Alvorlig kritik og påbud til Dating.dk for manglende behandlingsgrundlag og utilstrækkelig behandlingssikkerhed

Datatilsynet gennemførte i efteråret 2018 et tilsyn med Dating.dk ApS for at undersøge datingtjenestens behandling af personoplysninger, herunder behandlingsgrundlag og persondatasikkerhed. Tilsynet blev iværksat efter databeskyttelsesforordningen og Databeskyttelsesloven. Dating.dk oplyste, at de behandlede personoplysninger på baggrund af samtykke via en samtykkeerklæring, hvor brugerne skulle acceptere brugerbetingelserne og persondatapolitikken ved oprettelse. Datatilsynet vurderede, at denne samtykkeerklæring ikke var tilstrækkelig til at opnå et gyldigt samtykke.

Dating.dk anførte, at de ikke behandlede oplysninger om identificerbare fysiske personer, da profilerne var anonyme. Datatilsynet afviste dette og påpegede, at oplysninger som brugernavn, e-mailadresse og IP-adresse kan føres tilbage til en fysisk person og derfor er personoplysninger.

Datatilsynet vurderede desuden, at Dating.dk behandlede særlige kategorier af personoplysninger, herunder oplysninger om seksuelle forhold eller seksuel orientering, hvilket Dating.dk bestred. Datatilsynet lagde vægt på, at det ikke er en forudsætning, at oplysninger om seksuel orientering angives eksplicit, før der er tale om behandling af sådanne oplysninger.

Datatilsynet undersøgte også Dating.dk's behandlingssikkerhed og risikovurdering. Dating.dk fremsendte flere dokumenter, herunder en risikovurdering og en konsekvensanalyse. Datatilsynet fandt dog, at disse dokumenter ikke tilstrækkeligt påviste, at behandlingen af personoplysninger skete under hensyntagen til de risici, som behandlingen udgjorde for de registrerede.

Afgørelse

Datatilsynet udtalte alvorlig kritik af, at Dating.dk ApS’ behandling af personoplysninger ikke var i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, og artikel 9, stk. 1.

• Dating.dk ApS havde ikke opnået en utvetydig viljestilkendegivelse fra brugerne til behandling af personoplysninger.
• Dating.dk ApS havde behandlet særlige kategorier af personoplysninger uden at have identificeret en undtagelse til forbuddet.

Datatilsynet udstedte et påbud i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d, om, at Dating.dk ApS inden den 16. november 2021 skulle bringe behandlingen af personoplysninger i overensstemmelse med databeskyttelsesforordningen, særligt Databeskyttelsesforordningen § 6, stk. 1 og Databeskyttelsesforordningen § 9, stk. 1.

Datatilsynet udtalte desuden alvorlig kritik af, at Dating.dk ApS havde behandlet personoplysninger uden at kunne påvise, at behandlingen var sket under hensyntagen til de risici, den udgjorde for de registrerede, jf. Databeskyttelsesforordningen § 32, stk. 1 og 2.