Persondataretlige nyheder – juli 2021
Udvalgte afgørelser inden for persondata fra juli:
Datatilsynet udtaler alvorlig kritik af Erhvervsstyrelsen for optagelse af telefonsamtaler uden samtykke
Sagen handlede om en borger, der klagede over, at Erhvervsstyrelsen havde optaget en telefonsamtale mellem ham og styrelsen den 26. juni 2020 uden først at have indhentet et samtykke hertil.
Den 3. juni 2020 rettede klager henvendelse til Erhvervsstyrelsen for at gøre styrelsen opmærksom på, at styrelsens praksis for optagelse af telefonsamtaler var i strid med Datatilsynets vejledning og praksis herom, fordi optagelsen blev foretaget uden at have indhentet samtykke hertil.
Den 24. juni 2020 besvarede Erhvervsstyrelsen klager og redegjorde for formålet med styrelsens optagelse af telefonsamtaler, herunder grundlaget for behandlingen. Erhvervsstyrelsen oplyste, at formålet med at optage alle indgående telefonopkald til styrelsens kundecenter dels er beskyttelse af medarbejderne i kundecenteret og dels kvalitetssikring for at kunne yde bedre vejledning. Erhvervsstyrelsen oplyste klager om, at optagelserne sker med hjemmel i bl.a. databeskyttelsesforordningens artikel 6, stk. 1, litra d og e.
Klager kommenterede den 25. juni 2020 Erhvervsstyrelsens besvarelse og klagede samtidig til Datatilsynet.
Under sagen kom det frem, at Erhvervsstyrelsen siden den 1. juni 2018 havde optaget samtlige indgående telefonopkald til styrelsens kundecenter med det beskrevne formål.
Datatilsynet fandt, at Erhvervsstyrelsens generelle praksis, hvorefter der uden undtagelse skete optagelse af telefonsamtaler med borgere, virksomheder mv., som ringede ind til styrelsen for råd og vejledning, ikke kunne anses for nødvendig af hensyn til udførelse af en opgave i samfundets interesse, eller som henhører under offentlig myndighedsudøvelse.
Datatilsynet lagde i den forbindelse vægt på, at det – bl.a. henset til Erhvervsstyrelsens myndighedsopgaver – måtte antages at have undtagelsens karakter, at borgere og virksomheder ringede ind og truede styrelsens medarbejdere i en sådan grad, at styrelsen ville foretage politianmeldelse.
Datatilsynet fandt endvidere, at Erhvervsstyrelsens optagelse af telefonsamtaler til brug for kvalitets- og uddannelsesmæssige formål kun måtte ske på baggrund af et samtykke fra de registrerede.
Datatilsynet udtalte på den baggrund alvorlig kritik af Erhvervsstyrelsens behandling af personoplysninger i forbindelse med optagelse af telefonsamtaler.
Kviktestudbyder Medicals Nordic I/S politianmeldes og indstilles til bøde på 600.000 kr.
Datatilsynet har politianmeldt Charlottenlund Lægehus Medicals Nordic I/S (”Medicals Nordic”) for at have behandlet fortrolige oplysninger og helbredsoplysninger om borgere i forbindelse med COVID-19 tests, uden at virksomheden havde etableret den fornødne sikkerhed omkring behandlingen af oplysningerne. Datatilsynet har indstillet virksomheden til en bøde på 600.000 kr.
Datatilsynet blev i januar 2021 opmærksom på, at Medicals Nordic anvendte applikationen WhatsApp til transmission af fortrolige oplysninger og helbredsoplysninger om borgere, der blev testet i virksomhedens testcentre.
Datatilsynet indledte på den baggrund en sag af egen drift, der bl.a. skulle afklare, om Medicals Nordic havde gennemført passende organisatoriske og tekniske sikkerhedsforanstaltninger i forbindelse med transmission af borgernes oplysninger. Datatilsynet fandt i den forbindelse, at Medicals Nordic i en række forhold ikke havde etableret passende sikkerhedsforanstaltninger.
Medarbejdere hos Medicals Nordic anvendte deres private telefoner til at transmittere fortrolige oplysninger om borgere til virksomhedens centrale administration gennem applikationen WhatsApp. I den forbindelse havde Medicals Nordic oprettet en WhatsApp-gruppe for hvert af de fire testcentre, som virksomheden drev.
Alle medarbejdere, der arbejdede i et testcenter, blev inviteret til den WhatsApp-gruppe, der hørte til testcenteret. Medlemmerne af de pågældende WhatsApp-grupper modtog alle de beskeder, som andre medarbejdere transmitterede i grupperne.
Det betød, at medarbejdere, der efter Datatilsynets vurdering ikke havde et arbejdsbetinget behov for at behandle oplysninger – som andre medarbejdere skulle transmittere til den centrale administration – alligevel modtog oplysningerne, der bl.a. omfattede personnumre og helbredsoplysninger om borgere.
En utilstrækkelig adgangsstyring af grupperne medførte yderligere, at medarbejdere, der ikke længere var ansat, ikke blev fjernet fra WhatsApp-grupperne, hvorfor de fortsat kunne tilgå de oplysninger, der blev transmitteret i grupperne.
Datatilsynet har i sin vurdering, lagt vægt på, at fortrolige oplysninger og helbredsoplysninger om et stort antal borgere er blevet behandlet usikkert og videregivet til uvedkommende, herunder medarbejdere, der ikke havde et arbejdsbetinget behov for at modtage oplysningerne. Ydermere er der også tale om medarbejdere, som ikke længere var ansat i virksomheden.
Datatilsynet lagde derudover vægt på, at overtrædelserne i flere tilfælde efter tilsynets vurdering var sket forsætligt, idet Medicals Nordic bl.a. ikke havde foretaget de fornødne risikovurderinger i forbindelse med behandlingen.
Milliardbøde til Amazon
Onlinegiganten Amazon er blevet idømt en bøde på 746 millioner euro, hvilket svarer til 5,5 milliarder kr., for at overtræde databeskyttelsesforordningen.
Det er Luxembourgs myndighed for databeskyttelse (CNPD), som har udstedt bøden, da Amazons europæiske søsterselskab er lokaliseret i Luxembourg.
Bøden blev idømt allerede den 16. juli 2021, men først offentligt kendt i forbindelse med Amazons kvartalsregnskab, da luxembourgsk lovgivning pålægger myndighederne tavshedspligt i disse sager. Amazon har udtalt, at virksomheden er uenig i afgørelsen, og at virksomheden agter at forfølge afgørelsen juridisk.
Det er ikke oplyst præcist, hvordan Amazon har forbrudt sig mod reglerne, men der skulle ifølge flere medier være tale om misbrug af kunders data i forbindelse med indsamling og behandling af personoplysninger.
Afgørelsen kommer på baggrund af en klage fra den franske privacy-organisations La Quadrature du Net i 2018, som repræsenterer mere end 10.000 af techgigantens kunder.
Gruppen klager over, at Amazon tjener penge på at kontrollere, hvilken information og annoncering kunderne modtager.
Den højeste bøde, der indtil videre er givet for overtrædelse af databeskyttelsesforordningen, var i 2019, hvor det franske datatilsyn, CNIL udstedte en bøde til Google på 50 millioner euro. Der er således tale om en markant skærpelse af bødeniveauet for overtrædelse af databeskyttelsesforordningen.