Datatilsynet indstiller taxaselskab til bøde på 1,2 mio. kr.

Dato: 25-03-2019

Datatilsynet har politianmeldt Taxa 4x35 og indstillet selskabet til en bøde på 1,2 mio. kr. for en overtrædelse af reglerne i databeskyttelsesforordningen.

Taxa 4x35 er blevet indstillet til en bøde for manglende sletning af kundernes oplysninger. Knap 9 mio. personhenførbare taxature er blevet gemt uden et sagligt formål, vurderer Datatilsynet. Det er første gang, Datatilsynet indstiller til en bøde efter reglerne i databeskyttelsesforordningen (også kendt som GDPR).

8.873.333 personhenførbare taxature

Sagen udspringer af, at Datatilsynet i efteråret 2018 var på et tilsynsbesøg hos Taxa 4x35 , hvor der bl.a. blev set på, om taxaselskabet har fastsat frister for sletning af kundernes oplysninger - og om fristerne bliver efterlevet.

Ifølge Taxa 4x35 anonymiseres de oplysninger, der anvendes til kundens bestilling og afvikling af taxature, efter to år, da der herefter ikke længere er behov for at kunne identificere kunden.

Det er imidlertid kun kundens navn, der slettes efter de to år - men ikke kundens telefonnummer. Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kan derfor fortsat henføres til en fysisk person via telefonnummeret, som først slettes efter fem år.

På tidspunktet for tilsynsbesøget var der registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.

Datatilsynets vurdering

Grunden til, at telefonnummeret ikke slettes, er ifølge taxaselskabet, at nummeret er nøglen til systemets database og derfor er nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

Efter Datatilsynets opfattelse kan man imidlertid ikke fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

”Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme,” siger Datatilsynets direktør Cristina Angela Gulisano.

Sagens næste skridt

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i Estland og Danmark.

Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Hvis du vil vide mere

Du kan læse udtalelsen om sagen her.

Du kan læse Datatilsynets vejledende tekst om sletning her.

Journalister kan kontakte Datatilsynets presseansvarlige Anders Due (40 41 30 23 / ad@datatilsynet.dk)

Opdatering

Sådan er det gået med sagen

Virksomheden blev dømt for forholdet ved byretten, men blev idømt en lavere bøde end indstillet. Dommen er nu anket til landsretten.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR