En amerikansk far til to skoleelever har anlagt sag mod Google for påstået krænkelse af privatlivets fred ved at indsamle stemmeaftryk, ansigtsaftryk og andre personlige oplysninger fra børn. Faren kræver nu erstatning, samt at Google destruerer alle, allerede indsamlede biometriske data fra børn/studerende.
Faren hævder, at Google overtræder den føderale lov om beskyttelse af privatlivets fred for børn samt loven om beskyttelse af personlige oplysninger om biometriske oplysninger i staten Illinois, hvor familien er bosat.
Den føderale lov forbyder internetvirksomheder i at indsamle personoplysninger fra børn under 13 år uden deres forældres tilladelse, mens Illinois-loven forbyder indsamling af biometriske data, herunder ansigtsgenkendelsesscanninger og stemmeaftryk uden brugerens samtykke.
Sagens omdrejningspunkt er Googles uddannelsesprogrammer og Chromebooks, som er blevet distribueret til de studerende. Det gøres bl.a. gældende, at Googles platform "G Suite for Education" instruerer børn til at tale ind i Chromebooks mikrofoner og kigge ind i kameraet for at indsamle biometriske data.
Ifølge faren har Google aldrig informeret, om hvilke data der indsamles, hvor lang tid oplysningerne opbevares og til hvilket formål.
Det vides ikke på nuværende tidspunkt, hvornår der falder dom i sagen.
Datatilsynet har udtalt alvorlig kritik i en sag, hvor Kolding Kommune siden 2012 har behandlet dokumenter indeholdende personoplysninger i omkring 400.000 sager uden at træffe passende tekniske og organisatoriske foranstaltninger.
Kolding Kommune har benyttet et ESDH-system igennem en længere årrække. I forbindelse med en opgradering af systemet ændrede kommunens leverandør rettighedsstyringen til den underliggende filstruktur, uden at kommunen blev informeret herom. Dokumenterne, der under normale forhold alene kunne tilgås gennem ESDH-systemet, blev gjort tilgængelige for alle kommunens 2.400 ansatte, hvis man gik direkte til dokumentmappen. Denne direkte adgang til dokumenterne blev ikke logget.
Kolding Kommune havde fået foretaget årlige revisioner af et udvalg af de benyttede it-systemer. Af revisionsberetningerne fremgik, at kommunens overordnede styring af it-sikkerheden inden for regnskabsområdet var tilfredsstillende. Revisionerne omfattede ikke en generel revision af de tekniske og organisatoriske sikkerhedsforanstaltninger eller af procedurerne herfor.
De foretagne revisioner havde i perioden 2016-2018 generelt ikke set på persondatabeskyttelse eller fejl i konfigurationen af adgangsrettigheder, og der var ikke opsat anden kontrol heraf. Set i lyset af dette og henset til den konkrete manglende sikkerhed på dokumentdrevet og adgang uden logning til dokumenterne var der ikke truffet passende tekniske og organisatoriske foranstaltninger. Det har formentlig været en formildende omstændighed, at Kolding Kommune fremover bl.a. vil foretage scanning efter åbne drev på netværket som en del af GDPR-årshjulet.
Datatilsynet udtaler alvorlig kritik til BroBizz A/S efter tre sager, hvor BroBizz A/S i forbindelse med virksomhedens besvarelse af kundehenvendelser havde videregivet personoplysninger – herunder oplysninger om lokation – til uvedkommende.
I den ene sag udleverede en kundeservicemedarbejder lokationsdata (vedr. brug af BroBizz-sender) til kundens ekskæreste, efter at denne alene havde oplyst kundens telefonnummer. Ud over lokationsdata fik ekskæresten bekræftet, at der var to passagerer i kundens bil, i forbindelse med at kunden passerede betalingsanlægget på Storebælt.
Brobizz A/S anmeldte selv de tre sager som persondatabrud. På baggrund af de anmeldte brud bad Datatilsynet bl.a. BroBizz A/S fremsende deres risikovurdering for verificering af kunder og en række kopier af virksomhedens specifikke procedurer og instrukser, herunder særligt omhandlende identiteten af fysiske personer, der anmoder om indsigt.
Datatilsynet fandt på baggrund af risikovurderingen, at BroBizz A/S ved vurderingen, af hvilket sikkerhedsniveau der er passende, ikke havde taget tilstrækkeligt hensyn til de risici, som behandlingen udgør, bl.a. ved uautoriseret videregivelse af eller adgang til personoplysninger.
Datatilsynet har også behandlet emnet om ID-validering i afgørelsen om Pandora, som kan læses her.
Det svenske Datatilsyn (Datainspektionen) har udstedt en bøde på i alt SEK 200.000 til Statens Servicecenter, der er leverer administrativ hjælp til andre myndigheder og service til privatpersoner på 113 servicekontorer i Sverige.
Efter at have modtaget flere rapporter om en fejl i Statens Servicecenters lønstyringssystem, der medførte uautoriseret adgang til personoplysninger, påbegyndte Datainspektionen en undersøgelse.
Den indrapporterede fejl betød, at uautoriserede personer kunne få adgang til personoplysninger fra myndigheder, der bruger servicecentret til lønstyring, og til dels personlige oplysninger om servicecentrets eget personale.
I forbindelse med gennemgangen af sagen konstaterede Datainspektionen, at Statens Servicecenter ikke rettidigt havde informeret de relevante myndigheder eller indberettet sagen til Datainspektionen. Herudover var dokumentationen utilstrækkelig.
Statens Servicecenter havde brugt næsten fem måneder på at underrette de berørte myndigheder om hændelsen og næsten tre måneder på at rapportere det til Datainspektionen.
Datainspektionen udtalte i sin afgørelse, at når der opdages en hændelse af denne art, er det vigtigt at informere de andre myndigheder, som også var dataansvarlige, herom hurtigst muligt, så de igen kan rapportere sagen til Datatilsynet og træffe relevante foranstaltninger for at minimere risikoen. Denne manglende information udløste en bøde på SEK 150.000. Den omstændighed, at bruddet ikke var anmeldt til Datainspektionen inden for 72 timer, efter at Statens Servicecenter blev bekendt med hændelsen, udløste en yderligere bøde på SEK 50.000.
Afgørelsen viser vigtigheden af straks at håndtere et brud på persondatasikkerheden og samtidig anmelde forholdet til det relevante datatilsyn, således at skaderne ved bruddet kan minimeres. Hvis en virksomhed ikke allerede har en beredskabsplan for brud på persondatasikkerheden, viser afgørelsen, at dette bør prioriteres.
Afgørelsen kan læses her (på svensk).