Datatilsynet har polisanmält PrivatBo AmbA och rekommenderar böter på 150 000 danska kronor för brott mot artikel 32 i dataskyddsförordningen (”GDPR”).
Av beslutet framgår att PrivatBo, som förvaltningsbolag, bistått en bostadsfond med en planerad försäljning av tre fastigheter. Inför försäljningen tillhandahöll PrivateBo material för de aktuella fastigheterna. Materialet delades ut till de boende i de aktuella fastigheterna på sammanlagt 424 USB-minnen. PrivatBo kände dock inte till att några av de hyresavtal som lämnats över hade bilagor som innehöll personuppgifter av konfidentiell natur och som inte borde ha lämnats ut.
Datatilsynet ansåg att PrivatBo borde ha granskat materialet innan det överlämnats. I sammanhanget var Datatilsynet särskilt oroad över att det fanns en risk för att information av konfidentiell natur skulle lämnas ut till bland annat allmänheten, och att detta kan orsaka betydande obehag för de berörda hyresgästerna.
Mot bakgrund av det inträffade har Datatilsynet bedömt att PrivatBo inte har uppfyllt kraven på att implementera lämpliga tekniska och organisatoriska skyddsåtgärder enligt artikel 32 i GDPR. Med hänsyn till ärendets art har Datatilsynet valt att polisanmäla PrivatBo för oavsiktligt utlämnande av personuppgifter som inträffat som en del av utlämnandet av de 424 USB-minnena.
Därutöver uttryckte Datatilsynet allvarlig kritik mot PrivatBo då förvaltningsbolaget, i samband med överlämningen av material, oavsiktligt tillhandahållit en förteckning över insättningar och förbetalda hyror, och i vissa fall uppgifter om deponering, till boende i en annan fastighet än de som var föremål för skyldigheten i fråga. Det oavsiktliga utlämnandet av denna information ägde rum trots att PrivatBo hade anlitat ett externt revisionsföretag för att säkerställa materialets kvalitet.