To nye afgørelser fra Datatilsynet kan belyse, hvornår virksomheder er berettiget til at videregive personoplysninger i henhold til GDPR.
Som virksomhed må du kun behandle de personoplysninger, der er nødvendige for formålet med behandlingen. Som dataansvarlig skal du derfor altid foretage en vurdering af virksomhedens berettigelse til at videregive personoplysningerne til tredjepart, herunder nødvendigheden og omfanget af de oplysninger I ønsker at videregive.
Med udgangspunkt i to konkrete sager kan du læse om vigtigheden af at foretage en aktiv vurdering af de oplysninger man videregiver, der i modsat fald kan medføre alvorlige sikkerhedsbrud.
Kommune indstillet til bøde for videregivelse af personoplysninger
En kommune er netop blevet politianmeldt og indstillet til en bøde på kr. 200.000 for ikke at leve op til sine forpligtelser som dataansvarlig.
Bøden og politianmeldelsen kommer på baggrund af et alvorligt sikkerhedsbrud hos den kommunale tandpleje, der igennem længere tid havde sendt automatiske velkomstbreve til forældre. Velkomstbrevene indeholdt navne og adresseoplysninger på begge forældre, også selvom forældrene i nogle tilfælde ikke boede sammen.
Den automatiske proces betød, at tandplejen i flere tilfælde videregav adresseoplysninger til den anden forælder, selvom forælderen (og barnet) var under navne- og adressebeskyttelse.
”Når man opsætter en automatisk proces til fremsendelse af breve med personoplysninger, f.eks. adresser, skal man tage højde for, at videregivelse af oplysningerne i hvert enkelt tilfælde ikke må udsætte borgeres, herunder børns, rettigheder for en risiko. Man skal i øvrigt altid vurdere, om det overhovedet er nødvendigt, at oplysningerne fremgår af brevene”, forklarer chefkonsulent i Datatilsynet Eva Volfing.
Læs hele sagen her: Vejle kommune indstilles til bøde
Bank handlede i overensstemmelse med reglerne
I en anden sag har Datatilsynet vurderet Nordeas videregivelse af personoplysninger i forbindelse med salg af fordringer til et luxembourgsk selskab.
Banken havde blandt andet videregivet oplysninger om kundernes personnumre.
Ifølge Datatilsynet var videregivelsen af personnumrene sket i overensstemmelse med GDPR, idet de var nødvendige for køberen, for at kunne identificere hvert enkel låntager. Videregivelsen af de specifikke personoplysninger var dermed også nødvendige, for at selskabet kunne iagttage sin indberetningspligt efter skatteindberetningslovens regler, og hensynet til de registrerede oversteg ikke denne interesse.
Datatilsynet vurderede således, at banken var retligt forpligtet til at videregive identifikationsoplysninger om deres kunder i forbindelse med salget, og videregivelsen af personnumre var derfor i overensstemmelse med GDPR.
Læs hele sagen her: Ny afgørelse: Videregivelse af oplysninger om Nordeas kunder ved salg
WTC advokaternes bemærkninger
De to sager viser vigtigheden af, at man som dataansvarlig grundigt overvejer nødvendigheden af at videregive de specifikke oplysninger, og at man ikke blot læner sig op ad en automatiseret proces.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at
kontakte mig.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
