In 2018, the Danish company PrivatBo assisted a housing fund with an intended sale of three properties. On that occasion, PrivatBo provided material for the properties in question, which was distributed to the occupants of the properties on a total of 424 USB keys. However, PrivatBo was not aware that some of the documents contained personal information of a confidential nature which should not have been disclosed.
The Danish Data Protection Agency assessed the case and found that PrivatBo has not complied with the requirements of Article 32 of the Data Protection Regulation to implement appropriate technical and organizational security measures. Based on the nature of the case, the Danish DPA has therefore chosen to report PrivatBo to the police for the unintentional disclosure of personal information and proposed a fine of DKK 150.000.
You can read the full press release in Danish below or on the Danish DPA website here.
For further information, please contact the Danish SA: dt@datatilsynet.dk
Datatilsynet indstiller PrivatBo til bøde
PrivatBo er blevet anmeldt til politiet, da Datatilsynet vurderer, at administrationsselskabet ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen (GDPR).
I 2018 bistod PrivatBo – som administrationsselskab – en boligfond med et påtænkt salg af tre ejendomme. PrivatBo tilvejebragte i den anledning materiale til de omhandlede ejendomme, som blev uddelt til beboerne i de pågældende ejendomme på i alt 424 USB-nøgler. PrivatBo var imidlertid ikke opmærksom på, at der for en del af de udleverede lejekontrakter var knyttet dokumenter, som indeholdt personoplysninger af fortrolig karakter, og som ikke burde have været videregivet.
”I en sag som den pågældende er det vores vurdering, at PrivatBo som minimum burde have gennemgået tilbudsmaterialet, før det blev udleveret til andre. Vi hæfter os i den forbindelse særligt ved, at der var risiko for at videregive oplysninger af fortrolig karakter til bl.a. naboer, og at dette kunne indebære et betydeligt ubehag for de pågældende lejere, herunder for tab af omdømme,” siger Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, og tilføjer:
”Helt generelt er det sådan, at når man som virksomhed behandler folks personoplysninger, har man også et ansvar for at sikre, at de ikke kommer til uvedkommendes kendskab. I dette tilfælde mener vi ikke, PrivatBo har gjort nok for at undgå, at personoplysningerne blev videregivet.”
Datatilsynet har således vurderet, at PrivatBo ikke har levet op til kravene i databeskyttelsesforordningens artikel 32 om at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. På baggrund af sagens karakter har tilsynet derfor valgt at politianmelde PrivatBo for den utilsigtede videregivelse af personoplysninger, der skete som led i udleveringen af de 424 USB-nøgler.
Datatilsynet har herudover fundet grundlag for at udtale alvorlig kritik af, at PrivatBo efterfølgende – i forbindelse med samme tilbudspligt – utilsigtet udleverede en oversigt over indestående deposita og forudbetalt leje, og i nogle tilfælde oplysninger om udlæg i deposita, fordelt på lejemålenes adresse til beboere i en anden ejendom end den, som var omfattet af den pågældende tilbudspligt. Den utilsigtede videregivelse af disse oplysninger skete til trods for, at PrivatBo havde antaget et eksternt revisionsselskab med henblik på at kvalitetssikre materialet.