Persondataretlige nyheder – august 2021
Udvalgte afgørelser inden for persondata fra august:
Udlændingestyrelsen politianmeldes og indstilles til bøde på 150.000 kr.
Datatilsynet indledte sagen af egen drift, da tilsynet gennem medieomtale blev bekendt med, at en mulig logningsfejl i et it-system tilknyttet to udrejsecentre kunne have haft konsekvenser for beboernes rettigheder.
I juni 2020 skete en række sikkerhedshændelser om manglende registreringer i det system, som registrerer, at beboere på to udrejsecentre overholder deres opholds-, underretnings- og meldepligt. De manglende registreringer førte til, at der blev påbegyndt sagsbehandling vedrørende nedsættelse af en række beboeres kontante ydelser samt politianmeldelse af en række beboere for manglende overholdelse af regler i udlændingeloven.
Datatilsynet fandt, at Udlændingestyrelsens behandling af personoplysninger ikke havde været i overensstemmelse med reglerne om passende sikkerhed, fordi Udlændingestyrelsen ikke havde indført procedurer for systematisk at anvende oplysningerne i den hændelseslog, som registrerede beboernes færden inde på to udrejsecentre.
Datatilsynet fandt endvidere, at Udlændingestyrelsen ikke havde identificeret og forholdt sig til de registreredes risici i forbindelse med behandlingsaktiviteterne i systemet.
Endelig fandt Datatilsynet, at Udlændingestyrelsen ikke havde foretaget tilstrækkelig backup af de oplysninger, som blev behandlet i systemet, hvilket var årsagen til at styrelsen ikke kunne genskabe en række af de data, som gik tabt under en hændelse i juni 2020.
Datatilsynet bemærkede, at det ved oplysninger, der indgår i straffesagskæden eller benyttes til kontrolforanstaltninger, som er underlagt sanktioner, skal sikres at der dels sker logning af alle aktiviteter, dels foretages en sikkerhedskopiering med sådanne intervaller, at data ikke tabes ved nedbrud. Datatilsynet bemærkede videre, at en backupprocedure skal efterprøves med en ”disaster recovery test” med intervaller, der er fastsat ud fra den risiko, der er for de registreredes rettigheder.
Datatilsynet begrundede sin afgørelse med, at man skulle kunne stole på de oplysninger, som myndigheder behandler og videregiver til politiet, og som i sidste ende kan ende som beviser i retten. Datatilsynet vurderede, at det er meget væsentligt, at sådanne oplysninger er korrekte, da det ikke alene er rettighedstab for de mennesker, det omhandler, men også medfører svækket tillid til både myndighederne og domstolene.
Bøde for videoovervågning i strid med databeskyttelsesforordningen
Det norske datatilsyn, Datatilsynet, har udstedt en bøde på NOK 100.000 til Waxing Palace AS, der er en skønhedssalon med speciale i hårfjerning med voks, fordi skønhedssalonen havde kameraovervåget receptionen i strid med databeskyttelsesforordningen.
Det følger af databeskyttelsesforordningen, at al behandling af personoplysninger skal have et behandlingsgrundlag. Efter en konkret klage over brugen af et overvågningskamera i salonlokalerne vurderede Datatilsynet, at skønhedssalonen ikke havde hjemmel til kameraovervågningen, og at skønhedssalonen i øvrigt ikke havde gode nok oplysninger om overvågningen. Datatilsynet fandt, at den ulovlige videoovervågning både påvirkede medarbejdere og kunder i salonen. Videoovervågningen omfattede ikke områder i salonen, hvor behandlingerne fandt sted. Datatilsynet lagde imidlertid vægt på, at der var tale om en type virksomhed, hvor mange kunder vil opleve et besøg som en privat sag og ikke en situation, hvor man forventer at blive videoovervåget.
Endeligt bemærkede Datatilsynet, at man som dataansvarlig altid skal informere om sin persondatabehandling over for de personer, som der registreres personoplysninger om. Informationen skal blandt andet sikre, at det er klart for den registrerede, hvilke områder der fanges af kameraet.
Waxing Palace AS havde en klagefrist indtil den 20. august 2021.
Bøde på EUR 2.000.000 for persondatabehandling i forbindelse med et kundeloyalitetsprogram
Det østrigske datatilsyn, Datenschutzbehörde, har ifølge flere medier udstedt en bøde på EUR 2.000.000 til JÖ-Bonus Club GmbH, der er et østrigsk multipartner program, hvor man igennem et loyalitetsprogram får en række fordele ved flere forskellige partnere.
For at blive en del af loyalitetsprogrammet, krævedes der et samtykke. Det var imidlertid udformningen af dette samtykke, som ikke levede op til databeskyttelsesforordningens regler, fordi samtykkeerklæringen ikke tilstrækkelig klart informerede om, at brugerne gav samtykke til profilering. Ifølge databeskyttelsesforordningen skal information om persondatabehandlingen være let tilgængelig og på et enkelt sprog. JÖ-Bonus Club havde imidlertid designet registreringen til loyalitetsprogrammet på en sådan måde, at afklaringen om profilering først kunne findes efter at have scrollet ned. Selve samtykket var placeret højere oppe, så samtykket blev indhentet, inden oplysningen om profileringen blev givet.
JÖ-Bonus Club havde indset fejlen og ændret dette efter en henvendelse fra det østrigske datatilsyn. Alligevel forsatte behandlingen af data på de omkring 2,3 millioner mennesker, der allerede havde givet deres (ugyldige) samtykke.
Datatilsynet konkluderede, at JÖ-Bonus Club overtrådte sin pligt til at give samtykke i en forståelig og let tilgængelig form på et klart og enkelt sprog. Derfor fandt datatilsynet, at samtykkerne var ugyldige, og at den profilering, der blev udført på deres grundlag, var ulovlig. Det var en skærpende omstændighed, at behandlingen fortsatte til trods for, at JÖ-Bonus Club vidste, at de indhentede samtykker var ugyldige.