Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Nedslag i de seneste europæiske GDPR-afgørelser

Kromann Reumert
03/02/2020
Nedslag i de seneste europæiske GDPR-afgørelser
Kromann Reumert logo
Siden persondataforordningen trådte i kraft den 25. maj 2018, har medlemslandenes datatilsyn truffet en række afgørelser, der kan have betydning for fortolkningen af persondataforordningen i Danmark og i de øvrige medlemslande.


Bøde på 11,5 millioner euro for uanmodede telemarketing- og fjernsalgsaktiviteter


Det italienske datatilsyn har pålagt energiselskabet, Eni Gas E Luce S.p.A., to bøder på henholdsvis 8.5 millioner euro og 3 millioner euro for overtrædelser af persondataforordningen.

Den første bøde blev pålagt selskabet for ulovlig behandling af persondata i forbindelse med selskabets telemarketingaktiviteter, som kunne konstateres efter, at den italienske tilsynsmyndighed havde modtaget flere klager.

Selvom der kun kunne konstateres et begrænset antal tilfælde pegede tilsynets undersøgelser dog i retning af, at selskabets overtrædelser havde været systematiske. De overtrædelser, som tilsynet fremhævede, var:

  • at der var foretaget reklameopkald uden samtykke fra den pågældende personer, og til trods for, at visse af disse personer havde afvist

  • at modtage salgsfremmende opkald

  • at selskabet ikke havde iagttaget de specifikke procedurer til verifikation af kundernes tilknytning til et offentligt opt-out register, svarende til den danske Robinson-liste

  • at der ikke var tilstrækkelige tekniske og organisatoriske foranstaltninger, som sikrede, at kunder som havde afvist at modtage de pågældende opkald, rent faktisk ikke modtog disse

  • at kundedata blev opbevaret over en periode, som var længere end nødvendigt

  • at selskabet havde købt data om potentielle kunder fra udbydere, som ikke havde fået samtykke til videregivelse af disse data.


Den anden bøde blev pålagt i forbindelse med, at en række af selskabets leverandører havde indgået kontrakter vedrørende levering af elektricitet og gas uden kundernes viden. En række af selskabets kunder havde klaget over, at de udelukkende fik kendskab til indgåelsen af en aftale med en ny leverandør efter at have modtaget et opsigelsesbrev fra den tidligere leverandører. Kunderne havde derfor ifølge eget udsagn aldrig været i kontakt med sidstnævnte, før de blev opmærksomme på den "nye" kontrakt.

I flere tilfælde havde disse kunder desuden klaget over, at den nye kontrakt indeholdt forkerte oplysninger ‒ herunder forkerte telefonnumre, adresser samt identitetsdokumenter som syntes at have en tvivlsom oprindelse. Yderligere klagede visse kunder over, at kontrakterne var forsynet med falske underskrifter.

Den italienske tilsynsmyndighed kunne i forbindelse med undersøgelse af selskabets procedurer for håndtering af kundekontrakter konstatere, at selskabet havde overtrådt persondataforordningens ved:

  • at have anvendt oplysninger som var ukorrekte, ufyldestgørende og/eller ikke-opdaterede i strid med persondataforordningens art. 5, stk. 1, litra a og d

  • at selskabets leverandører havde anvendt personoplysninger i strid med persondataforordningens art. 5, 6 og 13

  • at selskabets tekniske og organisatoriske foranstaltninger ikke var tilstrækkelige til at sikre, at selskabets leverandører, som databehandlere, ikke handlede i strid med den dataansvarliges (selskabets) instrukser.


Begge bøder blev pålagt i medfør af persondataforordningens art. 83, stk. 5. Den første bøde på 8,5 millioner euro svarede til ca. 5 % af den maksimale bødestørrelse, som ifølge persondataforordningens art. 83, stk. 5 ville være 4 % af selskabets samlede globale årlige omsætning i det forudgående regnskabsår.

Afgørelserne viser blandt andet, at det er afgørende, at virksomheder sikrer, at personoplysninger er korrekte, og at der implementeres tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre, at oplysninger som leverandører modtager på vegne af virksomheden, er korrekte og opdaterede.

Samtidig viser afgørelserne, at virksomheder, som er engageret i telemarketingaktiviteter, skal sikre, at dataleverandører, som leverer kunde-leads, har modtaget samtykke fra disse personer, forinden der rettes henvendelse hertil.

Læs pressemeddelelse om afgørelsen 


Tysk teleudbyder pålagt bøde på 9,55 millioner euro for mangelfuld sikkerhed


Det føderale tyske datatilsyn (BfDI) har pålagt teleudbyderen 1&1 Telecom GmbH en bøde på 9.550.000 euro, fordi selskabet ikke havde implementeret tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger, jf. persondataforordningens artikel 32.

