09 dec 2019

Tysk tilsynsmyndighed udsteder bøde på 14,5 millioner euro for overtrædelse af GDPR

Et tysk boligselskab har modtaget en bøde på 14,5 millioner euro for ulovlig opbevaring af personoplysninger.

Flere kontrolbesøg hos virksomheden

Under et kontrolbesøg i juni 2017 og i marts 2019 har tilsynsmyndigheden i Tyskland konstateret, at virksomheden anvendte et arkiveringssystem til opbevaring af lejernes personoplysninger, som ikke gav mulighed for at slette de data, der ikke længere var nødvendige.

Personoplysninger om lejerne er således blevet opbevaret uden at kontrollere, om det fortsat var nødvendigt at opbevare dem, eller om der var det fornødne behandlingsgrundlag.

I de sager, der blev undersøgt, fandt tilsynsmyndigheden oplysninger på flere tidligere lejere, hvor der ikke længere var det fornødne behandlingsgrundlag. Der var tale om data om lejernes personlige- og økonomiske forhold, herunder lønsedler, ansættelseskontrakter, sundhedsforsikringsdata samt kontoudtog.

Til trods for at tilsynsmyndigheden efter deres første kontrolbesøg havde fremsat et påbud om, at boligselskabet skulle ændre arkiveringssystemet, konstaterede tilsynsmyndigheden ved deres kontrolbesøg i marts 2019, at forholdene ikke var bragt i orden. Boligselskabet havde imidlertid foretaget en række foranstaltninger, der skulle afhjælpe de påklagede forhold, men disse var ikke tilstrækkelige til, at der blev etableret en lovlig opbevaring af lejernes personoplysninger. På baggrund heraf pålagde tilsynsmyndigheden boligselskabet en bøde for overtrædelse af databeskyttelsesforordningen for ulovlig opbevaring af personoplysninger i perioden mellem maj 2018 til marts 2019.

Bødens størrelse

Databeskyttelsesforordningen forpligter de nationale tilsynsmyndigheder at sikre, at bøder ikke blot er effektive og forholdsmæssige i hvert enkelt tilfælde, men også at de har en afskrækkende virkning. Udgangspunktet for beregningen af bøder er blandt andet de berørte selskabers omsætning i det foregående år. Med en omsætning på mere end 1.000.000.000 euro var den lovbestemte grænse for bøden ca. 28.000.000 euro.

Tilsynsmyndigheden har fastsat bøden ud fra de retlige kriterier, hvor det blev tillagt vægt, at boligselskabet bevidst havde oprettet den anfægtede arkivstruktur, og at de pågældende data var blevet behandlet på en ulovlig måde over en lang periode. På den anden side blev det taget i betragtning, at virksomheden havde truffet foranstaltninger for at rette op på den ulovlige behandling, og at de havde udvist samarbejdsvilje overfor tilsynsmyndigheden. Det blev ligeledes tillagt vægt, at virksomheden ikke havde misbrugt adgangen til de ulovlige data. På baggrund heraf blev bødens størrelse placeret i mellemområdet af de foreskrevne rammer. 

Foruden bøden på de 14,5 millioner euro pålagde tilsynsmyndigheden ligeledes boligselskabet bøder mellem 6.000 og 17.000 euro for ulovlig opbevaring af personoplysninger om lejere i 15 specifikke enkeltsager.

Sagen viser meget tydeligt, at der er tale om et markant højt bødeniveau under databeskyttelsesforordningen.

Bødesanktioneringerne er endnu ikke endelige. Boligselskabet har mulighed for at indbringe bøderne for domstolen.

Er du i tvivl om, hvorvidt din virksomhed håndterer jeres kunders personoplysninger rigtigt, eller hvorvidt I sikrer jer, at I har de fornødne behandlingsgrundlag, er du altid velkommen til at kontakte os.

Tak for din henvendelse

Vi har sendt dig en kvittering via mail og kontakter dig hurtigst muligt.

Har du brug for rådgivning vedrørende GDPR?

Vores advokater står klar til at hjælpe

Vil du vide mere, eller har du brug for hjælp, så udfyld felterne. Så kontakter vi dig hurtigst muligt.

Vi anbefaler, at du ikke indtaster nogle følsomme personoplysninger (f.eks. helbredsoplysninger) eller cpr. nr. i kontaktformularen.