Datatilsynets første bødesag – Taxa 4x35

Datatilsynets første bødesag

Fra Focus Advokaters GDPR-team, 11.6.2019

Datatilsynets første bødesag

Vi har længe ventet på det, og nu kom den – Datatilsynets første bødesag efter reglerne i databeskyttelsesforordningen. Taxa 4x35 er indstillet til en bøde på kr. 1,2 mio. for opbevaring af knap 9 mio. personhenførbare taxature uden sagligt grundlag.

I overensstemmelse med Datatilsynets tilsynsstrategi for 2018 foretog de et tilsyn hos et taxaselskab med fokus på slettepligten, herunder frister for sletning af kunders oplysninger og om disse frister blev overholdt.

Taxaselskabet var af den opfattelse, at de oplysninger, der bliver brugt til kundens bestilling og afvikling af taxature, blev anonymiseret efter to år. Datatilsynet måtte dog konstatere, at det alene var kundens navn, der blev slettet efter to år, hvorimod kundens telefonnummer – der betragtes som personhenførbart – fortsat var koblet op på taxaturen, herunder opsamlings- og afleveringssted. Der var således ikke tale om korrekt anonymisering. Telefonnummer og oplysninger om taxaturene blev først slettet efter fem år med den begrundelse, at det var nødvendigt at opbevare dem af hensyn til selskabets produkt- og forretningsudvikling. Telefonnummeret fungerede i den forbindelse som ”nøglen” i systemet, hvorfor det ifølge Taxa 4x35 umiddelbart ikke bare kunne slettes eller ændres.

Hertil bemærker Datatilsynet: »Efter Datatilsynets opfattelse kan man imidlertid ikke fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.«

 

Sletning: En vigtig – og gammel! – forpligtelse

Datatilsynets begrundelse for at sanktionere efter den høje bøderamme (op til 4 % af den samlede omsætning) er særligt mængden af personoplysning, der blev opbevaret tre år længere, end der var et sagligt behov for. Tilsynet har i forbindelse med publicering af afgørelsen understreget vigtigheden af at have et lovligt formål med at behandle, herunder opbevare, personoplysninger, og når man ikke længere har et sådan formål, skal oplysningerne slettes (eller anonymiseres) med det samme.

Taxa 4x35 har således efter Datatilsynets vurdering overtrådt bestemmelserne om opbevaringsbegrænsning og dataminimering, og det er dét, selskabet er blevet politianmeldt for.

Taxaselskabet havde som nævnt oven for ikke foretaget en tilstrækkelig anonymisering af de pågældende oplysninger. Datatilsynet understreger i afgørelsen, at en korrekt anonymisering indebærer, at ingen længere kan henføre oplysningerne til en fysisk person, og at anonymiseringen er uigenkaldelig. Der må altså ikke være nogen, der ved sammenstilling eller brug af krypteringsnøgle eller lignende kan koble oplysningerne til en fysisk person igen. Er oplysningerne tilstrækkelig anonymiserede, er de ikke længere omfattet af databeskyttelsesreglerne.

Som ved tidligere afgørelser understreger Datatilsynet også i denne, at omkostninger forbundet med omstrukturering af IT-systemer ikke er en undskyldning for manglende overholdelse af reglerne.

 

At tage sit ansvar alvorligt

Afgørelsen kommer som noget nyt også ind på et af de bærende principper i databeskyttelsesforordningen – princippet om ansvarlighed i artikel 5, stk. 2, der kort sagt går ud på, at den dataansvarlige skal overholde forordningen og kunne påvise, at dette faktisk sker. Datatilsynet udtaler alvorlig kritik af taxaselskabets manglende efterlevelse af netop dette princip.

På tilsynets forespørgsel havde Taxa 4x35 ikke klart kunne redegøre for begrundelsen for at have fastsat en slettefrist på 5 år. Dette strider med et andet princip, nemlig det at personoplysninger alene må indsamles til udtrykkeligt angivne og legitime formål.

Med hensyn til at kunne påvise sin overholdelse af reglerne som dataansvarlig, udtalte Datatilsynet endvidere alvorlig kritik af, at taxaselskabets sletteprocedurer var overfladiske og mangelfulde, ligesom der bl.a. ikke blev foretaget tilstrækkelig logning af sletning eller opfølgning på, om sletning skete korrekt.

 

Herfra...

Bøden er blot en indstilling fra Datatilsynet til, hvad tilsynet ønsker, at sanktionen for overtrædelsen af databeskyttelsesreglerne i den konkrete sag skal være. Det er således ikke endeligt, at bøden ender med at blive kr. 1,2 mio., da det på grund af Danmarks særlige situation er domstolene, der i sidste ende træffer beslutning om bødens størrelse.

Vi kan dog allerede nu konstatere, at vi er blevet bekræftet i, at slettepligten er en væsentlig del af at leve op til sine forpligtelser som dataansvarlig efter databeskyttelsesreglerne. Dette er vanskeligt at gøre uden fastsatte sletteprocedurer, der hjælper virksomheden med compliance i den fremadrettede drift og det daglige arbejde med databeskyttelse. Skal man have en chance for at overbevise Datatilsynet om, at man faktisk har gjort en indsats for at overholde reglerne – uanset om det er lykkes i praksis eller ej – så er det altafgørende, at man løbende kontrollerer, om de fastsatte procedurer efterleves, og ikke mindst dokumenterer disse kontroller.

Datatilsynets afgørelse kan læses her, og Datatilsynets nyhed om indstilling af bøden kan læses her.

 

Spørgsmål

Har du spørgsmål til emnet eller brug for rådgivning, står vores persondatateam altid klar til at yde kvalificeret rådgivning.

Kontakt

Jesper Løffler Nielsen

Jesper Løffler Nielsen

Associeret partner, advokat (L), Ph.D., leder af Focus Advokaters Tech Team Læs mere
  2. Focus Advokater
  3. Forretningsområder
  4. Specialjura
  5. Persondata (GDPR)
  6. Datatilsynets første bødesag – Taxa 4x35
Kontakt os

Se alle medarbejdere eller søg herunder

Tilmeld nyhedsbrev

Hold dig opdateret med nyheder fra Focus Advokater

Tilmeld

Nyheder
Se flere nyheder
Arrangementer
Se flere arrangementer