22/06/2018 -

Afgørelse fra fransk datatilsyn udløser bøde på 250.000 euro til fransk brilleforrretning


En ny afgørelse fra det franske datatilsyn har udløst en bøde på 250.000 euro til en lokal brilleforretning i Frankrig for brud på behandling af personfølsomme oplysninger. Specialister fra Bech-Bruun kalder afgørelsen for bemærkelsesværdig.

Rasmus Hylleberg


En opsigtsvækkende afgørelse fra det franske datatilsyn har netop udløst en historisk høj bøde til en lokal brilleforretning for brud på den nye persondataforordning. Det skriver Bech-Bruun på sin hjemmeside.

I juli 2017 blev det franske datatilsyn informeret om et stort datalæk hos en fransk brillebutik. Efter en online inspektion konstaterede tilsynet, at det fra brillebutikkens hjemmeside var muligt at tilgå flere hundrede fakturaer på butikkens kunder, som medførte adgang til navne, adresser, helbredsoplysninger i form af kundens styrke og i visse tilfælde kundernes personlige identifikationsnummer (svarende til det danske CPR nr.).

Det franske datatilsyn fandt, at den franske brillebutik ikke havde overholdt sine sikkerhedsforpligtelser i overensstemmelse med den franske persondatalov og idømte brillebutikken en bøde på 250.000 EUR. Bøden blev udløst som en andengangsforseelse, da selvsamme brilleforretning tilbage i 2015 fik en bøde på 50.000 euro for et lignende sikkerhedsbrud.

Tilsynet lagde endvidere vægt på karakteren af personoplysningerne, som havde været frit tilgængelige, antallet af berørte personer og antallet af dokumenter med personoplysninger, som havde været tilgængelige på det tidspunkt, hvor tilsynet havde foretaget sine undersøgelser (mere end 334.000 dokumenter). 

 

Bemærkelsesværdig afgørelse

Ifølge partner Thomas Munk Rasmussen og persondataspecialist Charlotte Bagger Tranberg hos Bech-Bruun, så er afgørelsen bemærkelsesværdig, da EU-medlemslandene med den nye databeskyttelsesforordningens ikrafttrædelse må forventes at harmonisere af bødeniveauerne for overtrædelse af forordningens bestemmelser. 

Vurderingen fra Bech-Bruun er ligeledes, at denne afgørelse må antages at få nogen betydning for de øvrige europæiske datatilsyns fortolkning af databeskyttelsesforordningens bestemmelser, herunder sikkerhedsbestemmelserne og bødebestemmelserne

Afgørelsen er afsagt den 7. maj 2018. Appelfristen på to måneder fra afgørelsesdato er ikke udløbet endnu.

Del denne fra K-NEWS

Skal vi holde dig opdateret?

Få besked om nye artikler og podcast direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig – og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak