Persondataretlige nyheder – september 2021
Udvalgte afgørelser inden for persondata fra september:
WhatsApp får bøde på EUR 225.000.000 for mangelfulde oplysninger
Det irske datatilsyn (DPC) indledte tilbage i 2018 omfattende undersøgelser af WhatsApps overholdelse af princippet om gennemsigtighed. I den forbindelse undersøgte DPC, om WhatsApp overholdt sine forpligtelser i henhold til databeskyttelsesforordningen vedrørende efterlevelse af oplysningsforpligtelsen og gennemsigtigheden i oplysningsforpligtelsen til brugere og ikke-brugere af WhatsApp. I løbet af undersøgelsen fandt DPC ud af, at WhatsApp havde begået alvorlige overtrædelser af databeskyttelsesforordningens artikel 12, 13 og 14 i forhold til de oplysninger, der gives til brugerne.
Efter undersøgelsen forelagde DPC i december 2020 et udkast til afgørelse i henhold til databeskyttelsesforordningens artikel 60 til de andre berørte europæiske tilsynsmyndigheder. DPC modtog efterfølgende indsigelser fra otte tilsynsmyndigheder. På grund af manglende aftale indledte DPC den 3. juni 2021 en tvistbilæggelsesprocedure i henhold til databeskyttelsesforordningens artikel 65. Baseret på en række faktorer krævede EDPB (Det Europæiske Databeskyttelsesråd) derefter, at DPC revurderede og forhøjede sin foreslåede bøde. Ud over de overtrædelser, som DPC allerede havde fundet, fandt EDPB at WhatsApp havde overtrådt gennemsigtighedsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra a, og bad DPC om, at dette skulle afspejles i det endelige bødebeløb. På baggrund af dette fastlagde DPC bøden til EUR 225.000.000.
Med hensyn til artikel 12 og 13 fandt DPC, at WhatsApp ikke havde givet oplysninger om dataindsamlingens art ”i en kortfattet, gennemsigtig, forståelig og let tilgængelig form ved hjælp af klart og klart sprog”. DPC gjorde klart, at gennemsigtighedsprincippet også inkluderer at gøre oplysningerne lette for børn at forstå, når de er rettet mod dem.
WhatsApp havde blandt andet leveret oplysninger af en sådan generel karakter, at DPC anså det for meningsløst. Brugere måtte ofte igennem flere links til FAQ’er (ofte stillede spørgsmål) for at komme til de oplysninger, som de ledte efter på WhatsApps websted. I den forbindelse udtalte DPC, at det ville være urimeligt at forvente, at brugere søger på WhatsApp-webstedet efter ikke at have fundet tilstrækkelige oplysninger i selve fortrolighedserklæringen.
I forhold til artikel 14 var et af problemerne, at en brugers samtykke gav WhatsApp adgang til brugerens kontakter. DPC fandt, at disse data var blevet behandlet ulovligt, da disse kontakter (især dem, der ikke har en WhatsApp-konto) ikke havde modtaget oplysninger om denne behandling og derfor umuligt kunne have givet deres samtykke. I betragtning af overtrædelsernes alvor og vidtrækkende karakter og virkning konkluderede DPA, at der også havde været en overtrædelse af gennemsigtighedsprincippet i artikel 5, stk. 1, litra a.
Bøde for manglende oplysninger om tv-overvågning
Det spanske datatilsyn (AEPD) har idømt en bøde på EUR 1.000 til en frisørsalon.
Frisøren havde som dataansvarlig installeret tv-overvågning i sin salon. Frisøren havde imidlertid ikke informeret om persondatabehandlingen i henhold til databeskyttelsesforordningens artikel 13, hvorfor AEPD idømte frisørsalonen en bøde. AEPD bemærkede, at opfyldelse af oplysningsforpligtelsen kunne være sket ved at have en synlig informationsplakat hængende i salonen.
Favrskov Kommune politianmeldes og indstilles til en bøde for manglende sikkerhedsniveau
Den 19. august 2020 modtog Datatilsynet en anmeldelse fra Favrskov Kommune om et brud på persondatasikkerheden. Anmeldelsen omhandlede, at en bærbar computer med navne og personnumre på omkring 100 personer med nedsat fysisk og/eller psykisk funktionsevne var blevet stjålet i forbindelse med et indbrud i kommunens lokaler.
Den pågældende computers harddisk var ikke krypteret, og programmet, hvor de fortrolige og følsomme personoplysninger lå, var ikke forsynet med sikkerhedsforanstaltninger, der kunne logge anvendelsen af programmet.
Datatilsynet konstaterede under behandling af sagen, at Favrskov Kommune i en længere periode forud for den 12. august 2020 ikke havde sørget for at kryptere harddiskene på kommunens bærbare computere, hvilket medførte et utilstrækkeligt sikkerhedsniveau.
Kravene i databeskyttelsesforordningens artikel 32 indebærer, at Favrskov Kommune har pligt til at sikre, at de oplysninger, som behandles af kommunens medarbejdere, ikke kommer til uvedkommendes kendskab. Datatilsynet fandt, at Favrskov Kommune ikke har gennemført passende tekniske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er for de registreredes rettigheder, og at der er tale om en alvorlig overtrædelse af artikel 32.
