Danmark: Nuuday får allvarlig kritik för otillåten inhämtning av personnummer

Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Nuuday A/S behandling av personuppgifter inte har skett i enlighet med reglerna i 11 § dataskyddslagen samt artiklarna 12.2 och 15 i dataskyddsförordningen (GDPR).

Av beslutet framgår bland annat att Datatilsynet tagit emot ett klagomål från en registrerad avseende Nuudays behandling av personuppgifter. Klagomålet kom efter att den registrerade ringt Nuuday för att höra om det gick att få bredband på hans adress. I detta sammanhang ombads den registrerade att uppge sitt personnummer. Därefter kontaktade den registrerade Nuuday via e-post och begärde svar på varför och på vilken grund företaget hade samlat in hans personnummer. I samma veva begärde den registrerade tillgång till den information som företaget behandlade om honom. Den registrerade fick dock ett slutgiltigt svar på sin begäran om tillgång först drygt ett halvår efter det att begäran gjordes.

I samband med Datatilsynets utredning av ärendet medgav Nuuday att bolaget varken hade ett syfte eller laglig grund för att samla in den registrerades personnummer och att den registrerade inte heller hade fått tillgång till sina personuppgifter i rätt tid. Anledningen till att den registrerade ombetts att uppge sitt personnummer var ett fel från en anställd på Nuuday.

På grundval av vad som anförts i målet utgår Datatilsynet från att Nuuday inte haft befogenhet att hämta ut den registrerades personnummer genom telefonsamtalet den 4 december 2020, eftersom Nuuday själv har erkänt detta. Datatilsynet finner därför att Nuudays behandling av den registrerades personnummer skett i strid med 11 § dataskyddslagen.

Datatilsynet utgår vidare från att Nuuday svarat på den registrerades begäran om tillgång daterad den 5 december 2020 först den 3 maj 2021. Svaret innehöll dock inte all information eftersom Nuuday behandlat vidare information om den registrerade. Mot denna bakgrund finner Datatilsynet att Nuudays svar på klagandens begäran om tillgång inte skett i enlighet med artiklarna 12.1 och 15 GDPR.

Sammantaget finner Datatilsynet anledning att uttrycka allvarlig kritik mot Nuuday eftersom företaget omotiverat samlat in uppgifter om den registrerades personnummer, och även svarat på en begäran om tillgång från den registrerade för sent.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 12 GDPR, art. 15 GDPR

Sanktionsavgift: N/A

Mottagare: Nuuday A/S

Beslutsnummer: 2020-31-4333

Beslutsdatum: 2022-02-16

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.