Europäischer Datenschutzausschuss

Danish DPA Fines PrivatBo

Friday, 14 August, 2020
dk

In 2018, the Danish company PrivatBo assisted a housing fund with an intended sale of three properties. On that occasion, PrivatBo provided material for the properties in question, which was distributed to the occupants of the properties on a total of 424 USB keys. However, PrivatBo was not aware that some of the documents contained personal information of a confidential nature which should not have been disclosed.

The Danish Data Protection Agency assessed the case and found that PrivatBo has not complied with the requirements of Article 32 of the Data Protection Regulation to implement appropriate technical and organizational security measures. Based on the nature of the case, the Danish DPA has therefore chosen to report PrivatBo to the police for the unintentional disclosure of personal information and proposed a fine of DKK 150.000.

You can read the full press release in Danish below or on the Danish DPA website here.

For further information, please contact the Danish SA: dt@datatilsynet.dk

Datatilsynet indstiller PrivatBo til bøde


PrivatBo er blevet anmeldt til politiet, da Datatilsynet vurderer, at administrationsselskabet ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen (GDPR).

I 2018 bistod PrivatBo – som administrationsselskab – en boligfond med et påtænkt salg af tre ejendomme. PrivatBo tilvejebragte i den anledning materiale til de omhandlede ejendomme, som blev uddelt til beboerne i de pågældende ejendomme på i alt 424 USB-nøgler. PrivatBo var imidlertid ikke opmærksom på, at der for en del af de udleverede lejekontrakter var knyttet dokumenter, som indeholdt personoplysninger af fortrolig karakter, og som ikke burde have været videregivet.

”I en sag som den pågældende er det vores vurdering, at PrivatBo som minimum burde have gennemgået tilbudsmaterialet, før det blev udleveret til andre. Vi hæfter os i den forbindelse særligt ved, at der var risiko for at videregive oplysninger af fortrolig karakter til bl.a. naboer, og at dette kunne indebære et betydeligt ubehag for de pågældende lejere, herunder for tab af omdømme,” siger Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, og tilføjer:

”Helt generelt er det sådan, at når man som virksomhed behandler folks personoplysninger, har man også et ansvar for at sikre, at de ikke kommer til uvedkommendes kendskab. I dette tilfælde mener vi ikke, PrivatBo har gjort nok for at undgå, at personoplysningerne blev videregivet.”

Datatilsynet har således vurderet, at PrivatBo ikke har levet op til kravene i databeskyttelsesforordningens artikel 32 om at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. På baggrund af sagens karakter har tilsynet derfor valgt at politianmelde PrivatBo for den utilsigtede videregivelse af personoplysninger, der skete som led i udleveringen af de 424 USB-nøgler.

Datatilsynet har herudover fundet grundlag for at udtale alvorlig kritik af, at PrivatBo efterfølgende – i forbindelse med samme tilbudspligt – utilsigtet udleverede en oversigt over indestående deposita og forudbetalt leje, og i nogle tilfælde oplysninger om udlæg i deposita, fordelt på lejemålenes adresse til beboere i en anden ejendom end den, som var omfattet af den pågældende tilbudspligt. Den utilsigtede videregivelse af disse oplysninger skete til trods for, at PrivatBo havde antaget et eksternt revisionsselskab med henblik på at kvalitetssikre materialet.

 

The press release published here does not constitute official EDPB communication, nor an EDPB endorsement. This press release was originally published by the national supervisory authority and was published here at the request of the SA for information purposes. As the press release is represented here as it appeared on the SA's website or other channels of communication, the news item is only available in English or in the Member State's official language with a short introduction in English. Any questions regarding this press release should be directed to the supervisory authority concerned.