Datatilsynet slår hårdt ned på utilstrækkelige risikovurderinger

Som følge af tre anmeldte databrud har Datatilsynet netop truffet en afgørelse om utilstrækkelige risikovurderinger og behandlingssikkerhed hos virksomheden Brobizz.
Nyhed
GDPR

Brobizz anmeldte i efteråret 2019 tre databrud, hvor der i forbindelse med besvarelser af kundehenvendelser blev videregivet personoplysninger til uvedkommende. I forbindelse med Datatilsynets behandling af sagerne blev Brobizz anmodet om at fremlægge deres risikovurdering samt oplysninger vedrørende virksomhedens specifikke procedurer og instrukser om behandling af personoplysninger. Datatilsynet udtalte alvorlig kritik, idet de konkluderede, at Brobizz ikke havde foretaget en tilstrækkelig vurdering af risici i virksomhedens behandling af personoplysninger.

DE KONKRETE HÆNDELSER

Sagen udspringer af tre hændelser, som fandt sted henholdsvis den 20. september, 29. november og 12. december 2019.

De specifikke hændelser forløb som følger:

  1. En kundeservicemedarbejder udleverede telefonisk lokationsdata til en anden person end den registrerede kunde. Dette drejede sig om en person (A), der fik udleveret  lokationsdata om sin ekskæreste (B).
  2. En anden kundeservicemedarbejder opdaterede, på anmodning af C, ved en fejl kunde D’s e-mailadresse med C’s e-mailadresse, og sendte efterfølgende en ny kode til den C’s e-mailadresse, hvorefter C havde adgang til kunde D’s konto.
  3. En tredje kundeservicemedarbejder opdaterede kunde E’s e-mailadresse under kunde F’s kundenummer, som kunde E angiveligt troede var sit eget, hvorefter kunde E kunne tilgå kunde F’s Brobizz-profil.

AFGØRELSEN

Datatilsynet angav, at der var grundlag for at udtale alvorlig kritik af Brobizz’ behandling af de omtalte personoplysninger. Der lagdes særligt vægt på, at Brobizz’ håndtering af kundernes personlysninger ikke skete i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 32, stk. 1 og artikel 32, stk. 2, som uddybes her.

Datatilsynet gav samtidig Brobizz et påbud efter databeskyttelsesforordningens art. 58, stk. 2. Herefter skal BroBizz foretage en ny vurdering af risici for de registrerede, der er forbundet med den type behandling af personoplysninger, som BroBizz foretager. BroBizz skal særligt sikre den rigtige identitet på den person, der fremsætter en anmodning, som omhandlet i forordningens artikel 15-21, jf. artikel 32, stk. 2. Datatilsynet gav BroBizz en 4-ugers frist til at efterleve påbuddet.

BEGRUNDELSE FOR AFGØRELSEN

Datatilsynet traf sin afgørelse, fordi Brobizz’ ikke havde sikret sig – og fået bekræftet - identiteten på den person, der fremsatte anmodning om indsigt i kunders persondataoplysninger. Kundeservicemedarbejderne videregav derudover personoplysninger om bl.a. lokation om tre kunder til uvedkommende. Det følger af databeskyttelsesforordningen, at:

  • den dataansvarlige kan, hvis der hersker rimelig tvivl om identiteten af en person, fremsætte en anmodning om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.
  • den dataansvarlige skal træffe passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til de risici, der er ved den dataansvarliges behandlinger af personoplysninger.

Da medarbejderne hos BroBizz ikke handlede i overensstemmelse med de persondataretlige regler, og fordi hændelserne samtidigt skete tre gange inden for en kort tidsperiode, fandt Datatilsynet, at sagerne er udtryk for, at de interne procedurer og instrukser enten ikke er tilstrækkelige, eller at medarbejderne ikke i tilstrækkelig grad er bekendt med håndteringen af personoplysningerne. Datatilsynet fandt derfor, at Brobizz ikke havde truffet passende foranstaltninger for at sikre et passende sikkerhedsniveau svarende til BroBizz’ risici ved behandlingen af personoplysninger.

LUND ELMER SANDAGERS KOMMENTAR

Brobizz-sagen understreger endnu en gang vigtigheden af, at virksomheder, private som offentlige, overholder et passende sikkerhedsniveau ved behandling af personoplysninger og får analyseret de risici, der måtte være ved den pågældende virksomheds behandling af persondata. Det gælder specielt ved udlevering af personoplysninger, hvor virksomheden skal sikre, at den anmodendes identitet bekræftes

Lund Elmer Sandager rådgiver løbende om, hvordan risikovurderinger udarbejdes. Se vores tidligere artikel om risikovurderinger her.

Har du brug for rådgivning om GDPR og for hjælp til at sikre, at du overholder reglerne om kravene til interne risikovurderinger, herunder i forhold til en passende behandlingssikkerhed i din virksomhed, er du altid velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR