Brudd på GDPR og hva bør man gjøre

[Nysjerrig]

Hei, dette er første posten min her på forumet, og jeg vil prøve å holde det så anonymt som mulig, men jeg har spørsmål rundt hva man bør gjøre når en bedrift klusser det til og videresende personopplysninger til en 3. part uten ditt samtykke.


Det ble sendt litt private meldinger på et forum frem og tilbake mellom meg og en administrator der jeg tok opp en sak jeg følte meg urettmessig behandlet i. I meldingene var det opplysninger som knyttet meg som person opp til brukeren jeg var logget inn som. Personen som representerte firma videresendte så hele denne diskusjonen (som inneholdt personopplysninger) til en utenforstående 3. person (en annen forumbruker uten tilknytning til samtalen eller firma deres). Jeg snakket med firma sin GDPR avdeling på chat og fikk jeg beskjed om at det var en glipp fra deres side og at de skal forbedre rutinene. Jeg vet ikke helt om dette er en "ok" resolusjon, eller om jeg burde rapportere saken til Datatilsynet eller noe slik? Den som mottok chatten vår som ble videresendt kan tross alt nå knytte alle mine uttalelser på forumet opp til meg som person...

Hva burde man egentlig gjøre i en slik situasjon, og "holder" det at selskapet bare forbedrer rutiner?

Hvis det trengs flere detaljer for å svare på det så kan jeg evt legge til detaljer på pm.

Takk for svar.

Endret 13. mars 2019 av Nysjerrig

[papa_m]

Dersom det er en glipp (brudd på personopplysningssikkerheten) skal det meldes til datatilsynet av firmaet dersom det er trolig at glippen vil føre til en risiko for dine rettigheter og friheter. Hvorvidt det er en sånn risiko i dette tilfellet blir umulig å si, men du kan lese om hva datatilsynet skriver om "rettigheter og friheter" under.

 

Du har uansett en rett til å klage til datatilsynet dersom du føler firmaet har brutt GDPR etter art. 77. Hvordan ser du her: https://www.datatilsynet.no/om-datatilsynet/kontakt-oss/hvordan-kan-jeg-klage-til-datatilsynet/ 

 

 

 

Med ivaretagelse av «rettigheter og friheter» menes det at de registrertes rettigheter i henhold til forordningens artikler 12-22 og andre grunnleggende friheter (privatliv, kommunikasjonsvern, personvern, ytringsfrihet, religionsfrihet, retten til å organisere seg, retten til ikke å bli diskriminert osv.) som følger av blant annet den europeiske menneskerettighetskonvensjon (EMK), FNs konvensjoner om henholdsvis sivile og politiske rettigheter (SP), og økonomiske, sosiale og kulturelle rettigheter (ØSK) skal overholdes. 

Datatilsynet, https://www.datatilsynet.no/regelverk-og-verktoy/veiledere/vurdering-av-personvernkonsekvenser/risikovurdering/

[Catus]

Hvis du sender inn en klage til datatilsynet, så krev også at alle opplysninger de har om deg er begrenses i henhold til artikkel 18, før evt sletting eller avgjørelse av datatilsynet.