7 milliós bírság a GDPR 32. cikk megsértéséért

A Dán Adatvédelmi Hatóság (Datatilsynet), melyről legutóbb egy Google-t érintő adatvédelmi panasz kapcsán írtunk, augusztus 4-én a rendőrségen feljelentette és 150.000 dán korona összegű bírságot javasolt a PrivatBo nevű lakásszövetkezet ellen, többek között a GDPR 32. cikk megsértése miatt.

Az ügy eredetileg 2018-ban kezdődött, amikor a cég egy lakásalapnak segédkezett három ingatlan megvásárlásában. Ennek keretében a PrivatBo kiosztott a lakók között 424 pendrive-ot, amelyeken az ingatlanokkal kapcsolatos információk voltak. A cég figyelmetlensége miatt ezek között az adatok között olyan dokumentumok is szerepeltek, amelyek bizalmas jellegű adatokat tartalmaztak az ingatlanok egyes lakóiról.

A Datatilsynet szóvivője szerint a PrivatBo nem nézte át megfelelően a kiosztani szánt anyagot, mielőtt azt átadta a lakóknak. Hozzáteszi, hogy ilyen esetekben elvárja az adatkezelőktől, hogy bizalmas információ ne kerüljön illetékteleneknek átadásra, mivel ez aránytalan kellemetlenségekkel járhat az érintettek számára. Az adatkezelés folyamán az adatkezelő feladata arról megbizonyosodni, hogy a rá bízott adatok nem jutnak illetéktelen személyek tudomására. Ebben az esetben a Datatilsynet szerint a PrivatBo nem tett meg minden tőle elvárhatót, hogy ezt elkerülje.

A fentiek eredményeképpen a Hatóság megállapította a GDPR 32. cikkének megsértését. A 424 darab USB eszköz átadása során akaratlanul érzékeny személyes adatokat osztott meg illetéktelenekkel, ezért a Hatóság feljelentést tett ellene a rendőrségen.

Érdekesség, hogy szerepel a határozatban, hogy a cég először a PWC tanácsát kérte az incidenssel kapcsolatban, akik azonban az ügyet megvizsgálva arra jutottak, hogy az érintett adatok nem minősülnek személyes adatnak, ezért nem kell bejelenteni incidensként. A PWC egyébként adatvédelmi kérdésekben nem először kerül valamelyik hatóság figyelmének középpontjába, korábbi eseteikről ebben a cikkünkben írtunk.

A Hatóság továbbá súlyos kritikát fogalmazott meg a PrivatBo-val szemben, mivel az ugyanennek az ügynek a kapcsán más esetben is adatokat osztott meg illetéktelen személyekkel. A cég ismét akaratlanul, ezúttal pénzügyi adatokat osztott meg a lakókkal kapcsolatban, amikor az erre vonatkozó leveleket nem a megfelelő érintetteknek kézbesítették. A levelekben a lakások bérleti díjával és kauciójával kapcsolatos információk voltak olvashatóak. A Datatilsynet kiemeli, hogy erre a sorozatos adatvédelmi incidensre annak ellenére került sor, hogy a PrivatBo külső könyvvizsgáló céget kért fel a kérdéses anyagok ellenőrzésére.