GDPR - Mails på kunder sendt til alle kunder

Hej.

Jeg arbejder i en lille virksomhed, hvor vi sendte et nyhedsbrev til alle vores privatkunder (ca. 200).

Ved en fejl satte vores medarbejder alle e-mailadresser i cc i stedet for bcc. Så alle kunder kunne se e-mail på de andre kunder.

Vi har fået et par sure mails og opkald. Hvor bekymret skal vi være?

Skal det anmeldes som databrud til styrelsen?

Umiddelbart vurderer jeg det ikke til at have betydning for enkeltpersoners rettigheder, så tænker ikke det skal indberettes: https://itb.dk/news/hvordan-skal-du-reagere-ved-databrud

Mit umiddelbare svar vil være ja ! 

Men selvfølgelig - havde du været det offentlige og leveret en CD fuld af IKKE-krypterede personnumre af alle danskere INKLUSIV helbredsoplysninger til  den Kinesiske ambassade... Ik' noget' problem med konsekvenser af nogen art s.v. jeg ved :)

https://ekstrabladet.dk/nyheder/samfund/5282616-cpr-numre-laekket-til-kinesisk-virksomhed/6197291

Andre sager er trivselsmålinger, ulovlig logning osv.

...

Der er en kæmpe dobbeltstandard i forhold til det offentlige og private virkomsheder. Undskyld for det lidt sure off-topic opstød - men IMO den langt største synder i frohold til farlige læk af person følsommme data er staten.

wannooks skrev:

Men selvfølgelig - havde du været det offentlige og leveret en CD fuld af IKKE-krypterede personnumre af alle danskere INKLUSIV helbredsoplysninger til  den Kinesiske ambassade... Ik' noget' problem med konsekvenser af nogen art s.v. jeg ved :)

https://ekstrabladet.dk/nyheder/samfund/5282616-cpr-numre-laekket-til-kinesisk-virksomhed/6197291

Andre sager er trivselsmålinger, ulovlig logning osv.

 

...

 

Der er en kæmpe dobbeltstandard i forhold til det offentlige og private virkomsheder. Undskyld for det lidt sure off-topic opstød - men IMO den langt største synder i frohold til farlige læk af person følsommme data er staten.

 

 

 

Har intet med sagen at gøre, der er tale om et data breach som kræver indberetning.

Floistrup skrev:

 

Har intet med sagen at gøre, der er tale om et data breach som kræver indberetning.

Som jeg også eksplicit skrev - jeg beklagde jeg gik offtopic med en rant mod det offentlige som (efter mind mening) lader hånt om loven til højre og venstre og som umiddelbart må anses som en langt større synder end fx Facebook  når det kommer til håndtering af personfølsomme oplysninger :)

Men du har ret i at bekræfe det jeg skrev - at det var offtopic :)

Tror det er bedre at indberette for meget end for lidt. De drukner alligevel i sager derinde så mon ikke det går under bagatelgrænsen i fald det er et brud på GDPR.

Jeg havde klart fået det indberettet. 

DanM skrev:

Hej.

 

Jeg arbejder i en lille virksomhed, hvor vi sendte et nyhedsbrev til alle vores privatkunder (ca. 200).

Ved en fejl satte vores medarbejder alle e-mailadresser i cc i stedet for bcc. Så alle kunder kunne se e-mail på de andre kunder.

 

Vi har fået et par sure mails og opkald. Hvor bekymret skal vi være?

Skal det anmeldes som databrud til styrelsen?

Umiddelbart vurderer jeg det ikke til at have betydning for enkeltpersoners rettigheder, så tænker ikke det skal indberettes: https://itb.dk/news/hvordan-skal-du-reagere-ved-databrud

Det bør/skal indberettes imo.

Usandsynligt, jf. databeskyttelsesforordningens art. 33, stk. 1, 1. pkt., skal imo forstås som at der er 0 risiko - som i helt sikkert - for at det indebærer en risiko for de registrerede. Det vil formentligt sjældent være tilfældet at du som dataansvarlig kan lave den vurdering. 

Derudover kan sanktionen blive hårdere end den ellers ville være, hvis Datatilsynet får nys om det, og de mener, at du skulle have have anmeldt det. Overtrædelse af art. 33 sanktioneres selvstændigt med op til 10 mio. EUR eller 2% af omsætningen i bøde. Ikke at du kommer i nærheden af det, men det er næsten en gratis omgang bare at shippe den anmeldelse til DT, da det er nok heller ikke helt usandsynligt at en af dem der har brokket sig gør det og så har du balladen. 

Du får dog højest en løftet pegefinder vil jeg tro.

Det vil være helt urimeligt hvis det er andet end en løftet pegefinger.... Hvis noge burde de være ros for at indberette det.

En anden ting er dog så... OP: I burde helt sikkert få en mere prof email løsning hvor i også kan dokumentere samtykket. Måske i skulle benytte lejligheden til undskylde for det skete og så bede dem rykke over på fx MailChimp med henvisning til at undgå fremtidige fejl (og i virkeligheden får i så også løst dokumenteret samtykke)

Kan man identificere personer ud fra en mailadresse? Hvis ikke er der vel ikke tale om databrud eller hvad?

Måske kan man identificere personer, der har en mailadresse a la [email protected] osv.

wannooks skrev:

Det vil være helt urimeligt hvis det er andet end en løftet pegefinger.... Hvis noge burde de være ros for at indberette det.

 

En anden ting er dog så... OP: I burde helt sikkert få en mere prof email løsning hvor i også kan dokumentere samtykket. Måske i skulle benytte lejligheden til undskylde for det skete og så bede dem rykke over på fx MailChimp med henvisning til at undgå fremtidige fejl (og i virkeligheden får i så også løst dokumenteret samtykke)

Tja - jeg tror som sagt ikke det bliver til mere end det, men dataansvarlige - private og offentlige - skal bare begynde at behandle folks oplysninger med respekt og det er åbenbart kun sanktioner der kan få det til at sive ind. Den er egentlig ikke så meget længere imo... 

kaj666 skrev:

Kan man identificere personer ud fra en mailadresse? Hvis ikke er der vel ikke tale om databrud eller hvad?

Måske kan man identificere personer, der har en mailadresse a la [email protected] osv.

Ja det er en personhenfør oplysning, da ejerne af emailadresserne er identificerbare. En IP-adresse er en personoplysning, så det er et ret bredt begreb... 

kaj666 skrev:

Kan man identificere personer ud fra en mailadresse? Hvis ikke er der vel ikke tale om databrud eller hvad?

Måske kan man identificere personer, der har en mailadresse a la [email protected] osv.

 Du kan jo prøve at smide din e-mail op her, og se om ikke PN finder frem til hvem du er ;) 

wannooks skrev:

Det vil være helt urimeligt hvis det er andet end en løftet pegefinger.... Hvis noge burde de være ros for at indberette det.

 

En anden ting er dog så... OP: I burde helt sikkert få en mere prof email løsning hvor i også kan dokumentere samtykket. Måske i skulle benytte lejligheden til undskylde for det skete og så bede dem rykke over på fx MailChimp med henvisning til at undgå fremtidige fejl (og i virkeligheden får i så også løst dokumenteret samtykke)

 Det her er et ret godt forslag til OP :-)

Datatilsynet skriver:
Hvilke brud på persondatasikkerheden kræver anmeldelse?
En risiko for fysiske personers rettigheder og frihedsrettigheder omfatter bl.a. diskrimination,
identitetstyveri eller -svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data
underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den
registrerede.

--------------------------------------------

E-mail til andre kunder i en almindelig dansk butik, er det virkelig under ovenstående?

DanM skrev:

Datatilsynet skriver:
Hvilke brud på persondatasikkerheden kræver anmeldelse?
En risiko for fysiske personers rettigheder og frihedsrettigheder omfatter bl.a. diskrimination,
identitetstyveri eller -svindel, økonomisk tab, skade på omdømme, tab af fortrolighed af data
underlagt tavshedspligt eller enhver anden væsentlig økonomisk eller social ulempe for den
registrerede.

--------------------------------------------

E-mail til andre kunder i en almindelig dansk butik, er det virkelig under ovenstående?

 Jeg ville anbefale at I ringede til en advokat og brugte de 500kr det koster at få et rigtigt svar.

Nu har jeg på mit job gennemgået et gdpr kursus og der var der en test case tilsvarende din, i den var der ihvertfald ingen tvivl om det straks skulle indberettes... og ja som andre nævner så er det bedre selv at gøre det fremfor at vente på at en af de 200 berørte gør det!

djoffer skrev:

Nu har jeg på mit job gennemgået et gdpr kursus og der var der en test case tilsvarende din, i den var der ihvertfald ingen tvivl om det straks skulle indberettes... og ja som andre nævner så er det bedre selv at gøre det fremfor at vente på at en af de 200 berørte gør det!

 Efter at have læse det bliver jeg lidt irriteret over jeg ikke gik hådere til FitnessWorld efter de havde erstattet alle mine stamdata i deres system med en anden person. 

- Jeg havde stadigt adgang til deres applikation og selvbetjening, og kunne der med se (lad os kalde ham Preben) Prebens personlige oplysninger, såsom adresse, telefonnummer og e-mail. Foruden det fine billede FW havde taget af Preben - billedet kan jeg i øvrigt stadigt se. 

Ret skræmmende så lidt styr på deres back-end de havde da jeg gjorde dem opmærksom på det. De blev ved med at sige jeg havde logget ind på mandens konto, i stedet for min egen (Heldigvis havde jeg da mails fra dem, hvor de eksplicit skrev mit medlemsnummer, som sjovt nok var sammenfaldende med Prebens nye medlemsnummer etc...) 

hermod skrev:

 

 Jeg ville anbefale at I ringede til en advokat og brugte de 500kr det koster at få et rigtigt svar.

 Hvis du kan finde en advokat der gider udsende en regning på 500kr, så skal du finde en anden advokat.

Fantomet skrev:

 

 Hvis du kan finde en advokat der gider udsende en regning på 500kr, så skal du finde en anden advokat.

Haha - ja det har du nok ret i. Pointen var mere at det ville tage under 5 minutter at svare på.  

hermod skrev:

Haha - ja det har du nok ret i. Pointen var mere at det ville tage under 5 minutter at svare på.  

 Advokater arbejder normalt i 15/30 mins intervaller ;)
Med mindre det er ens normale advokat så svare han U/B på den her og beder jer få styr på jeres shit og så ellers få meldt det til datatilsynet.