Nyheder december
Udvalgte afgørelser inden for persondata fra december:
Guldborgsund Kommune politianmeldes og indstilles til bøde på 50.000 kr.
Datatilsynet har politianmeldt Guldborgsund Kommune og indstillet til en bøde på 50.000 kr., da Guldborgsund Kommune i forbindelse med et sikkerhedsbrud ikke har handlet med den fornødne agtpågivenhed.
En borger i Guldborgsund Kommune klagede til Datatilsynet i anledning af et alvorligt brud på persondatasikkerheden, som fandt sted i 2018. Kommunen havde ved en fejl via Digital Post sendt en afgørelse indeholdende oplysninger om klagers barns opholdssted til klagers barns far, selvom faren var frakendt forældremyndigheden. Konkret havde sikkerhedsbruddet store konsekvenser for klager og klagers barn. Klager var ikke blevet behørigt underrettet af kommunen, sådan at klager kunne tage sine forholdsregler, og kommunen havde heller ikke anmeldt sikkerhedsbruddet til Datatilsynet.
Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsernes karakter og alvor samt forordningens krav, om at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning, jf. forordningens artikel 83, stk. 9. Datatilsynet har endvidere lagt vægt på kommunens størrelse henset til indbyggertal og til den samlede driftsbevilling.
Bøde på EUR 10.000 for at sende en ”alle-mail” i stedet for at benytte bcc-funktionen
Det spanske datatilsyn (AEPD) har givet en bøde på EUR 10.000 (ca. DKK 75.000) til advokatkontoret, Losada Advocats S.L, for ikke at have vedtaget passende foranstaltninger til at sikre personoplysninger. AEPD mente, at det var i strid med artikel 5, stk. 1, litra f), og artikel 32 i databeskyttelsesforordningen, at Losada Advocats ikke havde sat en række modtagere af en e-mail i blind kopi (bcc), men i stedet havde sendt en mail til alle, hvor alle kunne se de øvrige modtagere af e-mailen.
AEPD understregede, at den dataansvarlige (Losada Advocats) i henhold til artikel 32 i databeskyttelsesforordningen skal træffe tekniske og organisatoriske foranstaltninger, der er passende for
- den risiko, der er forbundet med behandlingen
- formålet med behandlingen og
- de risici, der er forbundet med registrerede på grund af blandt andet ændring af eller uautoriseret adgang til data.
Mere specifikt fremhævede AEPD, at i dette tilfælde blev grundlæggende personoplysninger, herunder navne, efternavne og adresser kompromitteret, idet AEPD bemærkede, at dette udgjorde en krænkelse af princippet om sikkerhed for behandling i henhold til artikel 5, stk. 1, litra f) af databeskyttelsesforordningen.
AEPD nedsatte dog bøden til EUR 6.000 (ca. DKK 45.000) som følge af Losada Advocats frivillige betaling.
Twitter får millionbøde for manglende anmeldelse og dokumentation af persondatabrud
Det irske datatilsyn (DPC) pålagde Twitter International Company en bøde på EUR 450.000 (ca. DKK 3.350.000) for ikke at anmelde et databrud til DPC inden for 72-timers fristen og for manglende tilstrækkelig dokumentation om dette brud, hvilket var en overtrædelse af databeskyttelsesforordningen artikel 33, stk. 1, og artikel 33, stk. 5.
Persondatabruddet vedrørte privatlivsindstillingerne for brugerindlæg på Twitter, hvor brugerne har mulighed for at indstille synligheden af deres indlæg til privat eller offentlig. Private indlæg kan kun ses af abonnenter på den bestemte brugerprofil, mens offentlige indlæg er synlige for offentligheden. En programmeringsfejl i Twitters Androidapp førte til, at nogle private indlæg var synlige for offentligheden.
DPC havde egentlig selv lagt op til en væsentlig lavere bøde, men det vakte så stor uenighed blandt de øvrige europæiske datatilsyn, at det endte ved en såkaldt Artikel-65-afgørelse. En Artikel-65-afgørelse går ud på, at Databeskyttelsesrådet i visse tilfælde kan vedtage en bindende afgørelse. Resultatet heraf blev, at DPC blev tvunget til at forhøje bøden.
Svensk universitet idømt bøde for manglende beskyttelse af personfølsomme oplysninger
Det svenske datatilsyn (Integretsskyddsmyndigheten) har foretaget en kritisk gennemgang af Umeå Universitet og konkluderet, at universitetet har overtrådt persondataforordningen, idet det har behandlet særlige kategorier af persondata uden at anvende passende tekniske og organisatoriske foranstaltninger til beskyttelse af sådanne oplysninger.
En forskergruppe på universitetet havde bedt politiet om foreløbige efterforskningsrapporter om sager vedrørende voldtægt af mænd, og ved modtagelse af disse rapporter havde forskergruppen scannet og gemt dem digitalt. Rapporterne indeholdt oplysninger om personer mistænkt for en forbrydelse, herunder navn, personnummer og kontaktoplysninger samt følsomme oplysninger om sexliv og helbred. Mere end 100 foreløbige efterforskningsrapporter var blevet scannet og gemt i en amerikansk cloud service, uagtet at universitetet via sit intranet har oplyst, at særlige kategorier af data ikke må opbevares i den pågældende sky. Efterfølgende havde forskergruppen sendt en mail til politiet og bedt om yderligere oplysninger. I den ukrypterede mail var en af de scannede rapporter vedlagt som reference, selvom politiet havde understreget det uhensigtsmæssige i at sende følsomt materiale i ukrypterede mails.
Disse forhold viste, at universitetet ikke havde anvendt passende foranstaltninger, der var nødvendige for at sikre et hensigtsmæssigt niveau af sikkerhed i forhold til risikoen. Endvidere havde universitet undladt at rapportere hændelsen som persondatabrud. Integretsskyddsmyndigheten besluttede således at idømme universitetet en bøde på SEK 550.000 (DKK 405.000).
Amazon idømt bøde på EUR 35 millioner for placering af cookies uden forudgående samtykke
Det franske datatilsyn (CNIL) har fra den 12. december 2019 til den 19. maj 2020 foretaget adskillige undersøgelser af hjemmesiden amazon.fr. Undersøgelserne har vist, at når en bruger besøgte hjemmesiden, blev cookies automatisk lagret på dennes pc uden nogen form for handling fra brugeren. Langt de fleste af disse cookies er blevet anvendt til reklameformål.
Cookies til reklameformål, som – i modsætning til funktionelle cookies – ikke er nødvendige for tjenesten, må kun placeres, efter at en bruger har givet sit samtykke hertil. CNIL udtrykte, at brugere, der udsættes for cookies det øjeblik, de kommer ind på en hjemmeside, er terminologi, der er uforenelig med forudgående samtykke.
Hjemmesidens informationsbanner viste beskeden “Ved brug af denne hjemmeside accepterer du vores brug af cookies, der gør det muligt for os at forbedre vores ydelser. Læs mere“. Banneret indeholdt kun en generel og nogenlunde orientering om formålet af alle de placerede cookies, og brugeren kunne ikke forstå, at cookies placeret på dennes pc hovedsageligt blev anvendt til at vise personificerede annoncer. Endelig forklarede banneret ikke brugeren, at denne kunne afvise disse cookies, ej heller hvordan.
Amazon er således blevet idømt en bøde på EUR 35 millioner (ca. DKK 260 millioner), og selskabet er blevet pålagt inden 3 måneder efter meddelelsen om afgørelsen at meddele brugerne, der har været udsat for bruddet, herom. I modsat fald vil selskabet skulle betale en tvangsbøde på EUR 100,000 (ca. DKK 745,000), for hver dag betalingen forsinkes.