Datatilsynet politianmelder og indstiller taxaselskab til en bøde på 1,2 mio. kr.
Datatilsynet har i dag offentliggjort, at de for første gang har politianmeldt og indstillet et taxaselskab til en bøde for overtrædelse af Databeskyttelsesforordningen. Taxaselskabet har bl.a. opbevaret deres kunders personoplysninger i længere tid end nødvendigt og har dermed ikke overholdt de grundlæggende behandlingsprincipper.
Mangel på sletning og dokumentation for sletteprocedurer
Ifølge taxaselskabet bliver alle oplysninger afgivet ved bestilling af en taxa (der bl.a. omfatter navn, telefonnummer, dato og begyndelses- og sluttidspunkt for kørsel, GPS-koordinater osv.) anonymiseret efter 2 år, idet det herefter ikke længere er nødvendigt at kunne identificere kunden.
Ved et tilsyn gennemført af Datatilsynet i efteråret 2018 – som havde fokus på selskabets slettefrister og efterlevelse af slettefrister - blev det imidlertid afsløret, at taxaselskabet ikke sletter kundens telefonnummer efter 2 år, og at oplysninger om en taxatur dermed kan henføres til en identificerbar kunde helt op til 5 år efter taxaturens gennemførelse, indtil telefonnummeret slettes fra taxaselskabets system. Selskabet har dermed ikke formået at foretage en effektiv anonymisering af personoplysningerne, og har opbevaret kundeoplysninger længere end nødvendigt.
Herudover kunne taxaselskabet ikke i tilstrækkelig grad dokumentere sine procedurer for opfølgning på sletning og håndtering af genindlæsning af tidligere slettede personoplysninger ved brug af backup, ligesom selskabet ikke foretog en tilstrækkelig logning over foretagne sletninger.
På baggrund heraf har Datatilsynet valgt at indstille taxaselskabet til en bøde på 1,2 mio. kr.
> Læs mere om Datatilsynets udtalelse i sagen
Bird & Birds kommentarer
Det er første gang, Datatilsynet indstiller til en bøde efter reglerne i Databeskyttelsesforordningen. I modsætning til i mange andre EU lande kan Datatilsynet ikke selv udstede en bøde, men må politianmelde den overtrædende virksomhed, hvorefter en eventuel bødestraf skal pålægges af domstolene.
Bødeniveauet for overtrædelse af den tidligere persondatalovgivning har generelt været højere i andre EU-lande end i Danmark, hvor den højeste bøde, der til dato er givet, er på 25.000 kr. Forordningen lægger dog op til et væsentligt højere bødeniveau, hvorfor denne sag er særlig interessant, fordi den giver et fingerpeg om, hvor Datatilsynet mener, at bødeniveauet bør ligge.
Ifølge Datatilsynets direktør Cristina Angela Gulisano har tilsynet valgt at indstille til en bøde i sagen, da der er tale om "meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål", ligesom der er blevet lagt vægt på, at taxaselskabet har overtrådt det grundlæggende behandlingsprincip om, at "man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme.”
