Tech-juridisk præcedens: GDPR-dom tvinger fagforening til at betale 10.000 kr.

Datatilsynet har længe truet virksomheder og organisationer med, at GDPR-overtrædelser kan have reelle konsekvenser. Nu har en dansk byret vist, at det altså ikke er en tom trussel.

Byretten i Esbjerg har tilkendt en kvinde 10.000 kroner i erstatning, efter fagforeningen Det Faglige Hus ulovligt brugte hendes CPR-nummer til at registrere hende som medlem – uden at hun havde givet sit samtykke. Det skriver Ingeniørens ComplianceTech.

Hvad gik galt rent teknisk?

I teknisk forstand er sagen et klassisk eksempel på svag adgangskontrol og mangelfulde valideringsprocesser. Hendes CPR-nummer blev tilsyneladende indsendt til fagforeningens system uden nogen form for verifikation af, om hun faktisk var den, der afgav oplysningerne.

Det er netop sådanne processer, GDPR stiller krav om. Ifølge forordningen skal behandling af personoplysninger have et klart, lovligt grundlag – og det var her, fagforeningen fejlede.

Første af sin slags

Dommen er beskrevet som en af de første af sin art, når det gælder immaterielle erstatninger for GDPR-brud i Danmark. Det er ikke bare bøder til organisationen – det er konkrete penge til det individ, der har fået sine rettigheder krænket.

For tech-branchen og alle virksomheder, der behandler personoplysninger, sender dommen et klart signal: GDPR er ikke bare et compliance-dokument, der samler støv. Det er en reel juridisk ramme med økonomi bag sig.

Hvad bør du gøre?

Hvis du arbejder med systemer, der håndterer brugerdata og tilmeldingsprocesser, er det nu et godt tidspunkt at gennemgå dine flowvalidering, dobbelt-opt-in processer og rettighedsgrundlag for databehandling.