Journalnummer: 2020-441-4364
Resumé
På baggrund af et anmeldt brud på persondatasikkerheden hos Zoologiske Have i København (ZOO) udtaler Datatilsynet nu alvorlig kritik. Det tekniske setup af loginsiden for årskortholdere gjorde det nemt for uvedkommende at få adgang til andres personoplysninger. Derudover var der unøjagtigheder i kommunikationen i forbindelse med det bruddet på persondatasikkerheden.
ZOO har fået påbud om at berigtige den ufyldestgørende information til alle registrerede og påbud om at informere de registrerede om bruddet i de tilfælde, hvor der er en høj risiko.
Afgørelsen er truffet, fordi Datatilsynet fandt, at det ikke var tale om passende sikkerhed, da det havde været alt for nemt at opnå uautoriseret adgang til årskortholderes personoplysninger. Login for årskortholdere var en kombination af to numeriske værdier uden begrænsning i antallet af loginforsøg.
Kritikken går endvidere på, at ZOOs beskrivelse til Datatilsynet og i kommunikationen med de registrerede af de foranstaltninger, ZOO traf for at håndtere bruddet, ikke var retvisende i forhold til, hvad ZOO reelt gjorde og Datatilsynets opfattelse af risikoscenarierne.
Datatilsynet fandt herudover, at ZOO ikke havde underrettet de registrerede (årskortholderne), for hvem der var en høj risiko, og at den information, der i øvrigt blev givet generelt, ikke var retvisende og ikke angav sandsynlige konsekvenser, risikoscenarier eller varigheden af bruddet. Derfor hjalp kommunikationen ikke de registrerede med at vurdere, hvilke forholdsregler de eventuelt skulle tage for at beskytte sig selv.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor Zoologisk Have i København (herefter "Zoo") den 3. januar 2020 har anmeldt et brud på persondatasikkerheden til tilsynet.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Zoos behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 32, 33, 34 og 5, stk. 1, litra a.
Datatilsynet finder endvidere grundlag for at meddele Zoo påbud om at underrette alle registrerede, hvor der foreligger en høj risiko for disses rettigheder. Påbuddet gives i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.
Indholdet i underretningen skal opfylde kravene i databeskyttelsesforordningens artikel 34, stk. 2 og dermed i et klart sprog beskrive karakteren af bruddet på persondatasikkerheden og mindst indeholde de oplysninger og foranstaltninger, der er omhandlet i artikel 33, stk. 3, litra b, c og d.
Datatilsynet finder yderligere grundlag for at meddele Zoo påbud om at om at bringe behandlingen af personoplysninger i overenstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a, ved at berigtige den tidligere givne information således at den afspejler de vurderinger af risikoen som Datatilsynet har redegjort for i denne afgørelse, dette i forhold til alle berørte registrerede. Påbuddet gives i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra d.
Fristen for efterlevelse af påbuddene er den 1. december 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddene er efterlevet, sammen med en anonymiseret udgave af underretningen og på hvilken måde denne er givet.
Ifølge databeskyttelseslovens[2] § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra e.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af anmeldelsen af bruddet til Datatilsynet, at en person (herefter "softwareingeniøren") den 2. januar 2020 – via et egenudviklet script – tilegnede sig adgang til årskortholderes log-in-oplysninger (brugernavn og tilhørende adgangskode). Softwareingeniøren oplyste Zoo om sårbarheden i Zoos log-in, som gjorde dette muligt.
Sårbarheden i Zoos log-in gav mulighed for at prøve sig frem til et validt log-in (brugernavn og adgangskode) hvilket igen gav uautoriseret adgang til årskortholderens kortnummer, navn, adresse og e-mail. Zoo havde på dette tidspunkt ca. 140.000 årskortholdere registreret.
3. Zoos bemærkninger
Zoo har oplyst, at sårbarheden i det anvendte log-in gav adgang til årskortholderens 8-cifrede medlemsnummer (brugernavn), den 4-cifrede adgangskode, kortnummer, navn, adresse og e-mail. Det sidste er af Datatilsynet forstået som kendskab til årskortholderens "e-mailadresse".
Zoo afviser, at der var adgang til telefonnumre og billeder, hvilket ifølge Zoo er påstået af softwareingeniøren.
Kravet til adgangskode var ifølge Zoo et firecifret nummer, og der ikke har været benyttet automatisk generede adgangskoder.
