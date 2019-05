Datatilsynet har 25. marts 2019 indstillet til, at et dansk taxaselskab ("Taxaselskabet") skal modtage en bøde på 1.200.000 kroner for overtrædelse af databeskyttelsesreglerne ("GDPR-reglerne"). Afgørelsen kommer i forlængelse af, at nationale myndigheder i andre europæiske lande har udstedt større bøder ved brud på GDPR-reglerne.

Datatilsynet var i efteråret 2018 på tilsynsbesøg hos Taxaselskabet.

På dagsordenen var, hvorvidt Taxaselskabet havde opstillet frister for sletning af kundernes oplysninger, og hvorvidt disse frister i sidste ende blev overholdt. Taxaselskabet oplyste, at kundernes oplysninger blev anonymiseret efter to år, idet der herefter ikke længere var mulighed for at kunne identificere kunden.

Det var imidlertid alene kundernes navn, som blev slettet efter to år, hvorfor kundernes telefonnumre blev opbevaret i fem år. Dette skyldes - efter Taxaselskabets forklaring - at, opbevaringen i fem år var nødvendig af hensyn til produkt- og forretningsudvikling.

På baggrund af hvad Datatilsynet konstaterede i forbindelse med tilsynsbesøget, fandt Datatilsynet grundlag for sammenfattende at konkludere at:



Taxaselskabet ikke havde overholdt kravet om opbevaringsbegrænsning i medfør af GDPR-reglerne, idet Taxaselskabets procedure for anonymisering af personoplysninger var utilstrækkelig. Kundens taxature kunne fortsat fremsøges mere end to år efter, at taxaturen var kørt, når der blev søgt på kundens telefonnummer. Herved var proceduren for anonymisering - efter Datatilsynets opfattelse - ikke en reel anonymisering af oplysningerne, idet denne skulle være uigenkaldelig, det vil sige at den eller de pågældende fysiske personer ikke med nogen midler kan knyttes tilbage til de pågældende oplysninger. Taxaselskabet havde selv vurderet, at det kun var nødvendigt at behandle oplysningerne i to år. Taxaselskabet ikke havde overholdt kravet om dataminimering i medfør af GDPR-reglerne, idet Taxaselskabets opbevaring af kunders telefonnummer i fem år ikke havde været nødvendigt i forhold til de formål, hvortil de opbevares. Det forhold, at opbevaringen skete med henblik på produkt- og forretningsudvikling gjorde ikke, at Taxaselskabet var berettiget til at opbevare telefonnumrene, idet formålet - produkt- og forretningsudvikling - ikke nødvendiggjorde en opbevaring af de pågældende oplysninger. Efter Datatilsynets opfattelse kunne man heller ikke fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve GDPR-reglerne.

Der var i alt tale om, at Taxaselskabet havde gemt knap 9.000.000 personhenførbare taxature uden et sagligt formål.

Datatilsynets direktør, Cristina Angela Gulisano, har om sagen udtalt, at:

- Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme.

Det franske, østrigske, portugisiske og tyske Datatilsyn har tidligere udstedt bøder af større eller mindre omfang. I disse lande kan Datatilsynene selv udstede administrative bøder.

Reglerne er på dette punkt imidlertid anderledes i Danmark, hvor Datatilsynet efter at have belyst og vurderet en sag politianmelder den dataansvarlige. Hvorvidt der således i sidste ende skal pålægges en bøde vil blive afgjort ved domstolene på baggrund af en eventuel sigtelse fra det danske politi.