Datatilsynet undersøger virksomhed efter sag om salg af data

Jurist og it-sikkerhedsspecialist i Datatilsynet Allan Frank fortæller, at Datatilsynet vil kigge nærmere på om reglerne overholdes hos en virksomhed, der har været i fokus efter afsløringer på TV2. Illustration: Datatilsynet
Efter afsløringer på TV2 om salg af detaljerede data om borgere i Danmark, påbegynder Datatilsynet nu en sag mod virksomheden bag salget.

Folkene hos Datatilsynet har taget luppen frem for at kigge nærmere på, hvorvidt virksomheden Huq Industries lever op til persondataforordningen.

Det skriver tilsynet på sin hjemmeside.

Undersøgelsen er påbegyndt, efter TV2 har beskrevet, hvordan man med data købt hos virksomheden kan lokalisere, hvor personer bor, nyder fritiden i sommerhuset eller foretager deres dagligvareindkøb.

Læs også: Forbrugerrådet: Salg af lokationsoplysninger er ulovligt

De købte data stammer fra applikationer på borgernes telefoner, hvor borgerne selv har accepteret betingelserne - men nu vil Datatilsynet altså kigge nærmere på det samtykke, som borgerne efter sigende har afgivet.

»Vi vil gerne finde ud af, om der er et lovligt grundlag for den behandling af personoplysninger, der foregår hos Huq. Og hvis grundlaget for behandlingen er samtykke, vil vi se nærmere på, om der er tale om et gyldigt samtykke - herunder om borgerne har fået information, der gør dem i stand til at overskue rækkevidden af at acceptere betingelserne,« udtaler jurist og it-sikkerhedsspecialist i Datatilsynet Allan Frank.

Sagen er en såkaldt 'egendriftssag', hvilket betyder, at Datatilsynet selv har valgt at påbegynde undersøgelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Kim Jensen

Sagen er en såkaldt 'egendriftssag', hvilket betyder, at Datatilsynet selv har valgt at påbegynde undersøgelsen.

Wow en styrelse der begynder at ta ansvare, lad os håbe det ikke blive en enlig svale, thumbs up

  • 12
  • 0
#8 Niels Danielsen

GDPR gælder for alle virksomheder der indsamler data om personer der opholder sig i EU. Det er underordnet hvor virksomheden eller personen er hjemhørende.

Det er ligegyldigt, Datatilsyn, og EU domstol kan ikke forhindre dette. Vi kan nok forhindre at data bliver brugt, og solgt i EU, men vi kan ikke forhindre at at såkaldt 'annonymiserede data' bliver deannonymiseret uden for EU. Nets udlevere et hash af dankort kort nummer til alle erhvervsdrivende der gerne vil aflevere hvad kunden har købt til storebox. Store box får information om køb, og butiks kæderne får en cookie således at de kan spore kunden rundt mellem butikkerne . Hvis man kombinere dette med mobil tracking, kan man matche mobiltelefonen efter nogle besøg i butikker. Man kan også matche andre mobiltelefon informationer som WLAN MAC addresse, BlueTooth navn, WLANs man har været koblet op imod etc. Ved at se addrese hvor mobiltelefonen overnatter, kan man på krak få nogle mulige navne. Ved at se hvor telefonen er i dagtimerne kan man gætte hvor vedkommende arbejder. Ved at kombinere dette med linkedIn kan se om nogle af navnene på hjemme adressen matcher med medarbejdere i det pågældende firma. og få navn og måske et billede af vedkommende.

SSI kan også godt lide at sælge 'annonyminiserede' data til 'forskning' i udlandet. Her kan man se at patient 47 har besøgt klinikken for sjældne kønssygdome i sdr. nydelse på 3 specifikke datoer, og der igen er et match på en mobiltelefon. Det det betyder at når data forlader ECJ distriktion, så er der ikke længere nogen mulighed for at udøve kontrol med hvad data bruges til. Jeg kan ikke forså hvorfor f.eks. UK og Indien stadig regnes for safe habour ang. GDPR.

  • 5
  • 0
Log ind eller Opret konto for at kommentere