Persondataretlige nyheder – december 2021
Udvalgte afgørelser inden for persondata fra december:
Bøde på EUR 10.000 for brev med markedsføring
Den 12. februar 2020 modtog det belgiske datatilsyn en klage i forbindelse med manglende information om persondatabehandlingen af den registrerede efter databeskyttelsesforordningens artikel 14 samt manglende rettidig og passende opfølgning efter databeskyttelsesforordningens artikel 12, stk. 3, af den registreredes anmodninger og indsigelse efter databeskyttelsesforordningens artikel 15, stk. 1, artikel 21, stk. 2, samt artikel 17, stk. 1, litra c.
I december 2019 modtog den registrerede et brev stilet til ham personligt med markedsføringsmateriale. Som følge heraf sendte han en anmodning pr. mail til den dataansvarlige den 5. december 2019, hvori han gjorde indsigelse mod den dataansvarliges behandling af personoplysninger og anmodede om sletning af alle oplysninger vedrørende ham. Den registrerede bad desuden om oplysninger på, hvem der havde givet hans personoplysninger til den dataansvarlige. Den 6. januar 2020 sendte den registrerede samme anmodning til den data-ansvarlige ved anbefalet brev.
De to anmodninger, som blev indgivet med mere end 30 dages mellemrum, førte ikke til svar fra den datasvarlige, hvorfor sagen blev sendt til det belgiske datatilsyn.
Den 23. oktober 2020 gav tilsynet et påbud til den dataansvarlige om at efterkomme den registreredes anmodning inden for en måned. Den dataansvarlige skulle herefter orientere datatilsynet herom senest en måned efter meddelelsen af afgørelsen til den registrerede.
Det belgiske datatilsyn modtog efterfølgende svar fra den dataansvarlige og den registrerede. Den dataansvarlige havde købt oplysningerne fra et markedsføringsbureau og havde handlet i den tro, at det – når det var købt af en professionel part – var lovligt. Den registrerede tilkendegav, at han var tilfreds med de modtagne svar og derfor anså sagen for afsluttet.
Datatilsynet underrettede imidlertid den dataansvarlige om, at det havde til hensigt at pålægge en administrativ bøde, hvorfor den dataansvarlige blev givet mulighed for at udtale sig.
Det belgiske datatilsyn modtog herefter den dataansvarliges svar, hvori det blev bemærket, at det er første gang, at den dataansvarlige har fået en advarsel for en overtrædelse af databeskyttelsesforordningen, og eftersom det var et professionelt reklamebureau, der solgte oplysningerne, var der handlet i god tro. Den dataansvarlige gjorde endvidere gældende, at dennes digitale database gik tilbage til 4. januar 2020, og at alle data fra tidligere var slettet.
Det belgiske datatilsyn pålagde imidlertid stadig den dataansvarlige en bøde på EUR 10.000.
Læs hele afgørelsen på belgisk her.
Kritik for kommunes behandling af oplysninger om hjemmesidebesøgende
Datatilsynet iværksatte i oktober 2020 en sag af egen drift mod Næstved Kommune vedrørende kommunens behandling af personoplysninger om hjemmesidebesøgende.
Den fremgangsmåde til behandling af personoplysninger om besøgende, som Næstved Kommune benyttede i oktober 2020, præsenterede den hjemmesidebesøgende for information om, at hjemmesiden brugte cookies til bl.a. at forbedre brugeroplevelsen og til at støtte markedsføringen af kommunens services. Hjemmesidebesøgende havde herefter mulighed for at vælge ”OK” eller ”Vis detaljer”.
Næstved Kommune oplyste endvidere i sagen, at oplysninger om hjemmesidebesøgende blev indsamlet til statistiske formål med henblik på at sikre et højt niveau af borger- og brugervenlighed.
Datatilsynet fandt anledning til at udtale kritik af, at Næstved Kommune i forbindelse med behandling af personoplysninger om hjemmesidebesøgende ikke iagttog det grundlæggende behandlingsprincip om, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde.
Datatilsynet fandt dog, at Næstved Kommunes behandling af personoplysninger om hjemme-sidebesøgende til statistiske formål skete som led i kommunens myndighedsudøvelse og det var dermed inden for rammerne af databeskyttelsesreglerne.
Datatilsynet lagde ved afgørelsen til grund, at der ikke skete en overførsel af oplysninger til lande uden for EU.