Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR.
Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser.
Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll.
I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter.
Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder.
EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon.
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30.
Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151
All content for Vi leser dommer om personvern is the property of Thorsrud Rådgivning AS and is served directly from their servers
with no modification, redirects, or rehosting. The podcast is not affiliated with or endorsed by Podjoint in any way.
Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR.
Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser.
Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll.
I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter.
Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder.
EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon.
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30.
Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151
Vi leser C-394/23 Mousse om et togselskap kan påberope seg oppfyllelse av kontrakt eller berettigede interesser for å tvinge deg til å velge mellom “Hr” og “Fru” når du bestiller en togbillett
Vi leser dommer om personvern
1 hour 27 seconds
6 months ago
Vi leser C-394/23 Mousse om et togselskap kan påberope seg oppfyllelse av kontrakt eller berettigede interesser for å tvinge deg til å velge mellom “Hr” og “Fru” når du bestiller en togbillett
C-394/23 er først og fremst kjent fordi et togselskap ønsket at alle kunder som kjøpe togbillett måtte velge mellom “Hr” og “Fru”. Og det er jo litt jucy.
Men dommen handler om så mye mer enn det. Det var ikke bestridt at det å knytte “Hr.” og “Fru” til en identifiserbar person, var en personopplysning.
Spørsmålet var hvilket behandlingsgrunnlag som var det mest treffende. Kunne togselskapet bruke GDPR art. 6(1) b) kontrakt eller art. 6(1) f) berettigede interesser? Og var det nødvendig å behandle opplysninger om “Hr” og “Fru” for å oppfylle formålet?
Kort fortalt mente domstolen at nei, dette var ikke nødvendig. Dommen inneholder en av de beste nødvendighetsvurderingene jeg har sett!
Og så understreker domstolen (nok en gang) at en forutsetning for å kunne påberope seg berettigede interesser som behandlingsgrunnlag, er at den registrerte er informert etter GDPR art. 13(1). Og den syndes det nok mye imot!
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 18.05.25 kl. 11.30.
Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62023CJ0394
Vi leser dommer om personvern
Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR.
Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser.
Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll.
I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter.
Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder.
EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon.
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30.
Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151
