Datatilsynet har i den seneste tid offentliggjort to afgørelser, hvor tilsynet har anvendt nogle af de øvrige reaktionsmuligheder i GDPR, som tidsmæssigt ligger forud for de meget omtalte bøder – nemlig påbud og forbud.

Datatilsynet meddelte påbud i en sag vedr. offentliggørelse af oplysninger om personer, som er fuldmægtige for domænenavnsregistranter i DK Hostmaster A/S’ WHOIS-database.
I en anden sag meddelte Datatilsynet i starten af april forbud til TDC A/S vedr. optagelse af telefonsamtaler uden samtykke fra den person, som deltog i samtalen. 

Påbudssagen
Sagen vedr. DK Hostmaster opstod på baggrund af en klage fra en person i en it-funktion, der ofte varetager hvervet som fuldmægtig for én eller flere registranter af domænenavne. Udover navne på registranterne af domænenavne offentliggøres navne på fuldmægtige også i WHOIS-databasen på DK Hostmasters hjemmeside.

Baggrunden for at offentliggøre oplysninger om fuldmægtige er at skabe så stor gennemsigtighed som muligt i relation til de enkelte domænenavne, så det bl.a. er muligt at kontakte de pågældende fuldmægtige direkte i tilfælde af, at en tredjemand fx udøver cyberkriminalitet direkte fra domænet. 

Det er Datatilsynets vurdering, at den pågældende offentliggørelse er i strid med databeskyttelsesforordningens bestemmelser om dataminimering, fordi formålet med behandlingen kan opnås med mindre indgribende midler end offentliggørelse og samtidig ikke kan anses som nødvendigt i forhold til behandling af personoplysninger i samfundets interesse.

Datatilsynet lægger endvidere vægt på, at et evt. civil- eller strafferetligt ansvar for det konkrete indhold på et domænenavn som udgangspunkt skal gøres gældende over for registranten af domænenavnet og ikke fuldmægtigen. 

computer

Forbudssagen 
Forbudssagen vedrører en sag, hvor en person har klaget til Datatilsynet over TDC’s optagelse af en telefonsamtale, som den pågældende har haft med en kundekonsulent hos selskabet, og hvor den pågældende ikke har haft mulighed for at give samtykke til den behandling af personoplysninger, som sker i forbindelse med optagelsen. 

Konkret blev klager i forbindelse med kontakt til TDC’s kundeservice informeret om, at opkaldet vil blive optaget til internt træningsbrug, uden at klager havde mulighed for at afvise optagelsen. Klager beder efterfølgende kundekonsulenten om at stoppe optagelsen men får at vide, at det ikke er muligt. 

Det er TDC’s vurdering, at personoplysninger i en samtale mellem en kunde og en kundekonsulent næppe i almindelighed er af en sådan karakter, at optagelsen kan true kundens grundlæggende rettigheder, og at den såkaldte interesseafvejningsregel i databeskyttelsesforordningens artikel 6, stk. 1, litra f, udgør ”en lige så god hjemmel” som et samtykke fra kunden. 

Datatilsynet er af den opfattelse, at sagen ikke indeholdt omstændigheder, der kunne begrunde en fravigelse fra tilsynets mangeårige praksis efter den tidligere gældende persondatalov vedr. samtykke til optagelse af telefonsamletaler til uddannelsesmæssige formål.

Da det på tidspunktet for TDC’s svar i sagen ikke er teknisk muligt at indhente samtykke fra de personer, hvis personoplysninger registreres i forbindelse med telefonopkald, pålægger Datatilsynet TDC et midlertidigt forbud (som skal effektueres inden for 14 dage) imod at optage telefonsamtaler til internt træningsbrug, indtil TDC har implementeret en teknisk løsning, der gør det muligt at indhente et samtykke i overensstemmelse med reglerne i databeskyttelseslovgivningen.

Bech-Bruuns kommentar

De to seneste afgørelser fra Datatilsynet viser, at tilsynet vælger at bruge hele paletten af reaktionsmuligheder i databeskyttelsesforordningen/-loven over for dataansvarlige, som efter tilsynets vurdering ikke agerer i overensstemmelse med de databeskyttelsesretlige regler. 

Af de to afgørelser vil det være afgørelsen vedr. TDC, som har størst betydning for dataansvarlige og databehandlere, som (stadig) anvender løsninger i fx kundecentre, hvor det ikke er teknisk muligt for kunder, som henvender sig, at give et samtykke til den behandling af deres personoplysninger, som finder sted. I forhold til disse løsninger vil Bech-Bruuns helt klare anbefaling være at stoppe med optagelse af de pågældende samtaler, indtil det er muligt at implementere en teknisk løsning, som overholder samtykkekravene i databeskyttelseslovgivningen. 

I relation til begge sager skal det afslutningsvis bemærkes, at manglende efterlevelse af hhv. påbud og forbud ved udløbet af Datatilsynets frist for efterlevelse indebærer overtrædelse af databeskyttelsesloven/-forordningen, som straffes med bøde eller fængsel i op til seks måneder jf. databeskyttelseslovens § 41, stk. 2, nr. 4, og ligeledes databeskyttelsesforordningens artikel 83, stk. 4, litra e. Det mest sandsynlige vil dog  være straf i form af bøde.  Alene af den grund kan det ikke anbefales, at dataansvarlige, som mødes af påbud eller forbud fra Datatilsynet, ikke efterkommer disse hurtigst muligt.