Internationale nyheder inden for persondata
Der er i løbet af de sidste to måneder blevet udstedt bøder af de norske og finske tilsynsmyndigheder på grund af ulovlig behandling af personoplysninger. Bøderne beløber sig til henholdsvis 37.400 EUR og 7.000 EUR.
Den norske tilsynsmyndighed har udstedt en bøde på 400.000 NOK (cirka 37.400 EUR) til det offentlige vejvæsen i Norge. Bøden er udstedt, da vejvæsenet behandlede personoplysninger, der ikke stemte overens med de oprindelige formål, og da de ikke slettede videooptagelser efter 7 dage.
Det norske vejvæsen har anvendt faste vejkameraer til brug for en vidtstrakt overvågning af kontraktparter, ansatte, underleverandører og ansatte hos underleverandører. Det oprindelige formål for overvågningen var at muliggøre umiddelbare sikkerhedstiltag. Det norske vejvæsen har i stedet for det oprindelige formål anvendt videoovertagelserne til at dokumenterer kontraktbrud flere måneder efter videooptagelserne er optaget, hvilket ikke har været i overensstemmelse med det oprindelige formål. Det norske vejvæsen har derfor ikke været berettiget til at anvende videooptagelserne til at bevise kontraktbrud.
I sin afgørelse har den norske tilsynsmyndighed henvist til databeskyttelsesforordningens (GDPR) art. 17 samt art. 5, litra b og litra c, og har samtidig lagt vægt på, at anvendelsen af videooptagelserne til dokumentation af kontraktbrud har været til stor ulempe for kontraktparterne og deres ansatte. Dette har været i strid med kontraktparternes forventning om, hvordan deres persondata ville blive behandlet.
Den finske tilsynsmyndighed har givet en irettesættelse og udstedt en bøde til en finsk konsulentvirksomhed for at udføre elektronisk direkte markedsføring uden forudgående samtykke og for at tilsidesætte den registreredes rettigheder.
Virksomhedens direkte markedsføring
I løbet af foråret og sommeren 2019 har den finske tilsynsmyndighed modtaget 11 klager vedrørende den pågældende konsulentvirksomheds elektroniske markedsføring, som blandt andet har omfattet reklamer for varmearbejde og asbestfjernelse. Ifølge GDPR’s artikel 4 (11) skal et samtykke være en frivillig, specifik, informeret og utvetydig viljestilkendegivelse fra den registrerede. Nogle af de registrerede, der klagede til den finske tilsynsmyndighed, anførte, at de, på trods af at have kontaktet den dataansvarlige (konsulentvirksomheden) for at forhindre direkte markedsføring, stadig efterfølgende modtog markedsføringsbeskeder. Da den dataansvarlige ikke har opnået det nødvendige samtykke efter GDPR, har tilsynsmyndigheden givet en irettesættelse til virksomheden.
Den finske tilsynsmyndighed bemærkede, at den dataansvarlige skulle have undersøgt, hvilken stilling modtagerne af den pågældende markedsføring havde, da dette ville have vist, at der var tale om fysiske personer, hvor indhentelse af samtykke er nødvendigt.
Herudover udstedte tilsynsmyndigheden en irettesættelse til den dataansvarlige for at forsømme de registreredes rettigheder, og fordi den dataansvarlige ikke kunne bevise, at denne havde foretaget lovlig behandling af persondata. De registrerede havde fremsat anmodninger vedrørende deres rettigheder efter GDPR. Den dataansvarlige havde ikke svaret på anmodningerne inden for en måned fra modtagelsen af anmodningerne, som kræves efter GDPR, jf. forordning 59.
Faktorer til beregning af bøden
Ud over de nævnte irettesættelser blev virksomheden pålagt en bøde på 7.000 EUR. I sin afgørelse har tilsynsmyndigheden som skærpende omstændigheder taget i betragtning, at der er handlet forsætligt; at antallet af lovovertrædelser har været højt og er sket inden for en kort periode; at den dataansvarlige har manglet interesse i at samarbejde med tilsynsmyndigheden, samt at den dataansvarlige ikke har tilpasset sin adfærd i relation til direkte markedsføring og de registreredes rettigheder. Som formildende omstændigheder har tilsynsmyndigheden lagt vægt på, at de registrerede ikke har været udsat for hverken finansiel eller anden materiel skade.