Hvornår må du videregive personoplysninger i henhold til GDPR?

Som virksomhed må du kun behandle de personoplysninger, der er nødvendige for formålet med behandlingen. Som dataansvarlig skal du derfor altid foretage en vurdering af virksomhedens berettigelse til at videregive personoplysningerne til tredjepart, herunder nødvendigheden og omfanget af de oplysninger I ønsker at videregive.

Med udgangspunkt i to konkrete sager kan du læse om vigtigheden af at foretage en aktiv vurdering af de oplysninger man videregiver, der i modsat fald kan medføre alvorlige sikkerhedsbrud.

Kommune indstillet til bøde for videregivelse af personoplysninger

En kommune er netop blevet politianmeldt og indstillet til en bøde på kr. 200.000 for ikke at leve op til sine forpligtelser som dataansvarlig.

Bøden og politianmeldelsen kommer på baggrund af et alvorligt sikkerhedsbrud hos den kommunale tandpleje, der igennem længere tid havde sendt automatiske velkomstbreve til forældre. Velkomstbrevene indeholdt navne og adresseoplysninger på begge forældre, også selvom forældrene i nogle tilfælde ikke boede sammen.

Den automatiske proces betød, at tandplejen i flere tilfælde videregav adresseoplysninger til den anden forælder, selvom forælderen (og barnet) var under navne- og adressebeskyttelse.

”Når man opsætter en automatisk proces til fremsendelse af breve med personoplysninger, f.eks. adresser, skal man tage højde for, at videregivelse af oplysningerne i hvert enkelt tilfælde ikke må udsætte borgeres, herunder børns, rettigheder for en risiko. Man skal i øvrigt altid vurdere, om det overhovedet er nødvendigt, at oplysningerne fremgår af brevene”, forklarer chefkonsulent i Datatilsynet Eva Volfing.

Læs hele sagen her: Vejle kommune indstilles til bøde

Bank handlede i overensstemmelse med reglerne

I en anden sag har Datatilsynet vurderet Nordeas videregivelse af personoplysninger i forbindelse med salg af fordringer til et luxembourgsk selskab.

Banken havde blandt andet videregivet oplysninger om kundernes personnumre.

Ifølge Datatilsynet var videregivelsen af personnumrene sket i overensstemmelse med GDPR, idet de var nødvendige for køberen, for at kunne identificere hvert enkel låntager. Videregivelsen af de specifikke personoplysninger var dermed også nødvendige, for at selskabet kunne iagttage sin indberetningspligt efter skatteindberetningslovens regler, og hensynet til de registrerede oversteg ikke denne interesse.

Datatilsynet vurderede således, at banken var retligt forpligtet til at videregive identifikationsoplysninger om deres kunder i forbindelse med salget, og videregivelsen af personnumre var derfor i overensstemmelse med GDPR.

Læs hele sagen her: Ny afgørelse: Videregivelse af oplysninger om Nordeas kunder ved salg

WTC advokaternes bemærkninger

De to sager viser vigtigheden af, at man som dataansvarlig grundigt overvejer nødvendigheden af at videregive de specifikke oplysninger, og at man ikke blot læner sig op ad en automatiseret proces.