Taxaselskab indstillet til bøde på 1,2 mio. kr. for brud på persondatareglerne

Taxaselskabet 4×35 er netop blevet indstillet til en bøde på 1,2 mio. kr. for brud på persondatareglerne. Datatilsynet afholdte i oktober 2018 et planlagt tilsyn i virksomheden, hvor man især havde fokus på virksomhedens sletteprocedurer og slettefrister samt efterlevelsen af disse.

I virksomheden behandledes almindelige personoplysninger såsom taxakundernes navne, telefonnumre, adresser og turhistorik. Virksomheden gjorde gældende at oplysningerne anonymiseres efter 2 år med den modifikation, at telefonnumrene lagres i 5 år, da nummeret udgjorde en nøgleoplysning i systemets database og derfor var nødvendigt i forhold til produkts- og forretningsudvikling. Slettefristen på 2 år var fastsat af virksomheden på baggrund af en nødvendighedsvurdering.

Den anonymisering, der skete efter 2 år, var alene sletning af navne, men eftersom telefonnumre også er personhenførbare data, var særligt den 5-årige slettefrist interessant, da telefonnummeret systemmæssigt gjorde samtlige oplysninger om kunderne personhenførbare. Virksomheden havde på den måde registreret 8.873.333 personhenførbare turoplysninger, som var mere end 2 år gamle. Datatilsynet gjorde gældende at en slettefrist på 5 år, dvs. en forlængelse på 3 år ud over virksomhedens egen nødvendighedsvurdering, ikke kunne begrundes i indretningen af virksomhedens systemer. Den omstændighed at telefonnumrene blev anvendt som systemnøgler var ikke tilstrækkeligt, idet dette kunne være løst på anden vis. Denne manglende opfyldelse af persondatareglerne i forhold til dataminimering og opbevaringsbegrænsning var det primære grundlag for Datatilsynets politianmeldelse.

Datatilsynet har i forbindelse med sagen bl.a. udtalt:

• Brugen af telefonnumre som systemnøgler er ikke i overensstemmelse med grundprincipperne, når det ikke tjener et nødvendigt formål. Dermed var der ikke en saglig begrundelse for den fortsatte opbevaring.
• En betingelse for anonymisering er uigenkaldelighed, hvilket betyder at den eller de anonymiserede personer ikke med nogen midler må kunne knyttes til den pågældende oplysning. Dette havde virksomheden ikke opfyldt, fordi et telefonnummer er personhenførbart.
• Virksomheden havde i deres behandlingshjemmel i forhold til telefonnumre oplyst, at det var ”begrundet i opfyldelsen af taxabekendtgørelsen, samt for at drive virksomheden og som grundlag for forretningsudviklingen”. Det kritiseres, at dette ikke var præciseret nærmere.
• Virksomhedens dokumentation for de forskellige sletteprocedurer fandtes overfladisk og mangelfuld. Derudover var der ikke udarbejdet en egentlig procedure for opfølgning på sletningen.

GLS-A bemærker at bødestørrelsen er ganske høj, men i tråd med forordningens regler om skærpede økonomiske sanktioner ved brud på persondatareglerne. Den konkrete sag kan således tjene til en påmindelse om at tage virksomhedens arbejde med persondata alvorligt. Sagen viser at en generel og overfladisk tilgang til sletning af personoplysninger og manglende opfølgning ikke er tilstrækkeligt. Har man ikke fokus på sletning, og er det ikke tilstrækkeligt dokumenteret, kan virksomheden ikke godtgøre, at grundprincipperne om særligt dataminimering og opbevaringsbegrænsning overholdes. Disse grundprincipper gælder både almindelige og følsomme personoplysninger. Det er desuden vigtigt at man får præciseret sine behandlingshjemler så disse fremgår klare og utvetydige. I forhold til anonymisering er det vigtigt, at processen indebærer, at de pågældende persondata vitterligt gøres anonyme og dermed uigenkaldeligt personuhenførbare.

Læs mere om sagen på Datatilsynets hjemmeside