Nedslag i de seneste europæiske GDPR-afgørelser

Siden persondataforordningen trådte i kraft den 25. maj 2018, har medlemslandenes datatilsyn truffet en række afgørelser, der kan have betydning for fortolkningen af persondataforordningen i Danmark og i de øvrige medlemslande.

Bøde på 11,5 millioner euro for uanmodede telemarketing- og fjernsalgsaktiviteter

Det italienske datatilsyn har pålagt energiselskabet, Eni Gas E Luce S.p.A., to bøder på henholdsvis 8.5 millioner euro og 3 millioner euro for overtrædelser af persondataforordningen.

Den første bøde blev pålagt selskabet for ulovlig behandling af persondata i forbindelse med selskabets telemarketingaktiviteter, som kunne konstateres efter, at den italienske tilsynsmyndighed havde modtaget flere klager. 

Selvom der kun kunne konstateres et begrænset antal tilfælde pegede tilsynets undersøgelser dog i retning af, at selskabets overtrædelser havde været systematiske. De overtrædelser, som tilsynet fremhævede, var:


  • at der var foretaget reklameopkald uden samtykke fra den pågældende personer, og til trods for, at visse af disse personer havde afvist at modtage salgsfremmende opkald
  • at selskabet ikke havde iagttaget de specifikke procedurer til verifikation af kundernes tilknytning til et offentligt opt-out register, svarende til den danske Robinson-liste
  • at der ikke var tilstrækkelige tekniske og organisatoriske foranstaltninger, som sikrede, at kunder som havde afvist at modtage de pågældende opkald, rent faktisk ikke modtog disse 
  • at kundedata blev opbevaret over en periode, som var længere end nødvendigt
  • at selskabet havde købt data om potentielle kunder fra udbydere, som ikke havde fået samtykke til videregivelse af disse data.


Den anden bøde blev pålagt i forbindelse med, at en række af selskabets leverandører havde indgået kontrakter vedrørende levering af elektricitet og gas uden kundernes viden. En række af selskabets kunder havde klaget over, at de udelukkende fik kendskab til indgåelsen af en aftale med en ny leverandør efter at have modtaget et opsigelsesbrev fra den tidligere leverandører. Kunderne havde derfor ifølge eget udsagn aldrig været i kontakt med sidstnævnte, før de blev opmærksomme på den "nye" kontrakt. 

I flere tilfælde havde disse kunder desuden klaget over, at den nye kontrakt indeholdt forkerte oplysninger ‒ herunder forkerte telefonnumre, adresser samt identitetsdokumenter som syntes at have en tvivlsom oprindelse. Yderligere klagede visse kunder over, at kontrakterne var forsynet med falske underskrifter.

Den italienske tilsynsmyndighed kunne i forbindelse med undersøgelse af selskabets procedurer for håndtering af kundekontrakter konstatere, at selskabet havde overtrådt persondataforordningens ved:


  • at have anvendt oplysninger som var ukorrekte, ufyldestgørende og/eller ikke-opdaterede i strid med persondataforordningens art. 5, stk. 1, litra a og d 
  • at selskabets leverandører havde anvendt personoplysninger i strid med persondataforordningens art. 5, 6 og 13
  • at selskabets tekniske og organisatoriske foranstaltninger ikke var tilstrækkelige til at sikre, at selskabets leverandører, som databehandlere, ikke handlede i strid med den dataansvarliges (selskabets) instrukser.

Begge bøder blev pålagt i medfør af persondataforordningens art. 83, stk. 5. Den første bøde på 8,5 millioner euro svarede til ca. 5 % af den maksimale bødestørrelse, som ifølge persondataforordningens art. 83, stk. 5 ville være 4 % af selskabets samlede globale årlige omsætning i det forudgående regnskabsår. 

Afgørelserne viser blandt andet, at det er afgørende, at virksomheder sikrer, at personoplysninger er korrekte, og at der implementeres tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre, at oplysninger som leverandører modtager på vegne af virksomheden, er korrekte og opdaterede. 

Samtidig viser afgørelserne, at virksomheder, som er engageret i telemarketingaktiviteter, skal sikre, at dataleverandører, som leverer kunde-leads, har modtaget samtykke fra disse personer, forinden der rettes henvendelse hertil.

Læs pressemeddelelse om afgørelsen 

Tysk teleudbyder pålagt bøde på 9,55 millioner euro for mangelfuld sikkerhed


Det føderale tyske datatilsyn (BfDI) har pålagt teleudbyderen 1&1 Telecom GmbH en bøde på 9.550.000 euro, fordi selskabet ikke havde implementeret tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger, jf. persondataforordningens artikel 32. 

Ifølge BfDI var teleudbyderens kundeautentifikationsprocedure utilstrækkelig, da den ikke forhindrede uvedkommende personer i at få adgang til kundeoplysninger via kundeservice. Uvedkommende personer kunne ringe til virksomhedens kundeservice og modtage omfattende information om en given kunde ved blot at angive kundens navn og fødselsdagsdato.

BfDI lagde i forbindelse med bødeudmålingen blandt andet vægt på, at overtrædelsen ikke var isoleret til en lille andel af selskabets kunder, men udgjorde en risiko for samtlige kunder. Det var dog en formildende omstændighed, at selskabet havde samarbejdet med BfDI og samtidig havde implementeret nye procedurer for udleveringen af kundeoplysninger. 

Afgørelsen tydeliggør betydningen af at sikre tilstrækkelige tekniske og organisatoriske sikkerhedsforanstaltninger i relation til udleveringen af blandt andet kundeoplysninger. Selvom afgørelsen specifikt angår en teleudbyder, kan det også være aktuelt for andre virksomheder at overveje, hvorvidt proceduren for udlevering af kundeoplysninger opfylder kravene i persondataforordningens art. 32. 

Læs pressemeddelelse om afgørelsen

Britisk apotek pålagt bøde på 275.000 britiske pund for usikker opbevaring af patientdata


Det britiske datatilsyn, Information Commissioner's Office, ICO, har pålagt det britiske apotek, Doorstep Dispensaree, en bøde på 275.000 britiske pund for tilsidesættelse af persondataforordningens artikel 32. 

Apoteket havde efterladt omtrent 500.000 dokumenter i ulåste containere i en baggård, hvorved dokumenterne var tilgængelige for uvedkommende. Dokumenterne indeholdt blandt andet oplysninger i form af navne, adresser, fødselsdatoer og personnumre samt medicinsk information om f.eks. recepter. 

Det er særligt interessant, at mange af dokumenterne var gennemblødte og dermed ulæselige for uvedkommende personer, men at ICO alligevel lagde til grund, at der forelå et brud på persondatasikkerheden. Årsagen hertil var formentlig, at dokumenterne var læselige, og dermed principielt tilgængelige for uvedkommende, indtil de f.eks. på grund af regn blev ulæselige. 

ICO fandt, at apotekets interne procedurer for databeskyttelse ikke var forenelige med databeskyttelsesforordningen. De fleste af de interne retningslinjer havde ikke været opdateret siden april 2015, dvs. før vedtagelsen af databeskyttelsesforordningen i 2016 og den efterfølgende ikrafttrædelse i 2018. Retningslinjerne var desuden så vagt formulerede, at de ikke gav medarbejdere tilstrækkelig vejledning i forhold til praktisk efterlevelse af databeskyttelsesreglerne.

Endvidere havde apoteket ikke iagttaget sin oplysningspligt, idet apotekets privatlivspolitik ikke indeholdt de oplysninger, som er påkrævet i henhold til databeskyttelsesforordningen artikel 13 og 14.  

ICO's afgørelse tydeliggør, at behovet for at sikre tilstrækkelige tekniske og organisatoriske foranstaltninger også kan blive aktuelt i tilfælde, hvor personoplysninger ikke lagres digitalt, men fysisk. Det er afgørende, at virksomheder sikrer, at fysiske dokumenter indeholdende personoplysninger bortskaffes på en måde, således at uvedkommende ikke kan få fysisk adgang til dem.

Læs afgørelsen