Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger

Bech Bruun
06/08/2020
592
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
Bech Bruun logo
Det var i strid med persondatalovgivningen, da et administrationsselskab utilsigtet videregav personoplysninger om sine lejere til deres naboer. Det har Datatilsynet netop afgjort og indstiller samtidig selskabet til en bøde på 150.000 kr.


Et administrationsselskab videregav af to omgange materiale af fortrolig karakter om sine lejere til deres naboer, selvom dele af materialet havde været til gennemsyn hos et eksternt revisionsselskab med henblik på kvalitetssikring.

Datatilsynet slår i den aktuelle sag fast, at alt materiale skal gennemgås for personoplysninger, inden det sendes ud, så disse ikke kommer til uvedkommendes kendskab. Navnlig hvis der er risiko for, at fortrolige eller følsomme oplysninger fremgår.

Samtidig står det klart, at ansvaret fortsat gælder, selvom man har haft en tredjepart til at gennemgå indholdet.

Bødeindstillingen finder sted på baggrund af selskabets videregivelse af 424 USB-nøgler med lejekontrakter og tilnyttet fortroligt materiale.

Derudover rejses der alvorlig kritik af, at en liste med oplysninger om deposita, herunder i nogle tilfælde udlæg heri, og forudbetalt leje, fordelt på lejemålenes adresser, blev videregivet til forkerte modtagere.

Afgørelsen er afsagt på baggrund af databeskyttelsesforordningens art. 32 om sikkerhed.

Det fremgår af Datatilsynets udtalelse i pressemeddelelsen om sagen, at det er tilsynets opfattelse, at administrationsselskabet som minimum burde have gennemgået tilbudsmaterialet, før det blev udleveret til andre. Det skyldes især, at der var risiko for at videregive oplysninger af fortrolig karakter til bl.a. naboer, hvilket kunne ”indebære et betydeligt ubehag for de pågældende lejere, herunder for tab af omdømme”.


Bech-Bruuns bemærkninger  


Vi bemærker, at bødeindstillingen er foretaget alene for det forhold, at der blev sendt 424 USB-nøgler med fortrolige personoplysninger om lejerne, hvilket ikke var tilsigtet. Det er også værd at hæfte sig ved, at typen af oplysninger, nemlig lejekontrakter og tilhørende materiale, som kan være fortroligt, i hvert fald efter Datatilsynets opfattelse kan medføre ”tab af omdømme”.

Denne stillingtagen til konsekvensen – ”tab af omdømme” – genfindes i Datatilsynets, Justitsministeriets og Digitaliseringsstyrelsens samlede vejledning fra juni 2018 vedrørende Behandlingssikerhed og Databeskyttelse gennem design og standardindstillinger, hvor ”skade på omdømme” er listet i det ikke-udtømmende konsekvenskatalog. Med denne afgørelse har Datatilsynet således specificeret, hvilke omstændigheder der kan udgøre ”tab af omdømme” eller ”skade på omdømme”.

At der rejses alvorlig kritik af administrationsselskabet for den utilsigtede videregivelse af deposita, udlæg og forudbetalt leje illustrerer, at pligten til at have tilstrækkelig sikkerhed på plads påhviler den ansvarlige aktør (dataansvarlig eller databehandler efter GDPR art. 32), uanset at en tredjepart måtte være antaget til en helt specifik opgave vedrørende netop sikkerhed. Ansvaret for sikkerheden kan således ikke – i hvert fald ikke under disse omstændigheder – uddelegeres. I mangel af selve afgørelsen,som ikke er offentliggjort på Datatilsynets hjemmeside, kan der ikke siges noget om, hvorvidt det i denne sag har spillet en rolle i administrationsselskabets favør, at der faktisk havde været antaget hjælp til at ”kvalitetssikre” materialet.

Det fremgår af forordningens art. 83, stk. 2, at der – ved vurderingen af, om der skal indstilles til bøde eller bringes andre korrigerende beføjelser i spil – skal tages hensyn til blandt andet overtrædelsens karakter, forsætlighed, samt graden af ansvar set i lyset af tekniske og organisatoriske foranstaltninger efter art. 25 og 32; altså kort sagt, at aktøren havde gjort sit bedste for at beskytte oplysningerne.

Bech-Bruuns juridiske eksperter rådgiver gerne din virksomhed i spørgsmål vedr. persondatalovgivningen, og du er er altid velkommen til at kontakte vores specialister.
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Bech Bruun logo
København
Langelinie Allé 35
2100 København Ø
72 27 00 00
72 27 00 27
info@bechbruun.com
Aarhus
Værkmestergade 2
8000 Aarhus C
New York
412 West 15th Street, 15th
New York 10011
Shanghai
No.1440 Yan'an Middle Road
Suite 2H08, Jing'an District
200040 Shanghai

Juridiske nyheder & artikler

Hold dig opdateret på de seneste juridiske nyheder eller søg blandt de mere end 4.000 artikler som allerede er udgivet. Vi har samlet det vigtigste viden ét sted.

Juridiske kurser & arrangementer

Find nemt dit næste kursus eller anden relevant efteruddannelse inden for dit felt. Søg på tværs af fagområder fra en række forskellige udbydere.

Find Juridisk Specialist

Brug for en advokat? Søg efter verificerede specialister på tværs af advokatbranchen og find en specialist inden for det område, hvor du søger råd og vejledning.

Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
Har du styr på oplysningspligten ved brug af kontrolforanstaltninger over for dine medarbejdere?
I går
Persondata
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
Skabelon til samtykke: Sådan indhenter og behandler du kontakt­oplysninger på dine gæster
10/09/2020
Persondata
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
Ny afgørelse om brug af medarbejderes fingeraftryk ved adgangskontrol
11/08/2020
Persondata
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
Derfor kunne sejlklub lovligt offentliggøre person­oplysninger i gamle klubblade
07/08/2020
Persondata
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
Kritik fra Datatilsynet: Tidligere medarbejder har ret til at blive glemt
06/08/2020
Persondata
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
Datatilsynet indstiller administrationsselskab til en bøde på 150.000 kr. for videregivelse af personoplysninger
06/08/2020
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
Vandtårnsvej 77, DK-2860 Søborg
E-mail: kontakt@jurainfo.dk
CVR-nr. 38375563
© 2020 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted