Franske tilsynsmyndigheder har udstedt en betydelig sanktion efter en langvarig undersøgelse af databeskyttelse med forbindelse til Deezer-brugerdata. Bøden efter Deezer-databruddet viser, hvordan databehandlere fortsat er fuldt ansvarlige under GDPR, selv efter at kommercielle samarbejder er afsluttet. Myndighederne fastslog, at et reklamefirma opbevarede og genbrugte millioner af poster uden tilladelse, hvilket afslørede alvorlige mangler i overholdelsen.
Baggrund for Deezer-datahændelsen
Sagen kan føres tilbage til en sikkerhedshændelse, der ramte Deezer-brugere i meget stor skala. Personoplysninger knyttet til titusinder af millioner af konti blev eksponeret efter mangelfulde procedurer for databehandling hos en tredjepartsleverandør.
Selvom reklamefirmaet ikke længere samarbejdede med Deezer, fortsatte det med at opbevare brugeroplysninger. Denne beslutning øgede risikoen for uautoriseret adgang og bidrog i sidste ende til dataeksponeringen.
Tilsynsmyndighederne fastslog, at virksomheden burde have slettet oplysningerne, da kontrakten ophørte. At beholde dem tjente intet lovligt formål og brød med grundlæggende databeskyttelsesprincipper.
GDPR-overtrædelser identificeret af myndighederne
Den franske databeskyttelsesmyndighed identificerede flere overtrædelser af GDPR-forpligtelserne under sin undersøgelse.
Virksomheden opbevarede brugerdata længe efter, at de ikke længere var nødvendige. Dette var i strid med kravene om dataminimering og opbevaringsbegrænsning.
Efterforskerne fandt også, at virksomheden genbrugte dataene internt. Det skete uden klare instruktioner eller et gyldigt retsgrundlag for behandlingen.
Derudover undlod virksomheden at føre fyldestgørende fortegnelser over sine databehandlingsaktiviteter. Dette vanskeliggjorde tilsynet og viste manglende interne kontrolforanstaltninger.
Hvorfor bøden på 1 million euro er vigtig
Bøden efter Deezer-databruddet sender et klart signal til databehandlere, der opererer i Europa. Virksomheder kan ikke betragte brugerdata som genanvendelige aktiver, når et samarbejde ophører.
Myndighederne tog hensyn til datamængden og varigheden af overtrædelserne. Millioner af brugere forblev berørt i en længere periode.
Tilsynsmyndigheden understregede også, at databehandlere deler ansvar med dataansvarlige. Outsourcing reducerer ikke de juridiske forpligtelser i henhold til GDPR.
Bredere konsekvenser for databehandlingspraksis
Sagen styrker myndighedernes voksende fokus på tredjepartsleverandører. Virksomheder er i stigende grad afhængige af eksterne aktører, men ansvaret følger ikke automatisk med adgangen.
Organisationer skal sikre, at samarbejdspartnere følger strenge sletterutiner. De skal også løbende kontrollere overholdelsen i stedet for udelukkende at stole på kontraktlige tilsagn.
Manglende håndhævelse af disse foranstaltninger skaber langsigtede juridiske og omdømmemæssige risici.
Konklusion
Bøden efter Deezer-databruddet viser, hvordan databeskyttelsesmyndigheder fortsætter med at håndhæve GDPR med stigende præcision. At opbevare og genbruge personoplysninger uden tilladelse udgør en alvorlig overtrædelse, uanset hensigt. For både databehandlere og dataansvarlige er strenge sletterutiner, dokumenteret behandling og løbende tilsyn ikke længere valgfrie. De er afgørende for overholdelse i det nuværende regulatoriske miljø.
0 svar til “Deezer-databrud udløser bøde på 1 million euro til reklamefirma”