Forespurgt om foranstaltninger imod "brute-force angreb" på log-in (login-oplysninger fremfindes ved at prøve sig frem til gyldig kombination af brugernavn/adgangskode), har Zoo oplyst, at oplysninger sendes krypteret mellem klient og server. Zoo har forklaret, at it-løsningen ikke spærrede automatisk for mange forgæves log-in-forsøg, ligesom det ikke blev logget.
Det fremgår af sagen, at softwareingeniøren havde opnået adgang til log-in-oplysninger (brugernavn og adgangskode), som gjorde ham i stand til at foretage log-in som årskortholdere, men han har ikke anvendt disse log-in-oplysninger.
Zoo iværksatte følgende tiltag på baggrund af bruddet på persondatasikkerheden: (1) funktionen "jeg er ikke en robot", som sikrer, at et program ikke kan snyde systemet, og (2) en funktion, der efter tre fejlagtige forsøg på log-in spærrer for log-in i en time.
Zoo oplyste, at der blev lavet en ny log-in-funktion, hvor Center For Cybersikkerheds anbefalinger vedrørende adgangskoder blev implementeret. Alle årskortholdere blev i den forbindelse tvunget til at skifte adgangskode.
Zoo har ud fra en undersøgelse af websidevisninger vurderet, at der ikke har været udsving i forhold til det normale antal sidevisninger, og på den baggrund vurderet, at det er usandsynligt, at personhenførbare data er blevet eksponeret for uvedkommende. Det er Zoos konklusion, at der ikke har været andre angreb af den karakter, som det der blev udført af softwareingeniøren. Zoo begrunder dette med især løbende overvågning af logfiler. Forespurgt herom oplyste Zoo, at der i loggen ikke er registreret information om, hvorvidt der er foretaget mange forgæves login-forsøg fra samme IP-adresse, eller mange forgæves log-in-forsøg med samme brugernavn (medlemsnummer) og forskellige adgangskoder – i hele perioden 25. maj 2018 til 2. januar 2020.
Zoo har ikke kunnet oplyse hvor mange af de ca. 140.000 årskortholdere, der potentielt var berørt af bruddet. Zoo oplyste, at softwareingeniøren, sagde han kunne tilgå oplysninger for nogen (et udsnit) af årskortholderne. Antallet af potentielt berørte kan dermed ikke oplyses. Zoo er ikke i besiddelse af scriptet, som blev benyttet af softwareingeniøren.
Zoo har ikke kunne oplyse, hvor længe det har været muligt at udnytte svaghederne i log-in til at opnå uautoriseret adgang til årskortholdernes personoplysninger. Dette begrundes med, at webstedet løbende opdateres.
På et spørgsmål om, hvorvidt Zoo har overvejet muligheden for hemmelige adresser blandt de berørte personoplysninger, og om Zoo med sikkerhed ved, at der ikke er hemmelige adresser imellem, svarer Zoo, at det er medtaget i overvejelserne og, at ingen af Zoos årskortholdere har givet Zoo meddelelse om, navne- og adressebeskyttelse.
Underretning af de registrerede
Ved anmeldelsen af bruddet den 3. januar 2020, oplyste Zoo, at der var sket delvist underretning af de registrerede samme dag. Underretning var sket via e-mail og webside. Indholdet af underretningen er beskrevet, men det omfatter ikke en beskrivelse af de sandsynlige konsekvenser af bruddet på persondatasikkerheden, eller en ca. angivelse af den periode, hvor bruddet stod på. Imidlertid indeholdt underretningen et link og teksten "Via linket nedenfor kan du læse mere om de oftest stillede spørgsmål", men dette link var ikke med i anmeldelsen til Datatilsynet.
Ved en høring oplyste Zoo, at underretningen blev sendt til alle ca. 140.000 årskortholderne den 3. januar 2020.
Datatilsynet oplyste til Zoo, at tilsynet havde kendskab til årskortholdere, som ikke har fået den omtalte underretning pr. e-mail, selv om de havde en e-mailadresse registreret hos Zoo. Zoo oplyste på den baggrund, at der var lavet et udtræk af e-mailadresser fra systemet, og personer uden registreret e-mailadresse er underrettet gennem den nyhed, der i nogen tid lå på Zoos hjemmeside (forsiden af webstedet).
Andre forhold, så som årskortholders fravalg af nyheder fra Zoo, kunne også have betydning for, om disse personer blev underrettet pr. e-mail – det kunne ikke endeligt afklares, idet udtrækket af e-maildresser var foretaget af en medarbejder, som var på orlov. Udtrækket angiver 23.662 unikke e-mailadresser, idet dubletter er frasorteret således, at hvis f.eks. flere personer i en familie har årskort, men de har fælles e-mailadresse, vil denne kun fremgå én gang i udtrækket.
