Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet indstiller stifterne af mit.dk til millionbøde

TVC Advokatfirma
23/01/2024
Datatilsynet indstiller stifterne af mit.dk til millionbøde
TVC Advokatfirma logo
Flere indstillinger til bøder i 2024 tyder på, at Datatilsynet fremadrettet anvender effektive sanktionsmuligheder for overtrædelse af GDPR-lovgivningen

Datatilsynets funktion

Siden den nye databeskyttelseslovgivning fra 2018 har Datatilsynet haft til opgave at føre tilsyn med, at virksomheder, offentlige myndigheder samt andre dataansvarlige og databehandlere overholder databeskyttelseslovgivningen. Her er tilsynsopgaverne af forskellig karakter, der kan munde ud i forskellige former for sanktioner – herunder kritik, påbud, forbud og bødeindstilling.


Datatilsynet kan, ved de mest alvorlige overtrædelser af databeskyttelsesreglerne, politianmelde dataansvarlige eller databehandlere og indstille dem til bøde. Bøden skal efter databeskyttelsesreglerne være effektive, stå i rimeligt forhold til overtrædelsen samt have en afskrækkende og præventiv virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Den nye databeskyttelseslov har lagt op til et nyt og væsentligt forhøjet bødeniveau, hvor virksomheder, afhængigt af deres størrelse og overtrædelsens karakter, kan straffes med bøder op til 4 % af virksomhedens samlede globale årlige omsætning.


Indtil nu er der afsagt dom i få sager vedrørende overtrædelse af databeskyttelseslovgivningen. Senest i en afgørelse af den 28. september 2023 fra Østre Landsret, hvor hotelkæden ”Arp-Hansen” blev idømt en bøde på 1 mio. kr., hvilket lå tæt på Datatilsynets oprindelige bødeindstilling på 1,1 mio. kr. Overtrædelsen bestod i, at hotelkæden ikke efterlevede de slettefrister af personoplysninger, som de selv havde fastsat. Dommen vil formentlig fremover være med til at fastlægge praksis for bødeområdet for private virksomheder.


Vi mangler dog fortsat endelig afgørelse i en del af de af Datatilsynet rejste bødesager, herunder for eksempel i sagerne mod IDdesign A/S (1,5 mio. kr.), Taxa 4x35 (1,2 mio. kr.), Kræftens Bekæmpelse (800.000 kr.) og Medicals Nordic I/S (600.000 kr.).


Indstillinger i 2024

I tråd med den nyligt afsagte praksis, har Datatilsynet indledt 2024 med at offentliggøre flere sager, hvor virksomheder samt offentlige myndigheder politianmeldes samt indstilles til bøde for overtrædelse af databeskyttelseslovgivningen:

Det Kongelige Teater

Datatilsynet har, den 09. januar 2024, politianmeldt Det Kongelige Teater for ikke at have fastsat interne regler for sletning af kundeoplysninger til markedsføringsbrug. Teatret indstilles ligeledes til en bøde på 250.000 kr.


Datatilsynet indledte, af egen drift, en undersøgelse i september 2022, der viste, at Det Kongelige Teater ikke havde fastsat interne regler for sletning og opbevaring af personoplysninger på trods af, at teateret allerede her var opmærksom på, at dette ikke var sket.


Datatilsynet har blandt andet lagt vægt på, at der er tale om en overtrædelse af grundlæggende principper for behandling af personoplysninger, at der er tale om et meget stort antal registrerede kunder, og at oplysningerne er blevet anvendt aktivt i markedsføringsøjemed. Tilsynet har endeligt, i skærpende retning, lagt vægt på, at overtrædelsen efter tilsynets vurdering er begået forsætligt.


Odsherred Kommune

Datatilsynet har, den 11. januar 2024, anmeldt Odsherred Kommune til politiet samt indstillet kommunen til en bøde på mellem 100.000 og 200.000 kr. for ikke at have etableret tilstrækkelige og passende sikkerhedsforanstaltninger.


Datatilsynet blev opmærksom på problematikken, da Odsherred Kommune i september 2022 anmeldte et brud på persondatasikkerheden i forbindelse med, at en computer, der indeholdt personoplysninger af en følsom karakter, blev stjålet. Datatilsynet konstaterede, at Odsherred kommune i en årrække, der i hvert fald strakte sig fra 2018-2022, ikke havde krypteret kommunens bærbare computere, hvilket Datatilsynet betragtede som en alvorlig overtrædelse af databeskyttelseslovgivningens krav til behandlingssikkerhed.


Netcompany

Datatilsynet har senest, den 12. januar 2024, politianmeldt Netcompany samt indstillet virksomheden til en bøde på mindst 15 mio. kr., da virksomheden ved udviklingen af mit.dk ikke har sikret et passende sikkerhedsniveau. De havde f.eks. ikke udarbejdet en konsekvensanalyse, der har karakter af en væsentlig retssikkerhedsgaranti for borgerne, når deres oplysninger behandles. Som følge af den manglende overholdelse af databeskyttelseslovgivningen fik virksomhedens brugere af mit.dk uberettiget adgang til andre brugeres digitale post og dermed til personoplysninger af både en fortrolig og følsom karakter. Dette medførte en unødig høj risiko for alle brugere af mit.dk.


Datatilsynet fandt, at der var tale om en mangelfuld proces i forhold til konsekvensanalyse, en uhensigtsmæssig kodning, der ikke burde være anvendt til denne type løsning, ligesom en bedre test af løsningen burde have afdækket fejlen.


Som følge af ovennævnte overtrædelse af databeskyttelseslovgivningen sanktioneres Netcompany med en bøde på 15 mio. kr., hvilket er den største bøde, som Datatilsynet hidtil har indstillet til. Ud over sagens alvor afspejler beløbet også, at der er tale om en meget stor virksomhed, der bør sanktioneres effektivt.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Fagligt indhold, der kunne være relevante for dig
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted