Det norske datatilsyn har udstedt en bøde til Odin Flissenter AS på 150.000 norske kroner for at foretage en kreditvurdering af en enkeltmandsvirksomhed, uden at have et retligt grundlag.
Bøden er nedjusteret fra 300.000 norske kroner på grund af de økonomiske konsekvenser af covid-19.
Pålæg om at udarbejde instrukser
Virksomheden har ligeledes fået et pålæg om at revidere de interne instrukser / retningslinjer for kreditvurdering.
Datatilsynet peger på, at instrukserne skal indeholde en beskrivelse af kravet om retligt grundlag efter artikel 6 i databeskyttelsesforordningen samt en beskrivelse af, hvilket retsgrundlag, der er relevante.
I afgørelsen, der er sendt til Odin Flissenter AS, hedder det bl.a.:”Utbedring av rutinene vil kunne virke preventivt mot at det senere blir gjennomført urettmessige kredittvurderinger“.
Hvad kan vi uddrage af afgørelsen?
Der er flere aspekter i afgørelsen fra det norske datatilsyn:
Oplysninger om enkeltmandsvirksomheder
Oplysninger om enkeltmandsvirksomheder er personoplysninger. Det er oplysninger om et A/S eller et ApS ikke. Det betyder, at al behandling af oplysninger om en enkeltmandsvirksomhed falder ind under reglerne i databeskyttelsesforordningen og databeskyttelsesloven.
Retsgrundlag / hjemmel
Når en virksomhed behandler personoplysninger, skal det ske med baggrund i databeskyttelsesforordningen og virksomheden skal kende og påvise det retlige grundlag. Virksomheden skal altså kunne pege på hvilken artikel i forordningen, der er anvendt.
Hvis det er interesse-afvejningsreglen i artikel 6, 1, f) der anvendes, skal virksomheden ligeledes kunne godtgøre, at behandling af de konkrete personoplysninger er nødvendig for at varetage en berettiget interesse, som vejer tungere end hensynet til den registrerede.
Instrukser / interne retningslinjer
En virksomhed skal kunne påvise, at en behandling er i overensstemmelse med reglerne i databeskyttelsesforordningen. Det fremgår af artikel 24, der beskriver den dataansvarliges ansvar.
Det kræver bl.a., at der foreligger instrukser eller retningslinjer til medarbejderne, så de ved hvordan og hvorfor, de skal behandle personoplysninger. Og det kræver, at der med jævne mellemrum bliver foretaget intern kontrol af både behandlinger og instrukser.
Oplæring af medarbejderne
Det er ikke nok at fastlægge instrukser og retningslinjer. Medarbejderne skal oplæres i at behandle personoplysninger – der skal være en høj grad af awareness.
Mere viden
Du kan læse videre på det norske datatilsyns hjemmeside her.
Hvis du ikke kender jeres retsgrundlag for behandling af personoplysninger er du velkommen til at kontakte mig for en drøftelse. Du finder mine kontaktoplysninger her.