Der blev lavet en slags test den 27. maj 2020, hvor et udtræk af aktive årskortholdere med registreret e-mailadresse – inklusiv dem, som har fravalgt nyheder fra Zoo – gav 40.257 e-mailadresser.
Da Zoo blev spurgt om årsagen til den manglende angivelse af konsekvenser i underretningen af de registrerede, henviste Zoo blandt andet til, at der ikke er indikationer for eksponering af data for uvedkommende, og at risikoen for fysiske personers rettigheder og frihedsrettigheder derfor er vurderet som minimal/ikke eksisterende, samt at der alene er tale om almindelige personoplysninger.
Ved svar på tredje høring modtog Datatilsynet det link, som indgik i underretningen. På den webside, der linkes til, er det blandt andet oplyst, at "Softwareingeniøren har udelukkende påpeget den potentielle sårbarhed, som nu er blevet lukket. Dine medlemsoplysninger har derfor ikke været delt eller på anden måde være kompromitteret."
Zoo har endvidere oplyst, at offentligheden er blevet informeret om hændelsen, idet Politikken, TV2 Lorry og B.T. i samarbejde med softwareingeniøren bragte historien.
4. Begrundelse for Datatilsynets afgørelse
3.1. Databeskyttelsesforordningens artikel 32
Etablering af passende sikkerhedsniveau
Ved vurderingen af, hvilket sikkerhedsniveau der er passende, tages der navnlig hensyn til de risici, som behandling udgør, navnlig ved hændelig eller ulovlig tilintetgørelse, tab, ændring, uautoriseret videregivelse af eller adgang til personoplysninger, der er transmitteret, opbevaret eller på anden måde behandlet, jf. artikel 32, stk. 2.
Ud fra beskrivelserne af Zoos log-in finder Datatilsynet, at det – med eller uden automatisering – må anses for at have været relativt nemt at opnå uautoriseret adgang til årskortholdernes personoplysninger. Dette er baseret på en sammenstilling af følgende forhold i det berørte log-in.
Udover at en adgangskode på fire cifre generelt opfordrer til anvendelse af dårlige koder, som f.eks. årskortholderens postnummer, dele af personnummer eller lignende, er der maksimalt 10.000 kombinationer. Når dette kombineres med, at brugernavnet er et 8-cifret nummer, og der ikke var implementeret beskyttelse imod automatisering af log-in-forsøg, og når der ydermere ikke var begrænsning af forgæves log-in-forsøg fra samme IP-adresse eller kombinationer af samme brugernavn med forskellige adgangskoder (eller omvendt), bliver det muligt hurtigt at opnå adgang til årskortholdernes personoplysninger. Tilsynet finder, at der burde have været en begrænsning på f.eks. 3-5 forgæves adgangsforsøg med samme brugernavn eller fra samme IP-adresse (med skiftende brugernavne).
Datatilsynet finder på denne baggrund, at Zoo ikke har efterlevet databeskyttelsesforordningens artikel 32, stk. 1, idet der ikke er implementeret et passende sikkerhedsniveau under hensyn til de risici, som behandlingen af årskortholdernes personoplysninger udgør.
Datatilsynet har noteret sig Zoos oplysning om, at Center For Cybersikkerheds anbefalinger vedrørende adgangskoder nu er blevet implementeret.
Regelmæssig evaluering af foranstaltninger
Databeskyttelsesforordningens artikel 32, stk. 1, litra d, angiver, at for at sikre et sikkerhedsniveau der passer til risici ved den pågældende behandling af personoplysninger, kan det være relevant at have en procedure for regelmæssig afprøvning, vurdering og evaluering af effektiviteten af de tekniske og organisatoriske foranstaltninger til sikring af behandlingssikkerhed.
Givet at der med det sårbare log-in er tale om en it-løsning, som styrer adgangen til personoplysninger for ca. 140.000 personer, er det Datatilsynets opfattelse, at der burde have været en procedure, som sikrer regelmærssig vurdering af effektiviteten af de foranstaltninger i Zoos log-in, der skal sikre personoplysningerne imod uautoriseret eller ulovlig behandling.
3.2. Databeskyttelsesforordningens artikel 33
Ved anmeldelsen af bruddet til Datatilsynet skal den dataansvarlige beskrive de foranstaltninger, som den dataansvarlige har truffet eller foreslår truffet for at håndtere bruddet på persondatasikkerheden, herunder, hvis det er relevant, foranstaltninger for at begrænse dets mulige skadevirkninger, jf. artikel 33, stk. 3, litra d. Underretning af de registrerede om bruddet i overensstemmelse med artikel 34, er – når dette er relevant – et eksempel på en sådan foranstaltning, idet den registrerede evt. kan anvende informationen til at begrænse skadevirkningerne.
I forbindelse anmeldelsen af sagen og i det yderligere materiale, der er eftersendt til anmeldelse, er det af Zoo oplyst, at der var sendt underretning til alle 140.000 årskortholdere.
Datatilsynet lægger efter, det senere til sagen oplyste til grund, at der er sendt underretning til 26.662 unikke e-mailadresser, og at det har været Zoos opfattelse, at de registrerede, som ikke fik denne e-mail, blev underrettet via websiden og gennem pressens omtale af sagen.
Ved den oprindelige anmeldelse af bruddet til Datatilsynet, fremgik den nævnte sondring om underretningens karakter ikke.
Det er Datatilsynets opfattelse, at det for at sikre de registreredes rettigheder, er væsentligt, at oplysningerne i anmeldelsen ikke fremstår sådan, at der angives foranstaltninger, der reelt ikke er gennemført, eller ikke giver udtryk for for antallet af berørte.på en måde, så det fremstår uklart, hvem der er omfattet af hvilke foranstaltninger og hvornår. På den baggrund er det Datatilsynets opfattelse, at Zoos beskrivelse, jf. artikel 33, stk. 3, litra d af foranstaltningerne truffet for at håndtere bruddet, ikke var retvisende ift. hvad Zoo reelt gjorde og således ikke har levet op til beskrivelseskravet i artikel 33, stk. 3.
3.3. Databeskyttelsesforordningens artikel 34 samt artikel 5, stk. 1, litra a.
Vurdering af de risici som bruddet udgør for de registreredes rettigheder
Når et brud på persondatasikkerheden sandsynligvis vil indebære en høj risiko for fysiske personers rettigheder og frihedsrettigheder, underretter den dataansvarlige uden unødig forsinkelse den registrerede om bruddet på persondatasikkerheden, jf. artikel 34, stk. 1. Derfor skulle Zoo vurdere de risici, som bruddet indebar for årskortholderne.
Datatilsynet lægger til grund, at Zoos konklusion om, at der ikke er sket misbrug af sårbarheden i log-in, bygger på en undersøgelse af logfiler fra værktøjet Analytics, som viser, at i perioden 25. maj 2018 til 3. januar 2020, har der været 12468 sessioner totalt og medlemsdata er tilgået 44328 gange. Endvidere lægger Zoo vægt på, at ingen årskortholdere har meldt om uautoriserede ændringer i deres data.
Det er Datatilsynets vurdering, at de omtalte logfiler primært fokuserer på den ordinære brugeradfærd, og efter tilsynets opfattelse ikke er udtryk for en undersøgelse, der er optimeret til at opdage eventuelt misbrug. Datatilsynet er af den opfattelse, at der også i situationer hvor brugsmønsteret forekommer normalt, kan foreligge en misbrugssituation. Det er altså ikke muligt – alene på denne baggrund – at konkludere, at den potentielle mulighed for uautoriseret adgang ikke er udnyttet. Uautoriseret adgang til oplysninger kan ske på en måde, der ikke vækker opsigt, fordi den ligner normal datatrafik, og dermed ikke opdages ved en undersøgelse, som den af Zoo beskrevne.
Det er Datatilsynets vurdering, at information om navn kombineret med e-mailadresse og kortnummer på årskortet udgør en risiko for de registrerede. Oplysningerne kan f.eks. benyttes til at sende e-mails, hvor nogen udgiver sig for at være Zoo, og derigennem sprede computervira og såkaldt "ransomware", eller lokke andre oplysninger ud af ofrene, f.eks. kreditkortoplysninger – kaldet "phishing". De registrerede kan nemmere snydes, fordi de antager, at oplysningen om deres e-mailadresse kombineret med rette kortnummer kun er kendt af Zoo.
Dette er samtidig efter tilsynets opfattelse et eksempel på, hvordan de registrerede kan hjælpes med at beskytte sig selv, ved at de underrettes om bruddet og dets sandsynlige konsekvenser. Dette i øvrigt uanset om den dataansvarlige er forpligtet hertil eller ej.
