Datatilsynet politianmelder og indstiller til første GDPR-bøde - mod et taxiselskab

Opdateret kl. 13:40.

Taxa 4x35 er blevet indstillet til en bøde for manglende sletning af kundernes oplysninger. Det oplyser tilsynet i en meddelelse.

Sagen tager sit udspring i, at knap 9 mio. personhenførbare taxature er blevet gemt uden et sagligt formål, vurderer Datatilsynet. Det er første gang, Datatilsynet indstiller til en bøde efter reglerne i databeskyttelsesforordningen. GDPR.

Datatilsynet konkluderer i sagen mod Taxa 4x35: At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig.

At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra c (dataminimering), idet virksomhedens opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt i forhold til de formål, hvortil de opbevares.

At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b, idet virksomheden ikke entydigt har haft fastlagt, med hvilken behandlingshjemmel kunders telefonnummer er blevet opbevaret i 5 år efter kørslen af en taxatur.

At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret de sletninger, der er foretaget i systemerne og virksomhedens procedurer herfor. Kilde: Datatilsynets afgørelse i sagen

»Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme,« siger Datatilsynets direktør, Cristina Angela Gulisano, ifølge meddelelsen.

Datatilsynet oplyser til Version2, at den indstillede bøde er på 1,2 millioner kroner.

Sagen udspringer af, at Datatilsynet i efteråret 2018 var på et tilsynsbesøg hos Taxa 4x35 , hvor der bl.a. blev set på, om taxaselskabet har fastsat frister for sletning af kundernes oplysninger - og om fristerne bliver efterlevet.

Ifølge Taxa 4x35 anonymiseres de oplysninger, der anvendes til kundens bestilling og afvikling af taxature, efter to år, da der herefter ikke længere er behov for at kunne identificere kunden.

Det er imidlertid kun kundens navn, der slettes efter de to år - men ikke kundens telefonnummer, oplyser Datatilsynet.

Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kan derfor fortsat henføres til en fysisk person via telefonnummeret, som først slettes efter fem år.

På tidspunktet for tilsynsbesøget var der registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.

Anmeldt til Københavns Politi

Datatilsynet har politianmeldt selskabet for manglende overholdelse af reglerne for opbevaringsbegrænsning, idet proceduren for anonymisering af personoplysninger er utilstrækkelig, men også fordi opbevaring af kunders telefonnummer i 5 år ikke er nødvendigt i forhold til de formål, hvortil de opbevares.

Herudover udtaler tilsynet alvorlig kritik af, at Taxa 4x35 ikke har efterlevet databeskyttelsesforordningens krav.

Illustration: Infosecurity It-sikkerhedsmessen Infosecurity Denmark 2019 byder på mere end 110 seminarer og cases, 25 udvalgte keynotes og 80 udstillere. To dage med masser af faglig viden og netværk d. 1. og 2. maj i Øksnehallen i København. Konferenceprogrammet dækker compliance, cybercrime, IoT, nye teknologier som AI og blockchain samt data og cloud og giver et unikt indblik i de nyeste it-sikkerhedsmæssige udfordringer på et højt fagligt niveau. Du bliver også opdateret om både de nyeste tekniske landvindinger fra spydspidsforskere og får indblik i aktuelle trusselsbilleder fra nogle af verdens bedste rådgivere. Læs mere og tilmeld dig Læs mere om Version2 Data & Cloud Expo, der afholdes sammen med Infosecurity Denmark

Datatilsynets vurdering

Grunden til, at telefonnummeret ikke slettes, er ifølge taxaselskabet, at nummeret er nøglen til systemets database og derfor er nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

Datatilsynets mener imidlertid ikke, at man fastlægge en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

Sagens næste skridt

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i Estland og Danmark.

Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.