Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR

Vi leser C‑768/21 om at nasjonale tilsyn ikke MÅ ilegge en bot for brudd på GDPR.

Men egentlig er det mest interessante med denne dommen hvilket ansvar behandlingsansvarlig har for brudd på GDPR når ansatte med forsett bryter interne instrukser.

Kort fortalt: selv om ansatte bryter med instruksen din om f.eks. å ikke snoke, vil Datatilsynet kunne gi deg en bot. Men det hjelper å ha solid internkontroll.

I denne saken hadde behandlingsansvarlig (en bank) oppdaget at en ansatt hadde snoket på en registrert. Saken ble undersøkt og det var på det rene at dette var uautorisert tilgang til personopplysningene, og de hadde ikke blitt delt med tredjeparter.

Videre hadde snokeren fått en disiplinærreaksjon, og etter påsyn fra tilsynet, bestemte banken seg for å lagre tilgangsloggene i mer enn 3 mnder.

EU-domstolen kom til at datatilsynet ikke trengte å gi en bot for dette, og la vekt på at så lenge formålene bak artikkel 58(2) og 82 var oppfylt, sto tilsynet fritt til å bestemme reaksjon.

Dette er et lydopptak fra en LinkedIn Live som opprinnelig ble sendt 28.06.25 kl. 11.30.

Du finner dommen her: https://curia.europa.eu/juris/document/document.jsf?text=&docid=290402&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1667151

Disclaimer: No AI Training Use

All content on this blog, including audio, text, images, and other materials, is the intellectual property of the author unless otherwise stated. This content may not be used, copied, stored, or processed in any way for the purpose of training artificial intelligence or machine learning models, including but not limited to large language models (LLMs), without explicit, written permission from the author.