Zoo har efter det til sagen oplyste ikke opfattet situationen som omfattet af kravet om underretning, jf. artikel 34, stk. 1, Zoo har dog uanset dette, oplyst de registrerede om hændelsen på flere måder.
Hemmelige/beskyttede adresser udgør efter Datatilsynet opfattelse personoplysninger der skal undergives en høj grad af fortrolighed, da en utilsigtet eksponering af sådanne oplysninger, potentielt kan have alvorlige konsekvenser for de registreredes rettigheder.
Datatilsynet lægger til grund, at der henset til det høje antal registrerede ca. 140.000, vil være registrerede med hemmelige eller beskyttede adresser blandt disse. Det er tilsynets opfattelse, at der i hvert fald for disse registrerede, ved eksponering af deres adresse, vil være en høj risiko for de pågældendes rettigheder, særligt henset til de konsekvenser en sådan eksponering kan have.
Det at de registrerede selv ikke har angivet deres adresse som hemmelig kan – også henset til, at der ikke var en dedikeret måde til at markere denne attribut på – ikke føre til et andet resultat.
Datatilsynet finder ikke, at der er udført en fyldestgørende vurdering i henhold til databeskyttelsesforordningens artikel 34, stk. 1, af risikoen for de registreredes rettigheder, og at der i hvert fald for de nævnte registrerede er en høj risiko for disses rettigheder. Datatilsynet har herved lagt vægt på især følgende.
Bruddets omfang/varighed
Zoo har ikke kunnet påvise, at ingen andre end softwareingeniøren har udnyttet muligheden for at opnå uautoriseret adgang. Derfor lægger Datatilsynet til grund, at samtlige ca. 140.000 årskortholdere potentielt kan være kompromitteret.
Når Zoo på grund af løbende opdatering af webstedet ikke kan angive, hvor længe log-in har været sårbart, indebærer det manglende viden om bruddets omfang. Det indebærer ligeledes, at Zoo ikke kan vide, hvilke årskortholdere der er berørt, idet nye årskortholdere kan være registeret både før og efter sårbarheden opstod.
Det fremgår af Databeskyttelsesforordningens præambelbetragtning 86, at den dataansvarliges underretning af den registrerede om et brud på persondatasikkerheden sker med henblik på at give vedkommende mulighed for at træffe de fornødne forholdsregler, og underretningen bør blandt andet indeholde anbefalinger til den berørte fysiske person med henblik på at begrænse de mulige skadevirkninger.
Når Zoo ikke kender og ikke kan informere om bruddets varighed, giver det de registrerede mindre end optimale muligheder for at træffe de fornødne forholdsregler. Det kan f.eks. være tilfældet, hvis de registrerede personoplysninger har ændret sig undervejs i en periode hen over bruddets opståen.
Hvis f.eks. årskortholdere har skiftet adresse for nyligt, er det svært for vedkommende, at vurdere om bruddet har kunnet afsløre den tidligere adresse eller ej. Tidligere adresser kan f.eks. indikere en tidligere samlever, eller det kunne være en adresse der afslørende bopæl på en specialinstitution eller under kriminalforsorgen.
Efter det af Zoo oplyste i sagen, lægger Datatilsynet til grund, at Zoo ikke kan dokumentere i hvor lang tid bruddet har stået på, og at dette forhold ikke blev medtaget i underretningen af de registrerede.
Underretningens indhold og form
I forhold til underretningens indhold og form, finder Datatilsynet, at denne ikke lever op til kravene i databeskyttelsesforordningens artikel 34. Datatilsynet har herved blandt andet lagt vægt på følgende.
I sager hvor bruddet på persondatasikkerheden har en længere tidsmæssig udstrækning, er det Datatilsynets opfattelse, at brug af en ikke verificeret tidligere oplyst e-mail ikke nødvendigvis er fyldestgørende, særligt hvis der er gået lang tid siden den oprindelige registrering fandt sted, og sårbarheden har stået på i en periode af ukendt længde, idet årskortholderne i denne periode kan have ændres deres e-mailkonti.
Den underretningen af de registrerede, som ifølge Zoo er sket ved en kombination af e-mail, Zoos webside og omtale i medier, indeholder ikke en beskrivelse af de sandsynlige konsekvenserne ved bruddet, jf. artikel 33, stk. 3, litra c, jf. artikel 34, stk. 2.
