Datatilsynet indstiller taxaselskab til millionbøde for overtrædelse af databeskyttelsesregler

Datatilsynet har netop offentliggjort, at taxaselskabet Taxa 4x35 er blevet politianmeldt og indstillet til en bøde på 1,2 mio. kr. Indstillingen kommer som følge af, at Taxa 4x35 ikke har overholdt reglerne for sletning af kundernes oplysninger.

Under et tilsynsbesøg i efteråret 2018 hos Taxa 4x35 konstaterede Datatilsynet, at taxaselskabet havde gemt personhenførbare oplysninger for omtrent 9 mio. taxature uden et sagligt formål.

Datatilsynet havde nærmere bestemt efterset, om taxaselskabet havde fastsat frister for sletning af de personhenførbare oplysninger, som virksomheden indsamlede i forbindelse med taxaturene, ligesom det blev undersøgt om fristerne rent faktisk blev overholdt.

Taxa 4x35 havde i den forbindelse tilkendegivet, at kundens oplysninger blev anonymiseret efter to år, da der herefter ikke var behov for at kunne identificere kunden. Taxa 4x35 havde imidlertid kun foranstaltet sletning af kundernes navne efter to år, hvorimod kundernes telefonnummer først blev slettet efter fem år. På den baggrund var det fortsat muligt at henføre oplysninger om en kundes taxature til en fysisk person efter udløbet af de to år.

Taxaselskabet begrundede opbevaringen af telefonnummeret med, at dette var nødvendigt ift. virksomhedens produkt- og forretningsudvikling. Heroverfor understregede Datatilsynet imidlertid, at det ikke var tilladt at ”fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen”.

Du kan læse mere om den konkrete afgørelse her.

TVC Advokatfirma bemærker

TVC Advokatfirma følger de nye GDPR-regler og Datatilsynets praksis på området tæt. Det kan i den forbindelse bemærkes, at det er første gang, at Datatilsynet har indstillet en virksomhed til en bøde i medfør af databeskyttelsesforordningen.

Sagen er derfor yderst relevant læsning, og den illustrerer, at Datatilsynet er parat til at udstede store bøder, når virksomheder tilsidesætter databeskyttelsesreglerne. Dette vil særligt være tilfældet, når overtrædelsen vedrører en stor mængde personhenførbare oplysninger.

Sagen om Taxa 4x35 illustrerer dertil et af grundprincipperne i databeskyttelsesreglerne. Datatilsynet slår nemlig fast, at det kun er tilladt at gemme personoplysninger, når det kan begrundes i et sagligt formål. Det er derfor ikke tilladt at gemme oplysninger i længere tid end nødvendigt.

TVC Advokatfirma anbefaler således, at man som virksomhed sørger for at have faste retningslinjer for sletning af personoplysninger, og at disse retningslinjer altid overholdes. Har du i den forbindelse spørgsmål til reglerne om sletning eller compliance med databeskyttelsesreglerne i øvrigt, sidder TVC Advokatfirmas specialister altid klar til en uforpligtende drøftelse.