. december 2013 Betænkning om gennemførelse af forbrugerrettighedsdirektivet af 27. juni 2013 (afgivet af arbejdsgruppe under Justitsministeriet) Betænkningen indeholder et forslag til en ny forbrugeraftalelov En lang række ændringer i forhold til gældende ret En udvidelse af informationspligten Ændringer i undtagelser til fortrydelsesretten. Herunder levering af digitalt indhold uden fysisk medie, når udførelse er begyndt med forbrugerens samtykke og viden om at fortrydelsesretten bortfalder Ikke tilstrækkeligt at undlade at afhente en vare Tilbagebetaling når forbrugeren har dokumenteret, at varen er tilbagesendt Dias 34
Dom fra EU-Domstolen om søgeord som reklame efter vildledningsdirektivet Direktiv 2006/114 om vildledende og sammenlignende reklame Brug af en konkurrents varemærke som meta-tag var reklame i vildledningsdirektivets forstand Det samme må gælde AdWords Dommen forholder sig ikke til, om meta-tagget var i strid med direktivet Dias 35
Andre emner Dias 36
Digitale forkyndelser Ændring af RPL ved lov nr. 1242 af 18. december 2012 giver hjemmel til at forkynde meddelelser ved fremsendelse til en borgers digitale postkasse (RPL 155, stk. 1, nr. 3 og 156 c) Meddelelsen anses for forkyndt, når den åbnes Dias 37
Forslag til direktiv om netværks- og informationssikkerhed Direktivforslag af 7. februar 2013, KOM(2013) 48 endelig NISdirektivet Pålægger en række aktører der har ansvar for kritisk netværksinfrastruktur pligt til at iagttage fornødne sikkerhedsforanstaltninger og pligt til at informere om sikkerhedsbrud Eksempler på aktører der vil blive omfattet: Centrale internetaktører (store cloududbydere, sociale netværkstjenester, e-handelsplatforme og søgemaskiner) Banksektoren Energisektoren Sundhedssektoren Offentlig administration Forhandlinger om direktivet. Næppe implementering i national ret før 2016 Dias 38