Alternative Text
Advokatfuldmægtig Henrik Norup 25. marts 2019

Første danske politianmeldelse og indstilling til bøde efter GDPR

Datatilsynet har i dag meddelt, at de indstiller taxaselskabet 4x35 til en bøde på 1,2 mio. kr., fordi de ikke har slettet oplysninger om sine kunder rettidigt.

Det fremgår af Datatilsynets meddelelse, at taxaselskabet havde en intern politik om at anonymisere kunders personoplysninger efter to år, da taxaselskabet mente, at der herefter ikke var behov for at kunne identificere kunden. Taxaselskabet slettede dog ikke telefonnummer eller oplysninger om taxaturen (herunder opsamlings- og afleveringsadressen). Det betød, at kunderne kunne identificeres efter de to år. På tidspunktet for Datatilsynets besøg hos taxaselskabet var der 8.873.333 personhenførebare taxature, som var ældre end to år.

Ifølge Datatilsynets direktør, Cristina Angela Gulisano, har Datatilsynet valgt at indstille til en bøde i denne sag, fordi der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål, og fordi et af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, som man har brug for.

Grunden til at telefonnummeret ikke blev slettet var, ifølge taxaselskabet, at nummeret var nøglen til systemets database og derfor nødvendig i forhold til virksomhedens produkt- og forretningsudvikling. Denne begrundelse var ikke tilstrækkelig for Datatilsynet.

Penta Advokater mener

Hos Penta Advokater mener vi, at Datatilsynets udmelding bør give anledning til, at virksomhederne holder sig særligt disse tre ting for øje:

  1. Niveauet for bødestørrelsen
    Taxaselskabet har endnu ikke modtaget en bøde, og ej heller forholdt sig offentligt til politianmeldelsen. Hvorvidt der bliver udstedt en bøde og hvad den ender på, ved vi på nuværende tidspunkt ikke.
    Indstillingen til en bøde på 1,2 mio. kr. giver dog en indikation af, hvor bødeniveauet kan ende.

  2. Grundprincipperne skal tages alvorligt
    Dataforordningens grundprincipper, herunder om opbevaringsbegrænsning og dataminimering, bør tages alvorligt af alle virksomheder. Vi opfordrer derfor klart alle virksomheder til at være helt skarpe på, hvorfor virksomheden behandler personoplysninger, på hvilket grundlag og hvor længe personoplysningerne er nødvendige.

  3. Persondatapolitikken skal være opdateret
    Det kan muligvis blive betragtet som en skærpende omstændighed, såfremt man har en politik om, at personoplysninger anonymiseres efter to år, hvis dette reelt ikke er tilfældet. Dette understreger behovet for, at virksomheden holder sin persondatapolitik opdateret og i overensstemmelse med sin faktiske behandling af personoplysninger.

Du kan læse mere om datatilsynets indstilling her

Har du spørgsmål til persondataret

Hvis du har spørgsmål til artiklen eller ønsker rådgivning om persondataret, er du velkommen til kontakte advokatfuldmægtig Henrik Norup for et uforpligtende svar på, hvordan vi kan hjælpe jer.