Alvorlig kritik og påbud til Epic Booking for mangelfuld behandling af personoplysninger på Facebook

Datatilsynet undersøgte Epic Bookings behandling af personoplysninger, særligt offentliggørelsen af billeder af børn og unge på deres Facebookside. Virksomheden havde oploadet knap 500.000 billeder taget ved fester og arrangementer siden 2013.

Epic Bookings argumenter:

• Billederne blev oploadet med samtykke fra de afbildede, indhentet via en oplysningstekst ved selfiekameraet og mundtlige informationer.
• Offentliggørelsen var nødvendig for virksomhedens markedsføring og forretningsmodel, da deltagere "tagger" hinanden og deler billederne.
• Det var almindelig praksis i branchen at gemme billeder automatisk, og en omprogrammering af selfiekameraet ville være dyr.
• Epic Booking tilbød at slette billeder på anmodning og havde politikker mod upassende billeder.
• Virksomheden behandlede ikke oplysninger om børn i folkeskolealderen og indhentede samtykke fra både børn og forældre ved arrangementer med yngre deltagere.

Datatilsynets undersøgelse:

• Datatilsynet fokuserede på gyldigheden af samtykket, oplysningspligten over for de registrerede og overholdelsen af princippet om opbevaringsbegrænsning.
• Tilsynet vurderede, om Epic Booking havde sikret et informeret, specifikt og frivilligt samtykke i overensstemmelse med Databeskyttelsesforordningen artikel 6, stk. 1.

Datatilsynet fandt grundlag for at udtale alvorlig kritik af Epic Bookings behandling af personoplysninger.

Centrale elementer i afgørelsen:

• Manglende gyldigt samtykke: Datatilsynet vurderede, at Epic Bookings samtykke ikke var tilstrækkeligt informeret, specifikt og frivilligt, jf. Databeskyttelsesforordningen artikel 4, nr. 11. De registrerede havde ikke mulighed for at til- eller fravælge de forskellige behandlingsformål, og samtykketeksten var mangelfuld.
• Manglende overholdelse af oplysningspligten: Datatilsynet fandt, at Epic Bookings informationstekst og mundtlige informationer ikke opfyldte kravene i Databeskyttelsesforordningen artikel 13 og artikel 12, stk. 1, da de ikke indeholdt tilstrækkelige oplysninger om formålene med behandlingen og opbevaringstiden.
• Overtrædelse af opbevaringsbegrænsningen: Datatilsynet vurderede, at Epic Bookings offentliggørelse af billeder uden tidsbegrænsning var i strid med princippet om opbevaringsbegrænsning i Databeskyttelsesforordningen artikel 5, stk. 1, litra e.

Påbud:

• Datatilsynet meddelte Epic Booking påbud om at slette alle billeder fra Facebooksiden, der var behandlet uden gyldigt samtykke.
• Virksomheden blev ligeledes pålagt at fastsætte en generel slettefrist på maksimalt 60 dage for fremtidige billeder på Facebooksiden.