Skrevet af Rasmus Lehmann Hylleberg


8.873.333 personhenførbare taxature. Det er ifølge Datatilsynet grundlaget for Danmarks første politianmeldelse for brud på den europæiske databeskyttelsesforordning. 

Det meddeler Datatilsynet i en pressemeddelelse. 

Sagen udspringer af, at Datatilsynet i efteråret 2018 var på et tilsynsbesøg hos Taxa 4x35 , hvor der bl.a. blev set på, om taxaselskabet har fastsat frister for sletning af kundernes oplysninger - og om fristerne bliver efterlevet.

Ifølge Taxa 4x35 anonymiseres de oplysninger, der anvendes til kundens bestilling og afvikling af taxature, efter to år, da der herefter ikke længere er behov for at kunne identificere kunden.

Det er imidlertid kun kundens navn, der slettes efter de to år - men ikke kundens telefonnummer. Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kan derfor fortsat henføres til en fysisk person via telefonnummeret, som først slettes efter fem år.

På tidspunktet for tilsynsbesøget var der registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.

 

Datatilsynets vurdering

Ifølge pressemeddelelsen er det Datatilsynets opfattelse, at man imidlertid ikke kan fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

Ifølge taxaselskabet er grunden til, at telefonnummeret ikke slettes, at nummeret er nøglen til systemets database og derfor er nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

”Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme,” siger Datatilsynets direktør Cristina Angela Gulisano.

 

Sagens næste skridt

I modsætning til mange andre europæiske lande er det i Danmark procedure, at Datatilsynet politianmelder sagerne, hvorefter politiet undersøger, om der er grundlag for at rejse en sigtelse. I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder.

Del

Første danske politianmeldelse for brud på GDPR - Datatilsynet indstiller taxaselskabet 4x35 til bøde på 1.2 mio. kr.


Hold dig opdateret

Tilmeld dig K-News nyhedsmail og få information om nye podcasts, portrætter, videoer og meget mere.

Nyhedsmail. Ja tak