Alvorlig kritik og påbud til BroBizz for mangelfuld risikovurdering ved videregivelse af personoplysninger

Baggrund

Datatilsynet har behandlet tre sager, hvor BroBizz A/S har anmeldt brud på persondatasikkerheden. Disse brud involverede videregivelse af personoplysninger, herunder lokationsdata, til uvedkommende i forbindelse med besvarelse af kundehenvendelser.

Sagens kerne

Sagen drejer sig om, hvorvidt BroBizz A/S har overholdt kravene i databeskyttelsesforordningens artikel 32 om passende sikkerhedsforanstaltninger ved behandling af personoplysninger, særligt i forbindelse med verificering af kunders identitet.

BroBizz's forklaringer

• BroBizz har fremsendt en risikovurdering for generel verificering af kunder, hvor risikoen for manglende verificering vurderes som "meget lille".
• Virksomheden har udarbejdet procedurer for generel verificering, persondataforespørgsler og en instruks, som dog ikke blev overholdt i de konkrete sager.
• Medarbejdere har gennemgået e-læring siden 2018, og nye medarbejdere introduceres til persondataretlige problemstillinger.

Datatilsynets vurdering

• Datatilsynet fandt, at BroBizz ikke havde truffet tilstrækkelige tekniske og organisatoriske foranstaltninger for at sikre et passende sikkerhedsniveau, jf. databeskyttelsesforordningens artikel 32, stk. 1.
• Tilsynet bemærkede, at samme type hændelse var sket tre gange inden for kort tid, hvilket indikerer utilstrækkelige procedurer eller manglende kendskab til dem.
• Datatilsynet vurderede, at uddannelse og træning af medarbejdere i databeskyttelse var utilstrækkelig.
• Risikovurderingen blev kritiseret for ikke tilstrækkeligt at vurdere risiciene for de registreredes rettigheder ved uautoriseret videregivelse af oplysninger, jf. databeskyttelsesforordningens artikel 32, stk. 2.

Afgørelse

Datatilsynet udtalte alvorlig kritik af, at BroBizz’ behandling af personoplysninger ikke var i overensstemmelse med databeskyttelsesforordningens artikel 32, stk. 1 og 2.

Datatilsynet meddelte BroBizz et påbud om at foretage en risikovurdering af de risici, der er forbundet med behandlingen af personoplysninger i forbindelse med identifikation af fysiske personer, der fremsætter anmodninger som omhandlet i forordningens artikel 15-21, jf. artikel 32, stk. 2.

• Risikovurderingen skal kortlægge risiciene for de registreredes rettigheder og afveje disse risici i forhold til de trufne foranstaltninger.
• Påbuddet er meddelt i medfør af databeskyttelsesforordningens artikel 58, stk. 2.
• Fristen for efterlevelse af påbuddet er 4 uger.
• Manglende efterkommelse af påbuddet kan medføre bøde eller fængsel, jf. Databeskyttelsesloven § 41, stk. 2, nr. 5.

Datatilsynet fandt, at BroBizz' behandling af personoplysninger var i overensstemmelse med databeskyttelsesforordningens artikel 33, stk. 1 og artikel 34, stk. 1.