Skip links

Masse-søgsmål mod selskab der påstod GDPR compliance

Nyhed. Arun Bhattacharya, som er aktionær i Nielsen Holdings PLC, indledte i sidste uge et masse-søgsmål mod Nielsen og dets administrerende direktør og økonomidirektør i United States District Court på vegne af alle Nielsens investorer, der erhvervede deres aktier mellem 8. februar 2018 og 25. juli 2018. Investorerne hævder at selskabet, dets administrerende direktør og økonomidirektøren vildledte investorer og offentligheden om den potentielle virkning af EU’s GDPR på Nielsens indtægtsstrømme og selskabets beredskab på forordningen. Der er således ikke tale om en overtrædelse af GDPR som sådan, men et søgsmål baseret amerikansk værdipapirslovgivning.

Ifølge klagen er Nielsens to forretningsmodeller at forsyne sine kunder med forbrugeradfærdsinformationer og analyser på tværs af forbrugs- og mediesektorer. Sagsøger hævder, at Nielsen er afhængig af forbrugerdata fra tredjeparts dataindsamlere som Facebook for at kunne generere sine egne forbrugerstatistikker for sine kunder. Sagsøgeren hævder endvidere, at i løbet af februar-juli 2018 har Nielsen og dets administrerende direktør og økonomidirektør gennem pressemeddelelser og konferenceopkald med investorer og finansbranchen udtalt sig vildledende og urigtigt om GDPR’ens potentielle indvirkning på virksomhedens forretning, idet de påstod at de allerede stort set var compliant. “GDPR, vi har været fokuseret på dette i nogen tid …. Vi er klar. Og vi ser ingen væsentlig indvirkning på vores. . . forretning.”

På trods af Nielsens forsikringer om at GDPR ikke ville påvirke forretningen, fortalte selskabets finansielle resultater for 2018 en anden historie. I følge sagsøgeren, har selskabet placeret skylden for de dårlige finansielle resultater på GDPR’ens indtog og dens påvirkning af begrænsningen af data fra datapartnere, der er nødvendig for forretningsmodellen. “Vores resultater er betydeligt under vores forventninger, da indtægterne blev påvirket af GDPR og ændringer i forbrugerens rettigheder. Vi har flere hundrede kunder og datapartnere, og markedsændringer har været forstyrrende”. Sagsøgeren oplyser at firmaets aktier er faldet med mere end 25 %.

Selvom dette ikke er en sag omhandlende databeskyttelse som sådan, er det bemærkelsesværdigt, da dette er en af ​​de første sager, der er anlagt i henhold til amerikansk lov, og søger erstatning for et selskab, der opererer i USA for selskabets påståede manglende vurdering af GDPR’s indvirkning på selskabets indtægtsstrømme samt selskabets adgang til vitale data fra sine datapartnere. Dette kan også illustrere vigtigheden af være forberedt og opmærksom på hvordan GDPR og andre databeskyttelseslovgivninger kan have indvirkning på selskaber også uden for Europa. Der er heller ikke tvivl om, at også europæiske selskaber kan blive mødt med krav om erstatning for manglende compliance, ikke alene fra krænkede data subjects, men også fra eksempelvis investorer eller i forbindelse med virksomhedsopkøb. Det må i hvert fald forventes at blive prøvet af.