Nyhed

4 nye europæiske GDPR-afgørelser i 2020

Det Europæiske Databeskyttelsesråd offentliggør løbende nyheder fra EU-lande på deres hjemmeside. I 2020 har de offentliggjort fire nyheder videre. To af nyhederne omhandler brud på databeskyttelsesforordningen i henholdsvis Grækenland og Cypern, og de to andre nyheder omhandler brud på persondatabeskyttelse i Italien. I alle tilfælde blev der udstedt bøder.

Grækenland – brud på indsigtsret og ulovligt overvågningssystem

Det græske databeskyttelsestilsyn vurderede lovligheden bag en virksomheds installation af et videoovervågningssystem; om der var sket brud på indsigtsretten efter databeskyttelsesforordningen, samt om arbejdsgivers adgang til en ansats e-mails.

Tilsynet lagde til grund, at virksomheden levede op til kravene i GDPR i relation til interne under-søgelser og arbejdsgiverens adgang til en ansats e-mails, da virksomheden levede op til kravende i artikel 5(1) og artikel 6(1)(f) i databeskyttelsesforordningen. Det lukkede videoovervågningssystem, som var blevet installeret i virksomheden havde dog været ulovlig, og tilsynet lagde ligeledes til grund, at virksomheden ikke levede op til kravene vedrørende de ansattes indsigtsret til at opnå indsigt i de personoplysninger, der var opbevaret på deres arbejdscomputer.

Virksomheden fik en bøde på EUR 15.000 og et påbud om at efterleve kravene til de ansattes indsigtsret og sørge for, at reglerne i databeskyttelsesforordningen i relation til den installerede videoovervågning var overholdt inden for en måned.

Cypern – automatiseret system til behandling af ansattes sygedage

Tilsynet i Cypern foretog en undersøgelse af en dataansvarlig virksomhed i forbindelse med virksomhedens kontrol af deres ansattes sygedage, hvortil virksomheden havde brugte den såkaldte ’Bradford’s Factor’. Ved brug af denne metode konstaterede virksomheden, at korte og hyppige fraværsdage var værre for virksomheden end længere perioder med fravær. De brugte et automatiseret system til at behandle de ansattes data over sygedage, og ved brug af metoden var der sket brud på databeskyttelsesforordningens artikel 9(1) om behandling af særlige kategorier af personoplysninger. Tilsynet vurderede, at den dataansvarlige virksomheds interesser ikke kunne anses for at gå forud for de ansattes rettigheder og interesser.

Tilsynet udstedte påbud om, at den dataansvarlige skulle standse den hidtidige databehandling og slette al indsamlet data. Herudover blev der udstedt en bøde på EUR 82.000, som følge af brud på artikel 6(1) og artikel 9(1). Ved deres vurdering af bøden havde tilsynet taget hensyn til antallet af ansatte, virksomhedernes omsætning og varigheden af bruddet på persondatasikkerheden.

Italien – bøder på EUR 11.5 mio. og EUR 27.8 mio. for ulovlig telemarketing

1: bøder på EUR 11.5 mio.
Det italienske databeskyttelsestilsyn har udstedte to bøder til en virksomhed på i alt EUR 11.5 mio., som blev fastsat ud fra antallet af kapitalejere, perioden af bruddet på databeskyttelsesreglerne samt virksomhedens omsætning.

Den første bøde beløb sig til 8.5 mio. EUR og blev udstedt i forbindelse med ulovlig behandling af persondata i forbindelse med virksomhedens telefonmarkedsføring og telefonsalg, som virksomheden havde foretaget uden samtykke fra de kontaktede personer. Desuden havde virksomheden opbevaret data i længere tid end nødvendigt, og de havde ikke sørget for tekniske foranstaltninger til at indsamle opdaterede informationer om deres kunder.

Den anden bøde beløb sig til 3 mio. EUR og blev udstedt i forbindelse med virksomhedens kontraktsindgåelse med nye kunder, hvor der i nogle tilfælde var blevet rapporteret forkerte dataoplysninger og forfalskede underskrifter. Tilsynet lagde til grund, at virksomheden overtrådte principperne om rimelighed og ajourføring af oplysninger, og der blev givet påbud om at indføre foranstaltninger til sikring af overholdelse af de overtrådte principper.

2: bøde på EUR 27.8 mio.
Den italienske tilsynsmyndighed udstedte en bøde på baggrund af flere brud på persondatabeskyt-telsesregler. Den virksomhed, sagen omhandlede, havde foretaget uopfordrede salgsopkald uden samtykke fra de kontaktede personer og uden hensyntagen til, at de kontaktede personers fremgik af et offentligt opt-out-register for at undgå uopfordrede telefonopkald. Der var også foretaget opkald til personer, som i forvejen havde nægtet at give samtykke. I ét tilfælde var en person blevet kontaktet 155 gange i løbet af en måned.

Virksomheden havde ikke sikret tilstrækkelige kontrolsystemer i relation til persondatabehandling; oplysninger blev opbevaret i længere tid end nødvendigt, og oplysningerne blev brugt uden kundernes samtykke. Ud over bøden blev virksomheden pålagt at foretage over 20 tilpasninger. Virksomheden skulle blandt andet sørge for opdatering af deres kundeoplysninger, sørge for relevante behandlingsprocedurer og sørge for at opnå samtykke fra deres kunder.