DA
Teknologi

Tilsidesat oplysningspligt over for aktionær var brud på databeskyttelsesreglerne

logo
Juranyt
calendar 2. juni 2022
globus Danmark

Som svar på en meddelelse fra sin bank, indsendte et datasubjekt en indsigtsanmodning til en virksomhed, som han ejede aktier i. Han ville vide hvorfor virksomheden ville have hans personoplysninger. Efter fem måneder svarede virksomheden, at den aldrig havde været omfattet af en oplysningspligt, men forklarede alligevel hvorfor den havde bedt om oplysningerne. Det norske datatilsyn var uenige med den tilgang.

Efter at have købt aktier via sin tyske bank i en norsk fisk- og skaldyrsvirksomhed, modtog en tysk aktionær en meddelelse fra sin bank om, at virksomheden havde anmodet om hans personoplysninger.

Det var uklart for ham hvad formålet med anmodningen om oplysningerne var begrundet i. Han skrev derfor en e-mail til virksomheden. En måned senere, havde han stadig ikke modtaget et svar, og skrev igen. Da han stadig ikke havde fået et svar en måned senere, klagede han til det norske datatilsyn, som herefter kontaktede virksomheden. Virksomheden erkendte, at den aldrig havde set aktionærens indsigtsanmodning, fordi hans e-mails var endt i en spammappe. Samtidig bekræftede virksomheden, at den ville svare på aktionærens anmodning, men understregede samtidig, at den aldrig havde været underlagt en oplysningspligt, fordi undtagelserne under artikel 14 i databeskyttelsesforordningen (GDPR) var i spil.

I svaret til aktionæren gav virksomheden oplysninger om behandlingsaktiviteten og oplyste ham om, at virksomheden havde ret til at modtage oplysninger om ham efter norsk lovgivning. Virksomheden beskrev også, at det var underleverandøren Nasdaq i Storbritannien, som faciliterede anmodningen. Aktionæren var tilfreds med svaret, men det var det norske datatilsyn ikke. Datatilsynet besluttede, at virksomheden havde brudt databeskyttelsesreglerne.

Ingen undtagelser til oplysningspligten var i spil

Datatilsynet fastslog, at virksomheden havde en oplysningspligt overfor aktionæren. Derfor var det også forkert at henvise til reglens undtagelser.

Den første undtagelse, som virksomheden havde henvist til var, at oplysningspligten ikke gælder, hvis datasubjektet allerede har oplysningerne. Datatilsynet understregede, at den undtagelse forudsatte at virksomheden kunne bevise og dokumentere, at det var tilfældet. Det var ikke nok bare at formode, at aktionæren havde fået de nødvendige oplysninger. Den bevisbyrde kunne virksomheden ikke løfte.

Samtidig var det tydeligt, at selv hvis aktionæren havde modtaget nogle oplysninger om behandlingsaktiviteterne, havde han aldrig fået et fuldstændigt sæt oplysninger. Det betød, at selv hvis aktionæren havde fået nogle oplysninger, skulle virksomheden i alle tilfælde have suppleret med de oplysninger, der manglende i virksomhedens privatlivspolitik, herunder oplysninger om retsgrundlaget for behandlingen, modtagerne, opbevaringsperioderne og grundlaget for overførslen til Nasdaq i Storbritannien.

Den anden undtagelse, som virksomheden havde henvist til var, at oplysningspligten ikke finder anvendelse, hvis indsamling og videregivelse af oplysningerne fulgte af national lovgivning. Datatilsynet understregede dog, at det forudsætter at der er tale om et obligatorisk lovkrav. Det var ikke tilfældet, da virksomheden havde ret til at modtage oplysninger om sine aktionærer – ikke en forpligtelse under norsk ret.

IUNO mener

Undtagelser til oplysningspligten fortolkes og anvendes snævert af de nationale datatilsyn. Det gør det svært for virksomheder at anvende undtagelserne rigtigt. Af samme grund, skal undtagelserne anvendes forsigtigt. Et brud på en grundlæggende forpligtelse under databeskyttelsesreglerne, herunder oplysningspligten, kan ellers udløse bødestraf.

IUNO anbefaler at virksomheder løbende gennemgår om deres privatlivspolitikker og oplysningsprocedurer opfylder kravene under artikel 13 og 14 GDPR. I den her afgørelse bemærkede det norske datatilsyn, at indholdet i virksomhedens privatlivspolitik betød, at enhver der ikke var en medarbejder i virksomheden, ville være af den overbevisning, at retsgrundlaget for alle behandlingsaktiviteter var samtykke – da intet andet retsgrundlag var anført for den gruppe. Det viser netop hvor vigtigt det er at kravene om gennemsigtighed er opfyldt for hver kategori af datasubjekter, herunder aktionærer.

[Norske datatilsyns afgørelse 21/03656-12 af den 26. april 2022]

Efter at have købt aktier via sin tyske bank i en norsk fisk- og skaldyrsvirksomhed, modtog en tysk aktionær en meddelelse fra sin bank om, at virksomheden havde anmodet om hans personoplysninger.

Det var uklart for ham hvad formålet med anmodningen om oplysningerne var begrundet i. Han skrev derfor en e-mail til virksomheden. En måned senere, havde han stadig ikke modtaget et svar, og skrev igen. Da han stadig ikke havde fået et svar en måned senere, klagede han til det norske datatilsyn, som herefter kontaktede virksomheden. Virksomheden erkendte, at den aldrig havde set aktionærens indsigtsanmodning, fordi hans e-mails var endt i en spammappe. Samtidig bekræftede virksomheden, at den ville svare på aktionærens anmodning, men understregede samtidig, at den aldrig havde været underlagt en oplysningspligt, fordi undtagelserne under artikel 14 i databeskyttelsesforordningen (GDPR) var i spil.

I svaret til aktionæren gav virksomheden oplysninger om behandlingsaktiviteten og oplyste ham om, at virksomheden havde ret til at modtage oplysninger om ham efter norsk lovgivning. Virksomheden beskrev også, at det var underleverandøren Nasdaq i Storbritannien, som faciliterede anmodningen. Aktionæren var tilfreds med svaret, men det var det norske datatilsyn ikke. Datatilsynet besluttede, at virksomheden havde brudt databeskyttelsesreglerne.

Ingen undtagelser til oplysningspligten var i spil

Datatilsynet fastslog, at virksomheden havde en oplysningspligt overfor aktionæren. Derfor var det også forkert at henvise til reglens undtagelser.

Den første undtagelse, som virksomheden havde henvist til var, at oplysningspligten ikke gælder, hvis datasubjektet allerede har oplysningerne. Datatilsynet understregede, at den undtagelse forudsatte at virksomheden kunne bevise og dokumentere, at det var tilfældet. Det var ikke nok bare at formode, at aktionæren havde fået de nødvendige oplysninger. Den bevisbyrde kunne virksomheden ikke løfte.

Samtidig var det tydeligt, at selv hvis aktionæren havde modtaget nogle oplysninger om behandlingsaktiviteterne, havde han aldrig fået et fuldstændigt sæt oplysninger. Det betød, at selv hvis aktionæren havde fået nogle oplysninger, skulle virksomheden i alle tilfælde have suppleret med de oplysninger, der manglende i virksomhedens privatlivspolitik, herunder oplysninger om retsgrundlaget for behandlingen, modtagerne, opbevaringsperioderne og grundlaget for overførslen til Nasdaq i Storbritannien.

Den anden undtagelse, som virksomheden havde henvist til var, at oplysningspligten ikke finder anvendelse, hvis indsamling og videregivelse af oplysningerne fulgte af national lovgivning. Datatilsynet understregede dog, at det forudsætter at der er tale om et obligatorisk lovkrav. Det var ikke tilfældet, da virksomheden havde ret til at modtage oplysninger om sine aktionærer – ikke en forpligtelse under norsk ret.

IUNO mener

Undtagelser til oplysningspligten fortolkes og anvendes snævert af de nationale datatilsyn. Det gør det svært for virksomheder at anvende undtagelserne rigtigt. Af samme grund, skal undtagelserne anvendes forsigtigt. Et brud på en grundlæggende forpligtelse under databeskyttelsesreglerne, herunder oplysningspligten, kan ellers udløse bødestraf.

IUNO anbefaler at virksomheder løbende gennemgår om deres privatlivspolitikker og oplysningsprocedurer opfylder kravene under artikel 13 og 14 GDPR. I den her afgørelse bemærkede det norske datatilsyn, at indholdet i virksomhedens privatlivspolitik betød, at enhver der ikke var en medarbejder i virksomheden, ville være af den overbevisning, at retsgrundlaget for alle behandlingsaktiviteter var samtykke – da intet andet retsgrundlag var anført for den gruppe. Det viser netop hvor vigtigt det er at kravene om gennemsigtighed er opfyldt for hver kategori af datasubjekter, herunder aktionærer.

[Norske datatilsyns afgørelse 21/03656-12 af den 26. april 2022]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
Teknologi

16. juni 2022

Uheldig softwareopdatering gav tusinder af ansatte adgang til jobansøgninger

logo
Teknologi

19. maj 2022

Fratrådt medarbejders overdrevne indsigtsanmodning kunne godt afvises

logo
Teknologi

5. maj 2022

Datatilsynet har indstillet bank til bøde på 10 millioner kr. for brud på sletteregler

logo
Teknologi

21. april 2022

Første bøde til offentlig myndighed for brud på databeskyttelsesreglerne

logo
Teknologi

24. marts 2022

24/7 videoovervågning på arbejdspladsen var et brud på databeskyttelsesreglerne

logo
Teknologi

24. februar 2022

Intern undersøgelse af sexchikanesag var i strid med persondatareglerne

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat