Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR.
Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser.
Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll.
I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter.
Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder.
EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon.
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30.
Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151
All content for Vi leser dommer om personvern is the property of Thorsrud Rådgivning AS and is served directly from their servers
with no modification, redirects, or rehosting. The podcast is not affiliated with or endorsed by Podjoint in any way.
Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR.
Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser.
Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll.
I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter.
Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder.
EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon.
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30.
Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151
Vi leser C 621/22 KNLTB om det er greit å bruke berettigede interesser når du selger personopplysninger til tredjeparter for markedsføringsformål
Vi leser dommer om personvern
39 minutes 10 seconds
6 months ago
Vi leser C 621/22 KNLTB om det er greit å bruke berettigede interesser når du selger personopplysninger til tredjeparter for markedsføringsformål
C-621/22 KNLTB handlet om en nederlandsk tennisforening, som solgte personopplysningene til medlemmer til tredjeparter for markedsføringsformål. Det var to tredjeparter: en som brukte personopplysningene til medlemmene for å tilby dem sportsrelaterte produkter, og en annen som reklamerte for pengespill.
Spørsmålet var om betettigede interesser kunne brukes som hjemmel.
Selv om EU-domstolen ikke konkluderer, inneholder dommen en rekke føringer:
- Berettigede interesser kan bare brukes som behandlingsgrunnlag hvis behandlingen ikke kan oppnås på mindre inngripende måter (mindre inngripende for personvernet). Dette gjelder også valg av behandlingsgrunnlag.
- Berettigede interesser kan bare brukes som behandlingsgrunnlag hvis behandlingsansvarlig også overholder øvrige krav til personvern i GDPR. Her hadde ikke behandlingsansvarlig informert om behandlingen.
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 04.05.25 kl. 11.30.
Du finner dommen her: https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:62022CJ0621
Vi leser dommer om personvern
Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR.
Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser.
Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll.
I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter.
Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder.
EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon.
Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30.
Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151
