Tjuvlyssning i spansk fotboll och databreach i franska fastighetsbolag

De europeiska dataskyddsmyndigheterna har varit flitiga under juni och utdömt flera olika sanktionsavgifter som PrivacyWorks fått kännedom om under den gångna veckan.

I Spanien åkte La Liga på en sanktionsavgift om EUR 250 000 efter att ha lanserat en ny app. När appen installerades av användarna, aktiverades (utan notifikation) mobilens mikrofon vilket gjorde att La Liga, med hjälp av insamlat ljud och platstjänster, kunde upptäcka barer som publikt visade La Liga-fotboll utan att betala royalties.

Detta föll inte spanska dataskyddsmyndigheten i smaken, som utdömde sanktionsavgift eftersom La Liga inte hade fått användarnas samtycke för att använda platstjänster och samla in ljud från mobilens mikrofon.

La Liga har redan nu uttalat att de kommer att överklaga detta eftersom de dels hävdar att de har berättigat intresse, nämligen att tillvarata fotbollsklubbarnas upphovsrätter och dels att tekniken inte använder personuppgifter per se, eftersom den inte identifierar individen som äger mikrofonen eller vilka som pratar i ljudbilden som samlas in. PrivacyWorks tycker att det ska bli spännande att se hur La Liga försvarar användandet av platstjänster.

I Danmark utdömdes en sanktionsavgift om DKK 1 500 000 till det danska möbelföretaget IDdesign. I ett antal av deras butiker användes ett gammalt system, i vilket det fanns uppgifter om cirka 385 000 kunders namn, adress, telefonnummer, email och köphistorik. Inga gallringsregler hade fastställts för detta system, varför uppgifterna om de 385 000 kunderna helt enkelt låg kvar i systemet och inte hade gallrats.

Detta rimmar illa med GDPR:s princip om lagringsminimering som innebär att personuppgifter inte får förvaras i en form som möjliggör identifiering av den registrerade under en längre tid än vad som är nödvändigt för de ändamål för vilka personuppgifterna behandlas, d.v.s. helt enkelt att personuppgifter bara ska sparas så länge det är nödvändigt. Danska dataskyddsmyndigheten gav IDdesign bakläxa och en sanktionsavgift om DKK 1 500 000. PrivacyWorks vill därför ta tillfället i akt och påminna om att GDPR även är tillämpligt på system som användes innan 25 maj, eftersom det uppenbarligen kan bli dyrt att endast blicka framåt innan det förflutna är ett (raderat) minne blott.

Slutligen hälsar vi på i Frankrike och lär oss av CNILs verksamhet. På fastighetsbolagets SERGICs kundsidor kunde man som (potentiell) hyresgäst ladda upp dokument som var nödvändiga för ansökningar till hyreslägenheterna, såsom ID-kort, sjukvårdskort, domslut om skilsmässa, kontoutdrag, kontokort och intyg från socialkontoret (hyfsat känsliga personuppgifter alltså, PWs anmärkning). Genom en enkel ändring av webbadressen kunde vem som helst komma åt andras uppladdade dokument, vilket en privatperson gjorde CNIL uppmärksam på. Den 7 september 2018 testade CNIL riktigheten i detta påstående och uppmärksammade sedan SERGIC på den bristande säkerheten. Några dagar senare gjordes en kontroll på plats i företagets lokaler och då verkade det som att företaget känt till säkerhetsbristen ända sedan mars 2018, trots att den inte åtgärdades förrän 17 september 2018.

CNIL konstaterar att företaget brustit i sitt GDPR-arbete på två punkter. Det första är att de inte vidtagit lämpliga tekniska och organisatoriska åtgärder för säkerställande av en lämplig säkerhetsnivå (art 32) eftersom det inte fanns tillräckliga autentiseringsåtgärder för att säkerställa att det endast var personerna som laddat upp dokumenten som fortsättningsvis kommer åt dem, något CNIL påpekar är ett ganska grundläggande krav. Detta förvärras ytterligare eftersom det dels handlar om så pass känsliga personuppgifter och dels eftersom företaget inte gjort något åt denna säkerhetsbrist förrän efter 6 månader.

Förutom detta konstaterar CNIL att dokumenten sparas utan tidsbegränsning, även efter att hyresavtalen fördelats till de registrerade. CNIL påminner om att personuppgifter måste raderas efter att de har fyllt sin funktion, eller åtminstone arkiveras tills de inte längre potentiellt kan vara nödvändiga för rättsliga eller administrativa ändamål. Återigen, även arkivering ska endast ske så länge det är nödvändigt.

EUR 400 000 utdömdes till fastighetsbolaget efter att CNIL vägt in allvaret i överträdelsen, att företaget inte tog tag i säkerhetsbristen direkt och de känsliga personuppgifterna. CNIL har också vägt in storleken på företaget och dess ekonomiska situation.

Sådär, det var PrivacyWorks omvärldsbevakning för denna gång! Innan vi tar helg skulle vi vilja ta tillfället i akt att påminna om vikten av tillräcklig säkerhet, att radera personuppgifter och att inte förlita sig för mycket på morgondagen. Känns allt detta övermäktigt? Kontakta oss så kan vi alltid bidra med en hjälpande hand – eller göra allt arbete åt dig.

Trevlig helg!