Datatilsynet har politianmeldt virksomhed for overtrædelse af persondataforordningen

Tilsynet i efteråret

Datatilsynet var i efteråret 2018 på planlagt tilsyn hos selskabet Taxa 4x35, hvor blandt andet selskabets procedurer for sletning af kundernes oplysninger samt selskabets iagttagelse af disse procedurer blev undersøgt. Ifølge selskabet blev de oplysninger, der anvendtes til kundens bestilling og afvikling af taxature, anonymiseret efter 2 år. Det var midlertidig kun kundens navn, der blev slettet efter de 2 år, idet selskabet opbevarede kundens telefonnummer i yderligere 3 år.

Datatilsynet kunne således konstatere, at taxaselskabet fortsat havde personhenførbare oplysninger efter anonymiseringen, idet oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) stadig kunne henføres til en fysisk person via telefonnummeret.

Baggrunden herfor var ifølge taxaselskabet, at kundens telefonnummer var nøglen til systemets database, hvorfor det var nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling fortsat at opbevare telefonnumrene efter anonymiseringen.

Det var Datatilsynets opfattelse, at man som virksomhed ikke midlertidig kan fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

På tilsynet kunne Datatilsynet således konstatere, at:

• Taxa 4x35 ikke havde overholdt kravet om opbevaringsbegrænsning, idet selskabets procedurer for anonymisering af personoplysninger var utilstrækkelige
• Taxa 4x35 ikke havde overholdt kravene om dataminimering, idet selskabets opbevaring af kunders telefonnumre i 5 år ikke var nødvendig i forhold til de formål, hvortil de blev opbevaret
• Taxa 4x35 ikke entydigt havde fastlagt, med hvilken behandlingshjemmel kunders telefonnummer skulle opbevares 5 år efter kørslen af en taxatur
• Taxa 4x35 ikke i tilstrækkelig grad havde dokumenteret de sletninger, der var foretaget i systemerne

Politianmeldelsen

På tidspunktet for tilsynsbesøget havde Taxa 4x35 registreret oplysninger om næsten 9 mio. personhenførbare taxature, der var ældre en 2 år. Og det er netop denne mængde af personoplysninger, der medvirker til, at Datatilsynet politianmelder selskabet og indstiller dem til en bøde.

Datatilsynets direktør Cristina Angela Gulisano udtaler på Datatilsynets egen hjemmeside: ”Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme”.

Politiet skal efter Datatilsynets politianmeldelse undersøge, hvorvidt der er grundlag for at rejse sigtelse mod selskabet. Herefter vil en eventuel bødestraf blive afgjort ved en domstol.

Har du spørgsmål i forbindelse med ovenstående, er du altid velkommen til at kontakte os.