Aktuelt

Holst, Advokater Advokatpartnerselskab
T, +45 8934 0000
F, +45 8934 0001

info@holst-law.com

CVR: 35680470

Aarhus

Hans Broges Gade 2

DK-8000 Aarhus C

København

Indiavej 1

DK-2100 København Ø

Persondataretlige nyheder – maj 2021

Udvalgte afgørelser inden for persondata fra maj:

Domstol accepterer mulighed for erstatning for ikke-økonomisk skade ved persondatabrud

Ultimo 2018 blev der stjålet 4 bærbare computere fra Gladsaxe Rådhus . På lokaldrevet af den ene computer var lagret et regneark med personoplysninger om 20.620 borgere til brug for mellemkommunal refusion. Personoplysningerne bestod af CPR-numre, navne, adresser og i visse tilfælde summariske oplysninger om boligsikring og helbredsoplysninger.

Computeren var sikret på sædvanlig vis med brugernavn og adgangskode, men data på lokaldrevet var ikke krypteret, og lagringen af regnearket på computerens lokaldrev var en overtrædelse af kommunens egen sikkerhedspolitik.

Datatilsynet indstillede Gladsaxe Kommune til en bøde på kr. 100.000 som konsekvens.

Gladsaxe Kommune blev efterfølgende sagsøgt ved Retten i Glostrup af syv af de berørte borgere med påstand om erstatning i størrelsesordenen kr. 7.500-30.000.

Retten konkluderede indledningsvist, at Gladsaxe Kommune som dataansvarlig ikke havde overholdt persondataforordningens krav til behandlingssikkerhed.

De syv borgere havde imidlertid ikke lidt et økonomisk tab, hvorfor retten skulle tage stilling til, om databeskyttelsesforordningens artikel 82, der alene omtaler erstatning for materiel eller immateriel skade, tillige giver mulighed for erstatning for ikke-økonomisk skade. Retten i Glostrup fandt, at databeskyttelsesforordningens artikel 82 må fortolkes således, at den også omfatter erstatning for ikke-økonomisk skade.

Efter en samlet konkret vurdering af databruddet sammenholdt med arten og karakteren af de summariske oplysninger om hver enkelt af de syv borgere, som bruddet omfattede, konkluderede retten, at de ikke havde været udsat for en sådan skade, der kunne begrunde et krav på erstatning.

Pressemeddelelsen fra Retten i Glostrup kan læses her.

Det norske datatilsyn varsler bøde på NOK 5 mio. for overførsel af oplysninger til Kina

Datatilsynet har varslet en bøde på NOK 5 mio. over for selskabet Ferde, der bl.a. inddriver vejafgifter for en række norske kommuner.

Ferde registrerer motorkøretøjer, der passerer en betalingsstation, med henblik på opkrævning af vejafgift. Det er muligt at købe en chip, der automatisk registrerer passagen.

Hvis chippen ikke er korrekt registreret, eller køretøjet ikke har en chip, tages der et billede af registreringsnummeret på bilen, der efterfølgende sendes til digital aflæsning af nummerpladen. I tilfælde, hvor billedkvaliteten ikke er god nok til automatisk genkendelse kan udføres, overføres billedet til manuel behandling.

De behandlede billeder viser den nederste del af bilen, inklusive nummerplade, men føreren af bilen kan ikke identificeres på billedet. Endelig fremgår tidspunktet og hvilken betalingsstation, der er passeret, af billedet. Ferde og Datatilsynet er enige om, at dette udgør behandling af personoplysninger i databeskyttelsesforordningens forstand.

Den manuelle billedbehandling blev bl.a. foretaget af en underleverandør med ansatte i Kina, som via en webløsning og Ferdes egne IT-systemer havde adgang til oplysningerne, hvilket Ferde selv har beskrevet som værende en tredjelandsoverførsel i henhold til databeskyttelsesforordningen.

Datatilsynet udtalte helt overordnet, at det som udgangspunkt ikke er tilladt at overføre personoplysninger uden for EU/EØS, medmindre modtageren (uden for EU/EØS) har givet ”nødvendige garantier” for behandlingssikkerhed, og de registrerede effektivt kan håndhæve deres rettigheder til trods for overførelsen.

I forhold til den konkrete sag konkluderede Datatilsynet følgende:

  • Ferde indgik først en databehandleraftale med sin kinesiske underleverandør i september 2018, selvom persondatabehandlingen allerede var påbegyndt i september 2017, hvilket var en overtrædelse af databeskyttelsesforordningens artikel 28.
  • Ferde havde ikke foretaget en risikovurdering i perioden september 2017 til oktober 2019, hvor oplysninger blev overgivet til den kinesiske databehandler, hvilket var en overtrædelse af persondataforordningens artikel 32 og 5, nr. 1 (f) og stk. 2.
  • Ferde havde ikke grundlag for at overføre personoplysninger til Kina i perioden fra september 2017 til efteråret 2019, hvilket Datatilsynet anså som et brud på databeskyttelsesforordningen artikel 44.

Datatilsynets varslingsbrev til Ferde den 4. maj 2021 kan læses her.

Bøde på EUR 7.500 for manglende anmeldelse af persondatabrud

Det hollandske datatilsyn (AP) har udstedt en bøde på EUR 7.500 til det politiske parti PVV’s lokale afdeling i Overijssel (PVV Overijssel) for ikke at have underrettet AP om et brud på personoplysninger i strid med persondataforordningens artikel 33.

Den 11. januar 2019 modtog AP en klage over en mulig overtrædelse af persondataforordningen. Klager klagede over, at PVV Overijssel den 10. januar 2019 havde sendt en mail-invitation til en begivenhed til en gruppe på 101 modtagere. De 101 modtagere stod registreret som ‘PVV’s venner’ i e-mailen. Listen over modtagere var synlige for alle modtagere af mailbeskeden, inklusive klageren.

I sit svar på invitationen gjorde klageren PVV Overijssel opmærksom på, at PVV Overijssel havde gjort alle mailadresser synlige og påpegede det i lyset af fortrolighedsreglerne. I en mail dateret 11. januar 2019 undskyldte en medarbejder fra PVV Overijssel over for klager. Den 15. januar 2019 modtog klageren en ny invitation til samme begivenhed fra PVV Overijssel, denne gang dog uden synlige mailadresser.

AP fandt, at det var et persondatabrud, som skulle have været anmeldt, eftersom de 101 modtagere stod registreret som ‘PVV’s venner’ i mailen, og at de 101 modtagere hver især fik afsløret over for de 100 andre, hvad deres politiske overbevisning var.

AP fandt, at PVV Overijssel havde undladt at anmelde et brud på personoplysninger uden urimelig forsinkelse og senest 72 timer efter, at PVV Overijssel blev opmærksom på overtrædelsen den 11. januar 2019, hvorfor PVV Overijssel således havde overtrådt persondataforordningens artikel 33.

I sin afgørelse bemærker AP, at AP til dato endnu ikke har modtaget en anmeldelse fra PVV Overijssel, hvorfor overtrædelsen stadig fortsætter.