Ifølge BfDI var teleudbyderens kundeautentifikationsprocedure utilstrækkelig, da den ikke forhindrede uvedkommende personer i at få adgang til kundeoplysninger via kundeservice. Uvedkommende personer kunne ringe til virksomhedens kundeservice og modtage omfattende information om en given kunde ved blot at angive kundens navn og fødselsdagsdato.

BfDI lagde i forbindelse med bødeudmålingen blandt andet vægt på, at overtrædelsen ikke var isoleret til en lille andel af selskabets kunder, men udgjorde en risiko for samtlige kunder. Det var dog en formildende omstændighed, at selskabet havde samarbejdet med BfDI og samtidig havde implementeret nye procedurer for udleveringen af kundeoplysninger.

Afgørelsen tydeliggør betydningen af at sikre tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger i relation til udleveringen af blandt andet kundeoplysninger. Selvom afgørelsen specifikt angår en teleudbyder, kan det også være aktuelt for andre virksomheder at overveje, hvorvidt proceduren for udlevering af kundeoplysninger opfylder kravene i persondataforordningens art. 32.

Læs pressemeddelelse om afgørelsen


Britisk apotek pålagt bøde på 275.000 britiske pund for usikker opbevaring af patientdata


Det britiske datatilsyn, Information Commissioner's Office, ICO, har pålagt det britiske apotek, Doorstep Dispensaree, en bøde på 275.000 britiske pund for tilsidesættelse af persondataforordningens artikel 32.

Apoteket havde efterladt omtrent 500.000 dokumenter i ulåste containere i en baggård, hvorved dokumenterne var tilgængelige for uvedkommende. Dokumenterne indeholdt blandt andet oplysninger i form af navne, adresser, fødselsdatoer og personnumre samt medicinsk information om f.eks. recepter.

Det er særligt interessant, at mange af dokumenterne var gennemblødte og dermed ulæselige for uvedkommende personer, men at ICO alligevel lagde til grund, at der forelå et brud på persondatasikkerheden. Årsagen hertil var formentlig, at dokumenterne var læselige, og dermed principielt tilgængelige for uvedkommende, indtil de f.eks. på grund af regn blev ulæselige.

ICO fandt, at apotekets interne procedurer for databeskyttelse ikke var forenelige med databeskyttelsesforordningen. De fleste af de interne retningslinjer havde ikke været opdateret siden april 2015, dvs. før vedtagelsen af databeskyttelsesforordningen i 2016 og den efterfølgende ikrafttrædelse i 2018. Retningslinjerne var desuden så vagt formulerede, at de ikke gav medarbejdere tilstrækkelig vejledning i forhold til praktisk efterlevelse af databeskyttelsesreglerne.

Endvidere havde apoteket ikke iagttaget sin oplysningspligt, idet apotekets privatlivspolitik ikke indeholdt de oplysninger, som er påkrævet i henhold til databeskyttelsesforordningen artikel 13 og 14.

ICO's afgørelse tydeliggør, at behovet for at sikre tilstrækkelige tekniske og organisatoriske foranstaltninger også kan blive aktuelt i tilfælde, hvor personoplysninger ikke lagres digitalt, men fysisk. Det er afgørende, at virksomheder sikrer, at fysiske dokumenter indeholdende personoplysninger bortskaffes på en måde, således at uvedkommende ikke kan få fysisk adgang til dem.

Læs afgørelsen

 



 
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Artikler, der kunne være relevante for dig
Hvornår har I sidst ført tilsyn med jeres databehandlere?
Hvornår har I sidst ført tilsyn med jeres databehandlere?
20/02/2024
Persondata
Implementeringen af NIS2-direktivet bliver forsinket
Implementeringen af NIS2-direktivet bliver forsinket
20/02/2024
Compliance, EU-ret, Persondata
Manglende open source policy udgør en risiko for softwarevirksomheder
Manglende open source policy udgør en risiko for softwarevirksomheder
01/03/2024
Persondata, Compliance, IT- og telekommunikation
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
Chromebook-sagens relevans – herunder når du udleverer en computer eller mobiltelefon som arbejdsredskab
08/03/2024
Persondata, IT- og telekommunikation
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
Datatilsynet og Digitaliseringsstyrelsen etablerer AI-sandkasse
11/03/2024
Persondata, IT- og telekommunikation, Compliance
AI Act vedtaget af Europa-Parlamentet
AI Act vedtaget af Europa-Parlamentet
22/03/2024
Persondata, EU-ret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted