Efter GDPR-overtrædelse: Datatilsynet udsteder forbud til TDC

Illustration: TDC
TDC forbydes at optage telefonsamtaler, indtil de har en løsning, der kan leve op til databeskyttelsesforordningen, lyder det fra Datatilsynet.

TDC får »alvorlig kritik« fra Datatilsynet i en ny afgørelse, hvor myndigheden samtidig giver et midlertidigt forbud til TDC mod at optage telefonsamtaler.

Det oplyser Datatilsynet i en pressemeddelelse.

Afgørelsen kommer på baggrund af en kundeklage om, at TDCs datterselskab YouSee har optaget en telefonsamtale mellem kunden og virksomhedens kundekonsulenter, uden at der var givet samtykke til optagelsen.

Læs også: Datatilsynet politianmelder og indstiller til første GDPR-bøde - mod et taxiselskab

Datatilsynet udtaler kritik af TDC, fordi der ikke var nogen omstændigheder, der kunne begrunde, at man ikke holdt sig til den normale praksis om, at der skal være samtykke, før der kan optages eller lagres telefonsamtaler til uddannelse.

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at TDC A/S’ behandling af personoplysninger om klager ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 6, stk. 1,« skriver Datatilsynet i afgørelsen.

Læs også: Datatilsynet: Erhvervsstyrelsen har ulovligt offentliggjort følsomme personoplysninger

På baggrund af TDCs svar i sagen har Datatilsynet desuden vurderet, at det på nuværende tidspunkt ikke er teknisk muligt for TDC at indhente samtykke fra de personer, som er i kontakt med virksomheden.

Af den årsag har Datatilsynet givet TDC forbud mod at telefonsamtaler, indtil de finder en løsning, der kan leve op til databeskyttelsesforordningens regler.

»Det meddelte forbud indebærer, at TDC A/S inden 2 uger fra dags dato skal ophøre med at optage telefonsamtaler til internt træningsbrug, indtil en teknisk løsning, som gør det muligt at indhente et samtykke i overensstemmelse med databeskyttelsesreglerne, er tilvejebragt,« lyder det i afgørelsen, der blev truffet den 8. april.

Læs også: Alvorlig kritik fra Datatilsynet: Kriminalforsorgen slækkede på krav om dataansvar, oplysningspligt og indsigtsret

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (35)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Bjarne Nielsen

Jeg var for nogen tid siden til en undersøgelse, og da jeg kommer ind i undersøgelseslokalet er der to personer. Jeg bliver høfligt spurgt, om det er i orden, at person nr. 2, som er en ung læge under uddannelse, lytter med? Selvfølgelig, når der nu bliver spurgt så pænt.

Efter et stykke tid bliver jeg endda spurgt, om det er OK, hvis undersøgelsen tager lidt længere tid, for der er var lige noget interessant, som han gerne ville lære den anden om. Selvfølgelig, når der nu bliver spurgt så pænt (og fordi at jeg pludselig følte mig som noget specielt!).

Hvorfor er det, at når man kan "være med på en lytter" i det skjulte, så mener man ikke at det skulle være nødvendigt at spørge? Hvis der havde været tale om fysisk tilstedeværelse, så ville man naturligvis have spurgt, men ikke når det sker i det skjulte? Jeg forstår det ikke. Netop når det kan ske i det skjulte, er der behov for at gøre opmærksom på det.

Hvorfor kan TDC og andre ikke selv regne det ud? Og hvorfor skal vi have en lov for i det hele taget at få dem til at opføre sig anstændigt?

... og det gælder næppe kun TDC - jeg kan godt komme i tanke om adskillige andre eksempler.

  • 23
  • 1
Bjarne Nielsen

Hvordan er det skjult, når man inden samtalen starter får af vide af samtalen bliver optaget ?

Det aspekt lagde jeg ikke mærke til i første omgang, og det fremgår så vidt jeg kan se heller ikke af pressemeddelelse eller resume, men det skal TDC så have; de advarer i modsætning til andre om, hvad de har tænkt sig.

Det gjorde så ikke nogen forskel for TDC, der skal netop spørges. Og det var faktisk også, hvad jeg havde forventet.

Og for en god ordens skyld, "at spørge" inkluderer at man rent faktisk lytter til svaret og har i sinde at respektere det.

  • 6
  • 0
Hans Nielsen

Andre steder man ringer til er der netop en mulighed for at trykke nej. Så løsningen findes.


Der skal måske også skælnes, men når de siger at begrundelsen for at optage, er dokumentation af en indgået aftale.

Så kan man jo vente med at optage, til denne aftale skal ingåes, og når man indgår den , kan sælge jo høre om han vil acepteret den mundeligt, med optagelse. Eller om han vil modtage, og underskive en aftale.

"
og efter man har trykket nej, får man at vide “ vi har desværre ikke mulighed for at hjælpe dig telefonisk, henvend dig venligst i nærmeste butik”
"

Men er det ikke i sig selv uloveligt, at afvise adgang - uden at man skal aceptere at blive optaget.

  • 3
  • 0
Tonni Lutze

Problemer handler jo i virkeligheden ikke om hvorvidt de optager samtalerne eller ej.
Lovgivningen er udformet på en måde der gør at de kan optage samtalerne blot at der er én af parterne i samtalen er er klar over at det sker, den ene part må sådan set gerne være supporteren/operatøren.
At de oplyser om det er sådan set bare en høflighed - ikke et krav.

Ærligt talt tror jeg en del af årsagen til optagelserne består i at det ikke sjældent sker at de ansatte bliver talt til på en ubehagelig måde. hvis personen i den anden ende ved (eller tror) der bliver optaget er de mindre tilbøjelige til at opføre sig dårligt.

Næh .. problemet er hvad indholdet i disse optagne samtaler er, og hvordan de opbevares. Og hvis de gældende regler ikke overholdes er det problematisk.

  • 1
  • 0
Jacob Larsen

Lovgivningen er udformet på en måde der gør at de kan optage samtalerne blot at der er én af parterne i samtalen er er klar over at det sker


Det er der nok en lov der siger. Men de fleste af sådanne samtaler indeholder ting der falder under GDPR. Derfor kommer der nu også et ekstra krav om eksplicit samtykke før optagelse. Det er der nogen der følger og andre der ikke gør.

  • 0
  • 0
Povl Hansen

Det er der nok en lov der siger. Men de fleste af sådanne samtaler indeholder ting der falder under GDPR. Derfor kommer der nu også et ekstra krav om eksplicit samtykke før optagelse.

Netop derfor skal der være en stemme der siger - Grundet GDPR skal vi bede om lov til at optage denne samtale,
Tryk 1 for Ja,
Tryk 2 for Nej

Hvis man har trykket nej, får man at vide “ vi har desværre ikke mulighed for at hjælpe dig telefonisk, henvend dig venligst i nærmeste butik”

  • 0
  • 0
Hans Nielsen

Netop derfor skal der være en stemme der siger - Grundet GDPR skal vi bede om lov til at optage denne samtale,
Tryk 1 for Ja,
Tryk 2 for Nej

Hvis man har trykket nej, får man at vide “ vi har desværre ikke mulighed for at hjælpe dig telefonisk, henvend dig venligst i nærmeste butik”

Og dine manglende mulighder for stadig at blive betjent, kan være en overtrædelse af GDPR. Ligesom du skal kunne tilgå en hjemmeside med information, selv om du nægter det at indsamle oplysninger om dig.

Hvis der ikke er en god grund til at optage samtalen, må de istedet bare lade være.
Udover at jo også skal give mulighed for. At man kan få en afskrift af samtalen, og at den kan bliver slettet.

Poul Hansen, jeg tror ikke du har forstået kravene i de nye GDPR regler ?

  • 1
  • 1
Bjarne Nielsen

Måske apropos, så har EDPB (1) en guideline i høring for tiden med den mundrette titel "Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects". Se mere her: https://edpb.europa.eu/our-work-tools/public-consultations/2019/guidelin...

I korthed går det ud på, at reglen om at databehandling kan ske, når det er nødvendigt for at "opfylde en kontrakt", ikke kan bruges til at lave samtykkefri databehandling ved at definere indholdet af "kontrakt" bredt nok. Det er kun det, som er objektivt nødvendigt for at gennemføre kontrakten, som kan omfattes, og ikke alt muligt andet, som bare giver forretningsmæssig værdi for den handlende.

Det er diskuteret her (på norsk): https://www.personvernbloggen.no/2019/04/15/ikke-mulig-a-omga-personvern...

Det er åbenbart affødt af at nogle aktører har været lidt for kreative med at skrive særregler til egen fordel ind i deres handelsbetingelser med henvisning til artikel 6(1)(b). Kontrakter skal mao. også "formålsminimeres".

Hvis man har en mening om Guidelines 2/2019, så kan man sende sine kommentarer til EDPB frem til 24. maj.

ad (1): EDPB er European Data Protection Board , og det er afløseren for Artikel 29 gruppen.

  • 1
  • 0
Povl Hansen

Og dine manglende mulighder for stadig at blive betjent, kan være en overtrædelse af GDPR.


Man bliver ikke afvist, man bliver bare henvist til hvor man kan få hjælp

Og for at sider som Netflix, Eboks, Netbank og Facebook virker kræver det at siden kan gemme information om hvilken konto du er logget ind som, så de ville ikke virke uden, og kan man ikke ændre på ligegyldigt hvad der måtte stå i GDPR

  • 0
  • 0
Hans Nielsen

, så de ville ikke virke uden, og kan man ikke ændre på ligegyldigt hvad der måtte stå i GDPR


Det viser vel bare, at både dig og facebook nok har misforstået GDPR.
Sidst nævte kan komme til at betale nolge milliarder i børder.

Når man har personoplysninger, og konti oplysninger, så kræver det bare endnu mere, for at overholde GDPR.

Jeg tror jeg må spørge igen, har du læst og forstået GPPR.
Sådan helt kort - EU mener at borgere har ret til egen personoplsyninger, og ingen kan tage ejer skab over dem. Desuden skal man, når har indhentet de oplysninger som KUN er nødvendigt, også passe på dem. De skal ikke betragte som en salgsvare, men som fortrolige opsysninger som man skal passe på. Kunden eller brugeren skal have adgang til det indsamlet, og kan kræve dem slettet. Det skal man også gøre selv, når de ikke længere er nødvendige.
Hvis man vil handle med, eller inden for EU, så er vil det være meget fornuftigt at forstår dette. Eller får man meget store børder.

"Bøderne understreger præcist, hvor vigtigt det er at have processerne for persondatabeskyttelse i orden – og ikke mindst at have styr på de tekniske foranstaltninger, der muliggør den beskyttelse. "

https://www.2ndc.dk/gdpr-6-maaneder-senere/

  • 0
  • 1
Jacob Larsen

Jamen så fortæl mig gerne hvordan skal Netbank virke hvis den ikke må gemme oplysninger om hvilken bruger der er logget ind ?


Lige netop her er der en information som ikke kræver samtykke. Behandling af oplysninger som direkte er en del af den service der bruges kræver ikke samtykke. Oplysningerne skal bare opbevares forsvarligt, må ikke bruges til andet, og skal slettes med det samme de ikke længere er relevante. Det er her samtykket kommer ind i billedet, og servicen skal stadig stilles til rådighed selvom samtykket trækkes tilbage/ikke gives. Det er den her der vil komme til at gøre ondt på Google og Facebook når de når til at lave sager mod dem.
Desuden gælder retten til indsigt og retten til berigtigelse af oplysningerne selvfølgelig stadig.

  • 1
  • 0
Jacob Larsen

Hvis man har trykket nej, får man at vide “ vi har desværre ikke mulighed for at hjælpe dig telefonisk, henvend dig venligst i nærmeste butik”


Ja og det er så her det stadig er i strid med GDPR. Der findes dog også steder hvor de godt kan finde ud af det, og respekterer et nej.

Dele af samtalen hvor der indgås en aftale kan muligvis optages uden samtykke, så længe det kun drejer síg om den præcise del. Kan i praksis gøres ved at starte optagelse mens man opsummerer aftalen og får det bekræftet. Alternativt må man jo forbi e-boks med sit NemID og skrive under.

  • 1
  • 0
Jacob Larsen

“Jamen så fortæl mig gerne hvordan skal Netbank virke hvis den ikke må gemme oplysninger om hvilken bruger der er logget ind ?”


Det var vist her du misforstod GDPR. Den må jo netop gerne gemme oplysninger om hvilken bruger der er logget ind, og alle andre oplysninger der skal til for at en service kan stilles til rådighed. Så længe disse oplysninger kun bruges til at stille denne service til rådighed så kræves der ikke samtykke. Men det gælder altså kun det strengt nødvendige for at stille servicen til rådighed.
Samtykket kommer først i spil hvis man vil bruge oplysningerne til andet, eller hvis man begynder at gemme mere end strengt nødvendigt.

Nu er Netbank dog en special case her, siden en anden grund til at der ikke skal samtykke til er hvis oplysningerne skal gemmes fordi det er bestemt ved lov. Og hvidvaskloven gør at der skal gemmes en del oplysninger om brugeren.

  • 2
  • 0
Jacob Larsen

Og for at sider som Netflix, Eboks, Netbank og Facebook virker kræver det at siden kan gemme information om hvilken konto du er logget ind som, så de ville ikke virke uden, og kan man ikke ændre på ligegyldigt hvad der måtte stå i GDPR


Prøver lige at gøre det mere konkret:
I dit Facebook eksempel kræver dit brugernavn og informationer du taster ind i din profil ikke samtykke så længe disse informationer kun bliver der, og vises efter de indstillinger du har sat. Det er den service der bliver stillet til rådighed, og her er informationerne en integreret del af servicen.

Samtykket kommer i spil når Facebook vil bruge informationerne i andre sammenhænge og kæde dem sammen med ting som de finder ud af dig ved at holde øje med dig gennem Facebook knapper osv.

  • 3
  • 0
Jens Madsen

For ikke længe siden ringede jeg til ferieinfo - og jeg mener, at jeg blev oplyst om, at telefonsamtalen blev optaget. Jeg havde ingen mulighed for at fravælge det, men fik at vide, at jeg var velkommen til at oplyse det til sagsbehandleren, hvis jeg ikke ønskede samtalen optaget.

  • 0
  • 0
Jens Madsen

Telefonsamtale optages altid
For ikke længe siden ringede jeg til ferieinfo - og jeg mener, at jeg blev oplyst om, at telefonsamtalen blev optaget. Jeg havde ingen mulighed for at fravælge det, men fik at vide, at jeg var velkommen til at oplyse det til sagsbehandleren, hvis jeg ikke ønskede samtalen optaget.


Jeg er blevet i tvivl om det var ferieinfo eller IDA - det er de eneste jeg har været i kontakt med. På grund af helligdage, kan jeg ikke ringe og lytte.

Mener, at der blev sagt, at samtalerne ALTID blev optaget, af hensyn til uddannelsesformål. Og ønsker du ikke samtalen brugt til uddannelsesformål, bedes du oplyse det i samtalen.

  • 0
  • 0
Bjarne Nielsen

Mener, at der blev sagt, at samtalerne ALTID blev optaget, af hensyn til uddannelsesformål. Og ønsker du ikke samtalen brugt til uddannelsesformål, bedes du oplyse det i samtalen.

Fantastisk logik. Præcist som at du ikke kan sige nej til at der bliver gemt en kopi af dit sekventierede genom i en central database (medmindre du helt afviser sundhedsvæsenets hjælp, og der er ikke mange af os, som er rige nok til at kunne søge alternativer) ... men du kan bede om, at de ikke bruger kopien til noget. Kopien bliver taget og gemt uanset.

Man kan også spørge sig selv, om det er nødvendigt at optage alle samtaler, for at få nok materiale til undervisningsbrug, eller om (væsentlig!) mindre kunne gøre det?

  • 2
  • 0
Hans Nielsen

Dele af samtalen hvor der indgås en aftale kan muligvis optages uden samtykke,


Har jeg oplevet ved STOFA (som jeg husker det ), men jeg blev oplyst af sægler. Det var endda før GDPR :-)

Hun hørte mig om det var i orden at hun optog den del, som dokumentation for aftalen. Da jeg fortalte at det var i orden.
Så lirret hun, oplysninger om at var indforstået med optagelse af igen, jeg skulle så sige ja. Derefter aftalen og igen et ja.

En fin måde at klare det på.

  • 0
  • 0
Hans Nielsen

Dit politiker svar kan ikke bruges til noget prøv igen


Tror det korte svar er. At du ikke forstår GDPR, og hvor vigtigt en forskeld det vil komme til at gøre, ikke kun i EU , men sikkert i hele verden.

Til dit forsvar.
Så har mange andre herunder også v2, dr, facebook og google nok heller ikke helt forstået det, eller ville forstår det.
Men nogle storre dummebørder skal nok få rettet op på det.

Desuden så savner vi også domme på området, så hvordan reglerne skal fortokles er heller ikke helt på plads

OG sefølgelige må google opbevarer dit bruger navn, og adgangskode, samt sætte en cokie på din PC, hvis du mail eller andet ved dem, og hvis de har hørt dig først. Men de skal også slette det hele, eller give dig indsigt i hvad de har gemt. hvis du beder om det.
Og de må ikke bede om kode, eller gemme noget fra din sesion, hvis du laver en annonym søgning på google. - Ved ikke, om de må gemme dine søge ord, men det må så ikke kobles med andet.

Vil overlade det andre, at prøve at trænge i gemmem til dig.
Hvis det her ikke virker, men prøver lige denne sidste gang.

Men jeg tror din manglede viden eller tror på hvordan GDPR virker, bunder i plejer, og det har vi altid gjort. Som er død efter GDPR

Men igen, du har ret i at at der stadig ikke erhelt styr på hvad man må og ikke må. Men jeg er ret sikkert på, og det er datatilsynet som er tilsynsførende på området også, at TDC ikke må optage samtaler, uden at oplyse om det, og man stadig skal have adgang til de samme service via telefon, hvis man ikke ønsker at blive optaget.

"Forordningen sætter et værn op om privatlivet på nettet – og stiller historisk skrappe krav til virksomheders håndtering af personhenførbare oplysninger. For eksempel ip-adresser, mailadresser og data om brugernes færden på nettet."

Prøv at læse dette link, og Jesper Lund kommentar.

  • 0
  • 0
Jens Madsen

Og de må ikke bede om kode, eller gemme noget fra din sesion, hvis du laver en annonym søgning på google. - Ved ikke, om de må gemme dine søge ord, men det må så ikke kobles med andet.


Jeg tror nok de gør det - hvis du laver et patent, så skal du passe på med at bruge google, for du risikerer at google foreslår dine søgeord til andre, og derved afslører patentets formål.

  • 0
  • 0
Hans Nielsen

Man aceptere at de må optage samtalen, til uddanelse brug.

Når man så i slutning af samtalen har fortrudt, og gerne vil trække sit samstykke tilbage, så beder man om det.

De vil så nok henvise til en eller andet afdeling, dem kontakter man så. Fortælle man har ringet fra dette telefonnummer, og har fortrudt at give samtykke til optagelse og andet. Man vil derfor bede om at få en udskrift af samtale på skrift. Og efterfølgende at få den slettet.

Hvis ikke, så klager man over manglende overholdelse af GDPR når fristen er overholdt. Hvis tilstrækkeligt mange gør det. Så bliver denne data insamling og høst alt for dyrt og besværligt.

Samsung Support og andre der bruger samme metode, skal sefølgeligt behandles på samme måde.

  • 0
  • 0
Log ind eller Opret konto for at kommentere