Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Opdateret påbud til canadisk datavirksomhed

Bech-Bruun
05/12/2018
Opdateret påbud til canadisk datavirksomhed
Som en del af en større indsats over for virksomheder, som behandler personoplysninger i politiske kampagner, har det britiske datatilsyn (ICO) den 6. juli 2018 udstedt påbud efter de britiske persondataregler til den Canada-etablerede politiske konsulent- og teknologivirksomhed AggregateIQ Data Services Ltd (”AIQ”). Den anvendte britiske regel er en direkte implementering af GDPR art. 58, stk. 2. Påbuddet omtales i databeskyttelsesdebatter som ”det første GDPR-påbud nogensinde” og er for nylig blevet opdateret i en ny afgørelse af 24. oktober 2018.


 

Påbuddet er én af mange udfald af de sager, som ICO har taget op som et led i en øget indsats over for brug af personoplysninger ved politisk kampagneaktivitet. ICO påbegyndte undersøgelsesaktiviteterne i maj 2017, som har været målrettede og omfattende med over 30 organisationer involveret, bl.a. Facebook, som for nylig fik en bøde på £ 500.000. Du kan læse Bech-Bruuns nyhed om Facebook-bøden her.

I sin rapport til det britiske parlament redegør ICO nærmere for undersøgelsen og dens foreløbige konklusioner. ICO udtaler i forlængelse af udgivelsen af rapporten i november 2018, at undersøgelserne forhåbentlig kan inspirere andre jurisdiktioner til handling, da udfordringen med ulovlig behandling af personoplysninger i politiske kampagner skal løses i fællesskab.


Den konkrete sag mod AIQ


Aggregate IQ (AIQ) har hovedsæde i Canada og behandler personoplysninger i samarbejde med politiske organisationer ved blandt andet at videregive oplysninger om navn og e-mailadresse til politiske organisationer, som anvender oplysningerne til at målrette politiske reklamer på sociale medier til nærmere bestemte målgrupper. AIQ behandlede oplysninger om britiske borgere på denne måde.

ICO fandt, at behandlingsaktiviteterne var i strid med de grundlæggende behandlingsprincipper i GDPR art.5 (1)(a)-(c) samt art. 6, fordi AIQ havde behandlet data på en måde, som de registrerede ikke var bekendt med eller kunne forvente og uden et gyldigt retsgrundlag for behandlingen i form af samtykke. Desuden fandt ICO, at oplysningsforpligtelsen i GDPR art. 14 var overtrådt, fordi de registrerede ikke var blevet oplyst om behandlingen.

På den baggrund udstedte ICO i juli 2018 et påbud til AIQ om at stoppe med behandlingsaktiviteterne og sidenhen – i et opdateret påbud fra oktober 2018 – at slette personoplysningerne. AIQ skal slette personoplysningerne senest 30 dage efter de canadiske databeskyttelsesmyndigheder har meddelt AIQ, at enten (i) AIQ ikke længere er under undersøgelse eller (ii) AIQ skal efterkomme ICO’s påbud.

AIQ bestred indledningsvist, at ICO havde jurisdiktion over virksomheden, da virksomheden har hovedsæde i Canada, men ICO’s jurisdiktion blev efterfølgende anerkendt.


Bech-Bruuns kommentarer


Påbuddet af 6. juli 2018 omtales i databeskyttelsesdebatter som ”det første GDPR-påbudnogensinde”.

Der er flere interessante aspekter i sagen:
Sagen illustrerer en konkret anvendelse af reglerne om ekstraterritorial jurisdiktion i forordningens artikel 3, stk. 2, litra b. Efter denne bestemmelse finder forordningen anvendelse for udenlandske dataansvarlige eller databehandlere, når de behandler personoplysninger på borgere i EU på en måde, som udgør overvågning, og når det, som overvåges, er en adfærd, som finder sted inden for EU.

Efter ICO’s opfattelse mødte AIQ’s behandling af de britiske borgeres personoplysninger kriterierne i forordningens artikel 3, stk. 2, litra b, med den konsekvens, at ICO havde jurisdiktion og kunne udstede påbuddet til AIQ.

Sagen illustrerer også, at de personoplysninger, som blev behandlet (navne og e-mailadresser) udgjorde almindelige personoplysninger, også selvom oplysningerne blev behandlet i en kontekst, som var politisk.

Det er interessant, at selvom oplysningerne blev anvendt af politiske organisationer til at kunne markedsføre sig over for de registrerede i forhold til deres politiske standpunkt, fandt ICO alligevel, at oplysningerne alene var behandlet ulovligt i forhold til forordningens artikel 6 (vedrørende behandlingsgrundlag for almindelige personoplysninger).

Det kan derfor overvejes, hvor meget der skal til, før et navn og en e-mailadresse må siges at udgøre en ”oplysning om en politisk overbevisning”. Det er således tvivlsomt, hvorvidt  der er tale om oplysninger om politisk overbevisning, hvis oplysningerne behandles af politiske partier (eller deres samarbejdspartnere) til politisk markedsføring, hvor klassificeringen af, eller en vis formodning for, de registrerede politiske ståsted nødvendigvis må indgå for at tilsikre, at markedsføringen sker over for en relevant målgruppe.

Det er interessant at se, hvilken tilgang det Europæiske Databeskyttelsesråd eller tilsyn i EU-medlemslandene tager i forhold til politiske partier og deres samarbejdspartneres behandling af oplysninger i politiske kampagner.

 






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
EDPB vedtager udtalelse om den dataansvarliges forpligtelser ved brug af databehandlere
10/10/2024
Persondata
Kræftens Bekæmpelse idømt bøde i GDPR-sag
Kræftens Bekæmpelse idømt bøde i GDPR-sag
11/10/2024
Persondata
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted