Blog

Første bøde for overtrædelse af reglerne i persondataforordningen

29.03.19 | 0 Kommentarer

Datatilsynet har politianmeldt og indstillet et selskab til en bøde på 1,2 mio. kr. for manglende sletning af personoplysninger.

Sagen drejer sig om, at taxaselskabet Taxa 4x35 ifølge eget udsagn anonymiserer kundernes data vedrørende bestilling og afvikling af taxature efter 2 år.

Ved et tilsynsbesøg i efteråret 2018 kunne Datatilsynet dog konstatere, at Taxa4x35 kun anonymiserede oplysninger om navn. Kunderne kunne stadig identificeres via deres telefonnumre, og dermed kunne alle data om deres taxature, herunder opsamlings- og afsætningssted føres tilbage til konkrete personer. Selskabet oplyste, at telefonnummeret først slettes efter 5 år, fordi det er nøglen til virksomhedens database, hvorfra man benytter statistiske data til produkt- og forretningsudvikling.

På tidspunktet for tilsynet var der registreret oplysninger om ca. 8,9 mio. taxature, som kunne henføres til konkrete personer.

Efter Datatilsynets opfattelse kan man ikke fastsætte en slettefrist, som er 3 år længere end nødvendigt, bare fordi anonymisering er besværliggjort af virksomhedens system, og fordi man ønsker fortsat at kunne benytte oplysningerne.

Som led i tilsynet kunne Datatilsynet også konstatere, at der hos Taxa 4x35 var uklarhed om behandlingshjemlen for de omtalte oplysninger samt manglende dokumentation af procedurer for sletning.

Som udgangspunkt skal alle personoplysninger slettes eller opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede personer i et længere tidsrum end nødvendigt for at udføre den behandling, oplysningerne er indsamlet til. En evt. længere opbevaring af oplysningerne, skal være begrundet i lovgivning og retslige principper, såsom dokumentationskravet i henhold til bogføringsloven.

Hvis man fortsat ønsker at benytte kundedata til statistiske formål eller lignende skal de opbevares på en sådan måde, at de ikke længere er personhenførbare. Dette kan fx gøres ved at anonymisere oplysningerne.

En anonymisering af personoplysninger indebærer, at ingen fysiske personer efterfølgende ud fra oplysningerne, eller i kombination med andre oplysninger, kan identificeres. Det er en betingelse for anonymisering, at den er uigenkaldelig, dvs. at den eller de pågældende fysiske personer ikke med nogen midler kan knyttes tilbage til de pågældende oplysninger.

Læs mere om den konkrete sag på Datatilsynets hjemmeside her.

Har din virksomhed brug for en gennemgang af jeres håndtering af persondata? Kontakt gerne juridisk rådgiver Marie Martens Lawsen på tlf. 38 40 42 42 eller advokat Kristine Mølgaard Mogensen på tlf. 38 40 42 40 for en uforpligtende snak om, hvordan reglerne gælder for netop jer.

 

0 kommentarer

Indsend en kommentar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *