Datatilsynet lægger an til højt bødeniveau

Dato 28 mar. 2019
Download PDF version PDF

 

Indledning

Datatilsynet har politianmeldt et taxaselskab for overtrædelse af reglerne i databeskyttelsesforordningen. Som følge af overtrædelsen har Datatilsynet indstillet taxaselskabet til en bøde på 1,2 mio. kr.

 

Datatilsynet lægger dermed an til et højt bødeniveau for overtrædelse af databeskyttelsesforordningen.

 


Sagens omstændigheder

Datatilsynet aflagde i efteråret 2018 et tilsynsbesøg hos taxaselskabet. I den forbindelse blev det bl.a. undersøgt, om selskabet havde fastsat slettefrister, og om slettefristerne blev overholdt.

 

Taxaselskabet havde fastsat en procedure for anonymisering af kunders navne efter to år. Anonymiseringen omfattede imidlertid ikke telefonnummer, og for telefonnumre var fastsat en femårig slettefrist. Telefonnumrene kan bruges til at identificere fysiske personer, og ved brug af telefonnumrene kan taxaselskabet også identificere oplysninger om de adresser, som de fysiske personers taxature var foregået til og fra. På tidspunktet for tilsynsbesøget var der registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.

 

Som begrundelse for den femårige opbevaringsperiode anførte taxaselskabet, at telefonnumrene skulle benyttes som datagrundlag for forretningsudvikling i selskabet.

 

Datatilsynet har vurderet, at hensynet til selskabets forretningsudvikling ikke er et saglig formål til at opbevare telefonnumrene i tre år længere, end selskabet reelt har behov for at kunne identificere kunderne. Datatilsynet har på den baggrund vurderet, at taxaselskabet har overtrådt databeskyttelsesforordningens regler.

 

Under hensyn til mængden af opbevaret data, har Datatilsynet valgt at indstille taxaselskabet til en bøde på 1,2 mio. kr.

 

 

Vores bemærkninger

Datatilsynets vurdering af sagen understreger, at virksomheder skal være meget påpasselige i deres omgang med persondata. Vurderingen viser også, at det er helt afgørende, at der foreligger et sagligt formål til at opbevare personoplysningerne. Det forhold at virksomheden finder det forretningsmæssigt hensigtsmæssigt med opbevaringen, er ikke nødvendigvis tilstrækkeligt.

 

Datatilsynet fastslår i deres udtalelse, at det forhold, at virksomhedens system har gjort det besværligt at efterleve reglerne, ikke begrunder en tre år længere slettefrist end nødvendigt.

 

Datatilsynet har derudover fastlagt deres indstilling til bødeniveauet under hensyn til mængden af opbevaret data.

 

Bødeindstilllingen fra Datatilsynet er det første store skridt på vejen mod at fastlægge bødeniveauet for overtrædelse af databeskyttelsesforordningens regler, med sagen her bliver det slået fast, at det ikke kun er store multinationale selskaber, der risikerer bøder i millionklassen.

 

På baggrund af ovenstående og henset til de nye bødeniveauer for overtrædelse af det nye regelsæt opfordrer vi alle private virksomheder til at sikre, at virksomheden har indført velovervejede og passende procedurer for opbevaring og sletning af persondata. Vi står naturligvis til rådighed for enhver, som ønsker vores hjælp til at få et overblik over reglerne og til at få styr på opbevaringen og behandlingen af personoplysninger.

 

 

Hvis du har spørgsmål eller ønsker yderligere information om overstående, er du velkommen til at kontakte partner og advokat Pernille Nørkær (pno@mwblaw.dk) eller advokatfuldmægtig Sarah Veje Rasmussen (svr@mwblaw.dk).

 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.