Bisnode skal bruge otte millioner euro på porto efter GDPR-brud
– 36 gange mere end bøden
Bøde efter brud på GDPR: Virksomheden Bisnode har fået en bøde på 220.000 euro for brud på GDPR-reglerne i Polen.
Ud over at det er første bøde af sin slags i Polen, er det ikke i sig selv opsigtsvækkende. Det opsigtsvækkende er, at virksomheden er blevet pålagt at informere de seks millioner mennesker, som virksomheden ikke har informeret tilstrækkeligt om brugen af deres data – med gammeldags post. Det skriver TechCrunch.
Afgørelsen fra det polske datatilsyn vil ifølge virksomheden selv pådrage dem en udgift på otte millioner euro alene til porto. For ikke at tale om de øvrige udgifter ved at udsende de mange breve…
Har indsamlet data uden samtykke
Bisnodes forbrydelse i Polen går ud på, at de har indsamlet data fra offentligt tilgængelige kilder uden at informere dem om, hvis data det er. En adfærd, der strider imod artikel 14 i den europæiske persondataforordning. Virksomheden har fået tre måneders frist til at informere de krænkede.
TechCrunch refererer til polske medier for at skrive, at Bisnode vil tage afgørelsen i retten. Først det polske retssystem og hvis nødvendigt hele vejen til toppen ved EU-domstolen. De vil udfordre Artikel 14 på præcis, hvor meget arbejde der på rimelig vis kan pålægges virksomhederne i forbindelse med informationspligten. Artiklen har undtagelser, der taler om proportionalitet eller umulighed. Spørgsmålet er, om de undtagelser kan komme i spil her.
– Afgørelsen bliver set som meget radikal, da den tolker artikel 14 bogstaveligt, siger IT-sikkerhedsekspert Lukasz Olejnik til TechCrunch.
Ifølge ham har det polske datatilsyn taget en meget principiel afgørelse i sagen:
– De argumenterer med, at forretningsmodellen er baseret på data-høst, og at virksomheden har taget en aktiv beslutning. De argumenterer også med, at virksomheden var klar over forpligtelsen, eftersom de har kontaktet en del af personerne via e-mail.
Det er ikke ulovligt at indsamle data fra offentligt tilgængelige kilder, men man har pligt til at informere folk om blandt andet formålet. I dette tilfælde har Bisnode indsamlet data om iværksættere og virksomhedsejere, men har kun haft e-mail adresser på en meget lille del af dem.
Hovedparten – 5,7 millioner personer – hørte aldrig et ord
Bisnode har på den polske hjemmeside kommenteret, at de mener, at de anser det for ude af proportion at skulle kontakte 5,7 millioner virksomhedsejere eller andre ansatte via post eller telefon. De mener ligeledes, at digital kommunikation eller en generel information som en avisannonce er at foretrække for både afsender og modtager.
Udover at informere omkring 90.000 modtagere om, at Bisnode havde skrabet deres data, lavede Bisnode et opslag på sin hjemmeside. Sidstnævnte afvises klart af det polske datatilsyn som tilstrækkeligt med argumentet om, at det ville de pågældende aldrig kunne opdage af sig selv.
Ud af de 90.000 informerede valgte 12.000 i øvrigt at sige fra. TechCrunch har forsøgt at få en kommentar fra Bisnode til sagen.
Overhold GDPR med HR-ON
For HR-ON er sager om GDPR altid relevante. I forbindelse med rekruttering kommer virksomheder ikke uden om GDPR, da ansøgninger rummer en lang række oplysninger, der falder ind under reglerne.
Ved at bruge et rekrutteringssystem som HR-ON Recruit sikrer virksomhederne, at oplysningerne altid behandles i overensstemmelse med reglerne. Det betyder blandt andet, at virksomhederne altid vil kunne dokumentere, hvordan data er behandlet.