I kølvandet på Datatilsynets mange tilsynsbesøg i løbet af efteråret, er den første politianmeldelse nu indgivet – det blev til en politianmeldelse og et bødeoplæg på 1,2 mio. kr. til Taxa 4×35!

Hvad skete der?

Den 25. marts 2019 offentliggjorde Datatilsynet, at den har politianmeldt og indstillet virksomheden Taxa 4X35 til en bøde på 1,2 mio. kr. for overtrædelse af reglerne i databeskyttelsesforordningen. 8.873.333 taxature blev gemt med personhenførbare oplysninger i længere tid end nødvendigt og uden sagligt formål.

Taxa 4X35 indsamler data om kundernes ture i et system, hvor bl.a. kundens navn, telefonnummer og turen fremgår. I forhold til GDPR havde de fastsat, at data blev anonymiseret efter 2 år, men det var alene navnet på kunden, der blev slettet. Kundens telefonnummer fremgik fortsat, og denne oplysning blev først slettet efter 5 år. Da kundens telefonnummer er en personhenførbar oplysning, var der ikke sket anonymisering efter 2 år, og Taxa 4X35 kunne ikke påvise, at de havde hjemmel til at gemme oplysningerne i 5 år. Derudover konstaterede Datatilsynet, at tilgangen til sletning generelt var overfladisk og mangelfuld i selskabet.

Alt i alt er der fire grunde for politianmeldelsen (link til udtalelsen):

1. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig.
2. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra c (dataminimering), idet virksomhedens opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt i forhold til de formål, hvortil de opbevares.
3. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b, idet virksomheden ikke entydigt har haft fastlagt, med hvilken behandlingshjemmel kunders telefonnummer er blevet opbevaret i 5 år efter kørslen af en taxatur.
4. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret de sletninger, der er foretaget i systemerne og virksomhedens procedurer herfor.

Link til kilde

Hvad kan vi lære af udtalelsen?

Der er flere vigtige pointer i Datatilsynets udtalelse, og vi har forsøgt at udvælge nogle vigtige, så man kan undgå den størrelse bøder i fremtiden:

1. Behandler du nogen form for personoplysninger (husk det inkluderer enhver form for opbevaring), så sørg for at have din hjemmel på plads.
2. Gammel data, der skal bruges til analyse, forretningsudvikling el.lign. er et absolut ”no go”, hvis du ikke anonymiserer det ordentligt.
3. At noget er ”besværligt” – både teknisk og praktisk – er ikke en undskyldning, og det virker nærmest som om, at det tirrer Datatilsynet mere, hvis man bruger det argument.
4. Sletning forbliver en kæphest for Datatilsynet, og det skal dokumenteres – mere end forventet.

En observation, der kan gøres, er, at Taxa 4X35 virker til at have haft en meget reaktiv tilgang til persondata. Det vil sige, at alle processer, systemer osv. er forsøgt modificeret til at håndtere GDPR fra et ”hvis de nu kommer, har vi gjort noget”, og der er i princippet ikke vist et ønske om at være proaktiv. Data er den samme, systemer er de samme, og medarbejderne gør de samme ting. En proaktiv tilgang ville have afdækket mange af de her ting og afskaffet, at telefonnummeret fx blev brugt til kundenummer, at de havde systemer med log over sletning osv. Vi har faktisk tidligere skrevet nogle årsager til, hvordan du kan se GDPR som en god ting i virksomheden.

Denne sag viser, at alle typer virksomheder – store som små, bør have orden I deres penalhus. Så lad den blot være et eksempel, og få kigget ordentlig på den gamle data I har liggende, så lignende ikke sker for jer.

Datatilsynet har allerede offentliggjort fokus for deres tilsyn i første halvår 2019. Det kan du læse mere om her. Og hvis du skal bruge lidt inspiration til, hvordan du kommer i gang med GDPR, så læs her.