På websiden, står der endvidere, at bruddet ikke har medført kompromittering af medlemsoplysninger, og situationen beskrives som en "potentiel sårbarhed", hvilket kan give læseren det indtryk, at der ikke har været reel mulighed for uautoriseret adgang til personoplysninger. Datatilsynet finder ikke, at Zoo retvisende har beskrevet bruddet på persondatasikkerheden, især når det er tilsynets opfattelse, at, siden manglende beskyttelse imod "brute force" angreb, de begrænsede log-oplysninger, og manglende viden om hvor længe sårbarheden har eksisteret.
Datatilsynet finder dermed, at Zoo har givet informationer til de registrerede, som ikke er fyldestgørende og retvisende, som ikke angiver sandsynlige konsekvenser eller varigheden af bruddet, og som derfor ikke hjælper de registrerede med at vurdere, hvilke forholdsregler de eventuelt skal tage, for at beskytte sig selv. Datatilsyndet finder derfor, at der ikke er givet underetning til de registrerede i overensstemmelse med indholdet i artikel 34.
Datatilsynet vurderer, at bruddet på persondatasikkerheden udgør en høj risiko for blandt andet de registrerede personer med hemmelig/beskyttet adresse, hvorfor tilsynet finder at der skal ske underetning af i hvert fald disse registrerede, jf. artikel 34, stk. 4.
Det er endvidere Datatilsynets opfattelse, at de øvrige registreredes er blevet udsat for en øget konkret risiko gennem de oplysninger Zoo selv har offentliggjort (hjemmesideteksten), idet disse registrerede fejlagtigt kunne tro at deres oplysninger ikke var i nogen fare for at have været kompromitteret. Det følger af princippet i databeskyttelsesforordnings artikel 5, stk. 1, litra a, at princippet om rimelig og gennemsigtig behandling tilsiger, at fejlagtigt eller ikke fyldestgørende givet information berigtiges, dette uanset om risikoen for de registreredes rettigheder måtte være høj eller ej.
Henset hertil finder Datatilsynet, at der også foreligger en overtrædelse af artikel 5, stk. 1, litra a, og at denne skal bringes i overensstemmelse med forordningen, ved at der i fohold til de registrerede sker berigtigelse af disse forhold ved underretning.
Finder Zoo, at det ikke er muligt eller det kræver en uforholdsmæssig indsats, at foretage en individuel underretning af de registrerede, finder Datatilsynet, at underretning kan ske ved offentlig meddelelse eller tilsvarende foranstaltning, såfremt dette sker på en måde, der sikrer, at de registrerede underrettes på tilsvarende effektiv måde, jf. databeskyttelsesforordningens artikel 34, stk. 3, litra c.
3.3. Sammenfatning
Datatilsynet finder anledning til at udtale alvorlig kritik af, at Zoos behandling af personoplysninger ikke har efterlevet databeskyttelsesforordningens artikel 32, stk. 1 og 2, artikel 33, stk. 3, litra d, artikel 34, stk. 1 og 2, og artikel 5, stk. 1, litra a. Datatilsynet har herved lagt vægt på følgende som skærpende omstændigheder:
- At der er tale om et stort antal registrerede.
- At kombinationen af en adgangskode bestående af fire tal, og uden beskyttelse imod automatisering af endeløse forsøg på log-in, har indebåret en utilstrækkelig beskyttelse af personoplysninger.
- Zoos manglende viden om, hvordan log-in-løsningen har fungeret tidligere med deraf følgende begrænset mulighed for at vurdere risici ved bruddet.
- At Zoo har antaget, at der ikke var beskyttede adresser blandt de registrerede oplysninger, udelukkende fordi dette ikke var oplyst af årskortholderne selv.
- At Zoos underretning af de registrerede var mangelfuld, og indholdet ikke retvisende.
- At Zoos beskrivelse af foranstaltninger i forbindelse med bruddet, ikke var retvisende.
Datatilsynet finder endvidere grundlag for at meddele Zoo påbud i medfør af databeskyttelsesforordningens[3] artikel 58, stk. 2, litra e, om at underrette alle registrerede hvor der foreligger en høj risiko for disses rettigheder, for de øvrige registrerede meddeler Datatilsynet efter databeskyttelsesforordningens artikel 58, stk. 2, litra d, Zoo påbud, om at bringe behandlingen af personoplysninger i overenstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra a, ved at berigtige den tidligere givne information således at den afspejler de vurderinger af risikoen som Datatilsynet har redegjort for i denne afgørelse.
Datatisynet skal oplyse, at tilsynet vil anse begge påbud som opfyldt såfremt alle registrerede modtager den information der er nævnt i artikel 34, stk. 2, eventuelt på den i artikel 34, stk. 3, litra c, nævnte måde.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven)
[3] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).