Persondataforordningen

Datatilsynet klar med første politianmeldelse for overtrædelse af GDPR

Datatilsynet har for første gang meldt en virksomhed for overtrædelse af GDPR. Virksomheden har opbevaret en stor mængde telefonnumre og oplysning om taxature, selvom der ikke længere var et sagligt formål med opbevaringen. Det skal ifølge Datatilsynet koste virksomheden en bøde på 1,2 mio. kr. Det er i sidste ende retten, der bestemmer bødens størrelse.

Politianmeldelsen kommer i kølvandet på, at Datatilsynet i efteråret 2018 var på tilsynsbesøg hos en række virksomheder, herunder et taxaselskab. Ved tilsynet var der fokus på, om taxaselskabet havde fastsat frister for sletning af kundernes oplysninger - og om fristerne bliver efterlevet.

Taxaselskabet oplyste, at de oplysninger, der anvendes til kundens bestilling og afvikling af taxature, bliver anonymiseret efter to år, da der herefter ikke længere er behov for at kunne identificere kunden.

Datatilsynet kunne konstatere, at det kun var kundernes navne, der blev slettet efter de to år - men ikke kundernes telefonnumre. Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kunne derfor fortsat henføres til en fysisk person via telefonnummeret, som først blev slettet efter fem år.

På tidspunktet for tilsynsbesøget var der registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.

Grunden til, at taxaselskabet ikke slettede telefonnumrene, var ifølge taxaselskabet, at telefonnumre er nøglen til databasen i et system, der anvendes til bestilling og afvikling af taxature, og det er derfor nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling. Fremadrettet vil telefonnumre blive erstattet af et andet unikt ID.

Se mere om Datatilsynets fokus i 2019

 Datatilsynets vurdering

Det er Datatilsynets opfattelse, at man ikke kan vente med at slette personoplysninger, der ikke er et sagligt formål med at behandle, bare fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

”Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme,” siger Datatilsynets direktør Cristina Angela Gulisano.

Læs hele Datatilsynets udtalelse

Baggrund

Personoplysninger er alt, hvad der direkte eller indirekte kan henføres til en person. Selvom taxaselskabet ikke umiddelbart kunne identificere kunderne, da navnene var slettet, er det muligt at sammenholde telefonnumrene med andre oplysninger, og derved henføre oplysningerne om kørsler mv. til kunderne. Der var derfor tale om personoplysninger, og de var ikke anonymiserede, blot fordi navnet var slettet.

Man må kun behandle personoplysninger, hvis man har et udtrykkeligt oplyst og legitimt (sagligt) formål med det. Når formålet eller formålene ophører, skal oplysningerne slettes eller anonymiseres uigenkaldeligt.

Man må kun behandle personoplysninger, hvis man har et lovlig grundlag for det. Et lovligt grundlag kan være, at det er nødvendigt for at opfylde en kontrakt eller lovkrav. Eller at behandlingen sker med samtykke, eller at behandlingen er nødvendig for at den dataansvarlige eller 3. mand kan forfølge en legitim interesser og hensynet til den registrerede ikke går forud herfor.

Virksomheden blev politianmeldt for overtrædelse af nogle af de grundlæggende principper i Databeskyttelsesforordningens artikel 5, hvor det fremgår, at

  • Personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendig i forhold til de formål, hvortil de behandles (Princippet om dataminimering)
  • Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere den registrerede i et længere tidsrum end det, der nødvendigt til de formål, hvortil de pågældende personoplysninger behandles […] (Princippet om opbevaringsbegrænsning)

Den dataansvarlige skal kunne dokumentere, at de grundlæggende principper overholdes.

Dvs., at man skal have procedurer for sletning af personoplysninger, herunder procedurer for opfølgning på, at sletning er foretaget korrekt i systemerne, håndtering af genindlæsning af tidligere slettede personoplysninger ved ibrugtagning af backup, og logning af sletning i systemerne.

Læs Datatilsynets vejledning om sletning.

Læs hvad Datatilsynet spurgte om, da de gennemførte et tilsynsbesøg mhp. undersøgelse af, om personoplysninger slettes, når der ikke længere er et sagligt formål med at opbevare dem. Spørgeskemaet viser, hvad Datatilsynet forventer, at du har styr på og kan dokumentere, når vi taler om opbevaringsbegrænsning.

 

Nyt fra medlemmer

16. aug 2019 Expert Eye v/Susan Kaae
Hvorfor skal der nu 3D secure på din hjemmeside?
15. aug 2019 Fiftytwo A/S
Fiftytwo køber Scancommerce

Medlems-cases

Nye medlemmer

13. aug 2019
Branche: Logistik
www.webshipper.dk
11. aug 2019
Branche: Tøj, Sko og Smykker
dryandcool.dk
9. aug 2019
Branche: Software
www.channable.com

Har du et spørgsmål?

Niels Ralund
Adm. Direktør
Tina Morell Nielsen
Jurist & Chefkonsulent
Henrik Theil
Kommunikationschef
Søren Willemoes
Kommunikationsmedarb.
Niels Preysz
Medlemschef
Micha Hansson
Webmaster & Medlemservice-ansvarlig
Simon Bjerremann
Analysechef
Anne K. Hansen
Eventchef
Pernille Trieb
Projektleder - er pt. på barsel
Birgitte Warming Juul
Projektleder
Magnus Glenn Hansen
Projektleder
Anna Risbjerg Omann
Studentermedhjælper - medlemsservice
Andrea Skou Pojezny
Studentermedhjælper - event
Frederik Holmershøj
Juridisk studentermedhjælper
Har du brug for hjælp?
?
Send os et spørgsmål

Hvis du har et spørgsmål, så efterlad os en besked og vi vil svare tilbage hurtigst muligt.

Tak for din besked! Der skete en fejl, prøv igen