Franske tilsynsmyndigheter har ilagt en betydelig sanksjon etter en langvarig personvernetterforskning knyttet til Deezer-brukerdata. Boten etter Deezer-databruddet viser hvordan databehandlere forblir fullt ansvarlige under GDPR, selv etter at kommersielle samarbeid er avsluttet. Myndighetene fant at et reklamefirma beholdt og gjenbrukte millioner av poster uten tillatelse, noe som avdekket alvorlige mangler i etterlevelsen.
Bakgrunn for Deezer-datahendelsen
Saken kan spores tilbake til en sikkerhetshendelse som rammet Deezer-brukere i stor skala. Personopplysninger knyttet til titalls millioner kontoer ble eksponert etter mangelfulle rutiner for databehandling hos en tredjepartsleverandør.
Selv om reklamefirmaet ikke lenger samarbeidet med Deezer, fortsatte det å lagre brukeropplysninger. Denne beslutningen økte risikoen for uautorisert tilgang og bidro til slutt til dataeksponeringen.
Tilsynsmyndighetene fastslo at selskapet burde ha slettet opplysningene da kontrakten opphørte. Å beholde dem tjente ikke noe lovlig formål og brøt med grunnleggende personvernprinsipper.
GDPR-brudd identifisert av tilsynsmyndighetene
Det franske datatilsynet identifiserte flere brudd på GDPR-forpliktelsene under etterforskningen.
Selskapet beholdt brukerdata lenge etter at de ikke lenger var nødvendige. Dette brøt med kravene om dataminimering og lagringsbegrensning.
Etterforskerne fant også at selskapet gjenbrukte dataene internt. Dette skjedde uten klare instruksjoner eller rettslig grunnlag for behandlingen.
I tillegg klarte selskapet ikke å føre tilfredsstillende oversikt over sine behandlingsaktiviteter. Dette gjorde tilsyn vanskelig og viste manglende interne kontrollrutiner.
Hvorfor boten på 1 million euro er viktig
Boten etter Deezer-databruddet sender et tydelig signal til databehandlere som opererer i Europa. Selskaper kan ikke behandle brukerdata som gjenbrukbare ressurser etter at et samarbeid er avsluttet.
Tilsynsmyndighetene tok hensyn til datamengden og varigheten av overtredelsene. Millioner av brukere forble berørt over en lengre periode.
Myndighetene understreket også at databehandlere deler ansvar med behandlingsansvarlige. Outsourcing reduserer ikke de juridiske forpliktelsene etter GDPR.
Bredere konsekvenser for databehandlingspraksis
Saken forsterker tilsynsmyndighetenes økende fokus på tredjepartsleverandører. Virksomheter er i økende grad avhengige av eksterne aktører, men ansvaret overføres ikke automatisk med tilgangen.
Selskaper må sikre at samarbeidspartnere følger strenge sletterutiner. De må også regelmessig kontrollere etterlevelse i stedet for å stole utelukkende på kontraktsvilkår.
Manglende håndheving av slike tiltak skaper langsiktige juridiske og omdømmemessige risikoer.
Konklusjon
Boten etter Deezer-databruddet viser hvordan personvernmyndigheter fortsetter å håndheve GDPR med stadig større presisjon. Å beholde og gjenbruke personopplysninger uten tillatelse er et alvorlig brudd, uavhengig av hensikt. For både databehandlere og behandlingsansvarlige er strenge sletterutiner, dokumentert behandling og kontinuerlig tilsyn ikke lenger valgfritt. Det er avgjørende for etterlevelse i dagens regulatoriske miljø.
0 responses to “Deezer-databrudd gir reklamebyrå bot på 1 million euro”