Tilsidesat oplysningspligt over for aktionær var brud på databeskyttelsesreglerne

Efter at have købt aktier via sin tyske bank i en norsk fisk- og skaldyrsvirksomhed, modtog en tysk aktionær en meddelelse fra sin bank om, at virksomheden havde anmodet om hans personoplysninger.

Det var uklart for ham hvad formålet med anmodningen om oplysningerne var begrundet i. Han skrev derfor en e-mail til virksomheden. En måned senere, havde han stadig ikke modtaget et svar, og skrev igen. Da han stadig ikke havde fået et svar en måned senere, klagede han til det norske datatilsyn, som herefter kontaktede virksomheden. Virksomheden erkendte, at den aldrig havde set aktionærens indsigtsanmodning, fordi hans e-mails var endt i en spammappe. Samtidig bekræftede virksomheden, at den ville svare på aktionærens anmodning, men understregede samtidig, at den aldrig havde været underlagt en oplysningspligt, fordi undtagelserne under artikel 14 i databeskyttelsesforordningen (GDPR) var i spil.

I svaret til aktionæren gav virksomheden oplysninger om behandlingsaktiviteten og oplyste ham om, at virksomheden havde ret til at modtage oplysninger om ham efter norsk lovgivning. Virksomheden beskrev også, at det var underleverandøren Nasdaq i Storbritannien, som faciliterede anmodningen. Aktionæren var tilfreds med svaret, men det var det norske datatilsyn ikke. Datatilsynet besluttede, at virksomheden havde brudt databeskyttelsesreglerne.

Ingen undtagelser til oplysningspligten var i spil

Datatilsynet fastslog, at virksomheden havde en oplysningspligt overfor aktionæren. Derfor var det også forkert at henvise til reglens undtagelser.

Den første undtagelse, som virksomheden havde henvist til var, at oplysningspligten ikke gælder, hvis datasubjektet allerede har oplysningerne. Datatilsynet understregede, at den undtagelse forudsatte at virksomheden kunne bevise og dokumentere, at det var tilfældet. Det var ikke nok bare at formode, at aktionæren havde fået de nødvendige oplysninger. Den bevisbyrde kunne virksomheden ikke løfte.

Samtidig var det tydeligt, at selv hvis aktionæren havde modtaget nogle oplysninger om behandlingsaktiviteterne, havde han aldrig fået et fuldstændigt sæt oplysninger. Det betød, at selv hvis aktionæren havde fået nogle oplysninger, skulle virksomheden i alle tilfælde have suppleret med de oplysninger, der manglende i virksomhedens privatlivspolitik, herunder oplysninger om retsgrundlaget for behandlingen, modtagerne, opbevaringsperioderne og grundlaget for overførslen til Nasdaq i Storbritannien.

Den anden undtagelse, som virksomheden havde henvist til var, at oplysningspligten ikke finder anvendelse, hvis indsamling og videregivelse af oplysningerne fulgte af national lovgivning. Datatilsynet understregede dog, at det forudsætter at der er tale om et obligatorisk lovkrav. Det var ikke tilfældet, da virksomheden havde ret til at modtage oplysninger om sine aktionærer – ikke en forpligtelse under norsk ret.

IUNO mener

Undtagelser til oplysningspligten fortolkes og anvendes snævert af de nationale datatilsyn. Det gør det svært for virksomheder at anvende undtagelserne rigtigt. Af samme grund, skal undtagelserne anvendes forsigtigt. Et brud på en grundlæggende forpligtelse under databeskyttelsesreglerne, herunder oplysningspligten, kan ellers udløse bødestraf.

IUNO anbefaler at virksomheder løbende gennemgår om deres privatlivspolitikker og oplysningsprocedurer opfylder kravene under artikel 13 og 14 GDPR. I den her afgørelse bemærkede det norske datatilsyn, at indholdet i virksomhedens privatlivspolitik betød, at enhver der ikke var en medarbejder i virksomheden, ville være af den overbevisning, at retsgrundlaget for alle behandlingsaktiviteter var samtykke – da intet andet retsgrundlag var anført for den gruppe. Det viser netop hvor vigtigt det er at kravene om gennemsigtighed er opfyldt for hver kategori af datasubjekter, herunder aktionærer.

[Norske datatilsyns afgørelse 21/03656-12 af den 26. april 2022]