Inte inventera ostrukturerad data. Pris: 155 000 000 kronor

Inte inventera ostrukturerad data. Pris: 155 000 000 kronor

Så har då det vi alla väntat på slutligen skett. Berliner Beauftragte für Datenschutz und Informationsfreiheit, Berlin DPA, har utdömt ett vite på 155 miljoner kronor till Deutsche Wohnen SE för brott mot GDPR i sin ostrukturerade data.

Deutsche Wohnen SE är ett fastighetsbolag som brutit mot GDPR genom att upprätta en lagringslösning innehållandes personuppgifter som inte tillät gallring av personuppgifter när de inte längre ska hanteras.

Den arkiveringslösning man kritiserar är vad som ibland kallas en data-lake av ostrukturerad data, innehållandes en uppsjö av olika filer såsom lönebesked, ifyllda formulär, utdrag från anställningskontrakt och utbildningsbevis, skatteinformation, försäkringsinformation och bankkontoutdrag.

Vid en revision i mars 2019 av Berlins DPA fann man att Deutsche Wohnen SE inte kunde uppvisa en förmåga att effektivt rensa sin data på personuppgifter, samt att den legala grunden för lagringen av varje dokument saknades.

Vitet utdöms trots att Berlins DPA inte kunnat bevisa att någon data olagligen har accessats, eller röjts till tredje part.

Istället konstaterar Berlins DPA att lagring av personuppgifter, utan möjlighet att gallra bort dem, eller kunna uppvisa legal grund för hanteringen, utgör ett allvarligt brott mot både principen om dataskydd via design i artikel 25 och de generella principerna i artikel 5.

Att lagra personuppgifter i ostrukturerad data, utan varken dokumentation eller möjlighet att radera dem, är en brist mot tekniska och organisatoriska åtgärder, och leder till brott mot principerna om dataminimering och lagringsminimering.

Vitet utgör 2% av Deutsche Wohnen SEs globala årliga omsättning, och Berlins DPA har sett det som extra graverande att företaget medvetet satt upp strukturen för fillagring, samt att den använts en längre tid.

Som förmildrande omständigheter såg man att Deutsche Wohnen SE faktiskt försökt vidtagit åtgärder, men misslyckats, samt att man varit samarbetsvillig mot Berlins DPA.

Maja Smoltczyk, chef för Berlins DPA, skriver i ett pressmeddelande:

”Tyvärr, när vi gör tillsyn, så hittar vi ofta ”datakyrkogårdar” som de vi fann hos Deutsche Wohnen SE. Den presumtivt enormt skadliga naturen av ett sådant brott kommer tyvärr nästan bara till vår kännedom när det leder till otillbörlig access till datan, till exempel vid cyberattacker.

Men även utan sådana allvarliga konsekvenser, så handlar detta om ett grovt brott mot principerna kring dataskydd, vars syfte är att skydda de registrerade från exakt sådana risker. Det är tillfredsställande att lagstiftaren har gett möjligheter till sanktioner mot sådana strukturella brister mot GPDR innan ett worst-case scenario inträffar.

Jag rekommenderar alla organisationer som hanterar personuppgifter att granska sina lagringsytor för följsamhet mot GDPR.”   

Maja Smoltczyk, chef för Berlins DPA

Det förtjänas att upprepas.

Följsamhet mot GDPR i ostrukturerad data kan bara uppnås genom att genomföra en dataskyddsinventering, och nivån på vitet från Berlins DPA visar att slarv med inventering och dokumentation av den ostrukturerade datan är att anse som ett grovt brott mot GDPRs principer, alldeles oavsett om otillbörlig åtkomst kan bevisas eller inte.

Nu vet vi dessutom vad sådant slarv kostar.  

https://www.datenschutz-berlin.de/fileadmin/user_upload/pdf/pressemitteilungen/2019/20191105-PM-Bussgeld_DW.pdf