De europæiske datatilsyn sætter nye standarder efter GDPR - bøder på over 1 mio. kr. udstedt

Bøde til polsk data- og analysevirksomhed

En polsk data- og analysevirksomhed havde indsamlet personoplysninger på ca. 7 mio. polske statsborgere fra offentlige registre med henblik på kommerciel brug. Virksomheden havde e-mailadresser på ca. 90.000 borgere, mens virksomheden på de resterende borgere kun havde telefonnumre eller adresser.

Virksomheden varetog sin oplysningspligt for de borgere, hvortil virksomheden havde en e-mailadresse, mens oplysningspligten for de resterende godt 6 mio. borgere ikke blev iagttaget. Virksomheden henviste til, at iagttagelsen af oplysningspligten over for de resterende 6 mio. borgere krævede en uforholdsmæssig stor indsats af virksomheden, herunder at det ville koste omkring 8 mio. kr., svarende til 97 % af selskabets omsætning, at give de resterende 6 mio. borgere oplysningerne.

Til trods for dette udstedte den polske databeskyttelsesmyndighed (UODO) alligevel en administrativ bøde på ca. 1,7 mio. DKK. UODO udtalte hertil, at oplysningspligten efter artikel 14 ikke nødvendigvis forudsætter, at oplysningerne gives via anbefalet brev. Virksomheden kunne i stedet have kontaktet de berørte borgere gennem en af de andre kontaktinformationer, som virksomheden havde til rådighed, herunder eksempelvis telefonnumre eller adresser. UODU fremhævede, at det således både var muligt og tilstrækkeligt for virksomheden at opfylde sin oplysningspligt efter artikel 14. Virksomhedens påstand om, at det ville kræve en uforholdsmæssig stor indsats, blev således ikke taget i betragtning.

Bøde til norsk kommune

Det norske datatilsyn har udstedt bøde til Bergen kommune for overtrædelse af persondataforordningen på ca. 1,2 mio. kr. Tilsynet havde i efteråret foretaget en række undersøgelser af kommunens datasystemer og kom i den forbindelse frem til, at persondatasikkerheden for de pågældende systemer var yderst mangelfuld.

Sagen drejede sig om en hændelse, hvor filer med ca. 35.000 brugers (hovedsageligt børns) brugernavn og passwords i Bergen kommune var lagt frit tilgængeligt for elever og ansatte i kommunens folkeskoler. Det var således muligt for alle at logge sig ind på folkeskolernes informationssystem – både som elever, ansatte og administratorer – og dermed få adgang til personoplysninger om andre elever og ansatte, som de ikke var berettiget til.

Det norske datatilsyn fremhævede, at kommunens opbevaring ikke var tilstrækkelig, idet kommunen havde opbevaret en åben og ubeskyttet digital mappe indeholdende filer med brugernavne og adgangskoder. Oplysningerne var således frit tilgængelige for alle brugere af informationssystemerne.

Derudover fremhævede Tilsynet, at kommunen kunne have indført en række sikkerhedsforanstaltninger, som kunne have mindsket hændelsen, herunder eksempelvis en to-faktor-autentificering ved log-in på informationssystemet.

Er du i tvivl om, hvorvidt din virksomhed håndterer jeres kunders personoplysninger rigtigt, eller hvorvidt I har de nødvendige og passende sikkerhedsforanstaltninger, er du velkommen til at kontakte os.