Tag Archives: GDPR

Første bøde fra Datatilsynet – hvad går det ud på?

I kølvandet på Datatilsynets mange tilsynsbesøg i løbet af efteråret, er den første politianmeldelse nu indgivet – det blev til en politianmeldelse og et bødeoplæg på 1,2 mio. kr. til Taxa 4×35!

Hvad skete der?

Den 25. marts 2019 offentliggjorde Datatilsynet, at den har politianmeldt og indstillet virksomheden Taxa 4X35 til en bøde på 1,2 mio. kr. for overtrædelse af reglerne i databeskyttelsesforordningen. 8.873.333 taxature blev gemt med personhenførbare oplysninger i længere tid end nødvendigt og uden sagligt formål.

Taxa 4X35 indsamler data om kundernes ture i et system, hvor bl.a. kundens navn, telefonnummer og turen fremgår. I forhold til GDPR havde de fastsat, at data blev anonymiseret efter 2 år, men det var alene navnet på kunden, der blev slettet. Kundens telefonnummer fremgik fortsat, og denne oplysning blev først slettet efter 5 år. Da kundens telefonnummer er en personhenførbar oplysning, var der ikke sket anonymisering efter 2 år, og Taxa 4X35 kunne ikke påvise, at de havde hjemmel til at gemme oplysningerne i 5 år. Derudover konstaterede Datatilsynet, at tilgangen til sletning generelt var overfladisk og mangelfuld i selskabet.

Alt i alt er der fire grunde for politianmeldelsen (link til udtalelsen):

  1. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig.
  2. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra c (dataminimering), idet virksomhedens opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt i forhold til de formål, hvortil de opbevares.
  3. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b, idet virksomheden ikke entydigt har haft fastlagt, med hvilken behandlingshjemmel kunders telefonnummer er blevet opbevaret i 5 år efter kørslen af en taxatur.
  4. At Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret de sletninger, der er foretaget i systemerne og virksomhedens procedurer herfor.

Link til kilde

Hvad kan vi lære af udtalelsen?

Der er flere vigtige pointer i Datatilsynets udtalelse, og vi har forsøgt at udvælge nogle vigtige, så man kan undgå den størrelse bøder i fremtiden:

  1. Behandler du nogen form for personoplysninger (husk det inkluderer enhver form for opbevaring), så sørg for at have din hjemmel på plads.
  2. Gammel data, der skal bruges til analyse, forretningsudvikling el.lign. er et absolut ”no go”, hvis du ikke anonymiserer det ordentligt.
  3. At noget er ”besværligt” – både teknisk og praktisk – er ikke en undskyldning, og det virker nærmest som om, at det tirrer Datatilsynet mere, hvis man bruger det argument.
  4. Sletning forbliver en kæphest for Datatilsynet, og det skal dokumenteres – mere end forventet.

En observation, der kan gøres, er, at Taxa 4X35 virker til at have haft en meget reaktiv tilgang til persondata. Det vil sige, at alle processer, systemer osv. er forsøgt modificeret til at håndtere GDPR fra et ”hvis de nu kommer, har vi gjort noget”, og der er i princippet ikke vist et ønske om at være proaktiv. Data er den samme, systemer er de samme, og medarbejderne gør de samme ting. En proaktiv tilgang ville have afdækket mange af de her ting og afskaffet, at telefonnummeret fx blev brugt til kundenummer, at de havde systemer med log over sletning osv. Vi har faktisk tidligere skrevet nogle årsager til, hvordan du kan se GDPR som en god ting i virksomheden.

Denne sag viser, at alle typer virksomheder – store som små, bør have orden I deres penalhus. Så lad den blot være et eksempel, og få kigget ordentlig på den gamle data I har liggende, så lignende ikke sker for jer.

Datatilsynet har allerede offentliggjort fokus for deres tilsyn i første halvår 2019. Det kan du læse mere om her. Og hvis du skal bruge lidt inspiration til, hvordan du kommer i gang med GDPR, så læs her.

Second round of hunting has begun

The new inspection report from the Danish Data Protection Agency (Datatilsynet) is out. This is important for companies given the consequences of the last inspection Datatilsynet conducted. We’ll spill the beans on what you can expect from the new inspections below.

Before we dive into what the new round of inspections entails, let us look at what happened since the first round of inspections and why you need to take the new inspections seriously. If you cannot remember what it was all about, read our blog post.

Before the first round of inspections, a general conception was that “we will not experience an inspection. They’ll go for the big corporates”. This statement is far from what actually happened. Datatilsynet has conducted inspections across all company sizes (see more). And as we could see from the announcement of the final report from Datatilsynet, the organisations who were inspected still had problems with the non-manual handling of their clients personal data.

It is expected that the first cases will be filed to the police shortly based on these inspections. In terms of companies’ own reporting of data breaches to Datatilsynet, the final number were 2,780 data breaches declared – 600 of these are still undecided and could expect either a fine or a warning. And they can expect a supervision later on.


New inspections: What Datatilsynet will look for

Datatilsynet have announced the most important areas that they will investigate when they visit companies. Here are the three areas we found most important for your company.

Subject access request

In case you receive a request from a person about her or his data, you need to be able to answer such request within a month. The inspections will most focus on your ability to respond to these request and whether you are diligent in doing so. Remember, you are obligated to deliver ALL personal data on an individual.

Encryption of e-mails

Concurrently with getting up-to-date with how to ensure privacy, encrypting of e-mails is an area you should be aware of. Get a higher standard for safety measure by encryption on transmitted e-mails where confidential or/and sensitive information can be contained within. This can typically happen in customer service, where your closest contact is with customers.

Aggregation and comparing of data – B2B sales

Datatilsynet will keep an extra eye on private companies that resell personal data to third parties. If you sell this kind of data or buy this kind of data, be aware of the nature of the data. It may end up in GDRP breaches.The known and unknown inspections

Datatilsynet will conduct two types of inspections. The planned and the ad hoc inspections. We already know the planned type. These are the same as with the first round of inspections. But ad hoc inspections are something you should pay additional attention to. Datatilsynet says the following:

“Ad hoc inspections are typical cases – Datatilsynet has an eye on themselves or when we receive tips from the public and/or the press – and where Datatilsynet decides that the relation is at a state where they have to file a case of their own…”. (source). This means that inspections may be trigged by subject access requests (customers and clients).

Datatilsynet has already received many inquiries and subject access requests from data subjects on this matter. As the matter of fact, a lot more than they were expected to receive. And they are reacting to this as we speak. So, if you think that your company could be the subject of one of these complaints, you better get your head in the game before Datatilsynet comes knocking.

If you desire to read more about the types of supervision and get more prepared, you can do so here (In Danish).