Rejsekort får alvorlig kritik og påbud af Datatilsynet

Rejsekort skal slette alle oplysninger på en tidligere kunde og revurdere behandlingen af andre kunders personoplysninger efter en alvorlig kritik og påbud fra Datatilsynet.

Virksomheden Rejsekort A/S får alvorlig kritik og et påbud af Datatilsynet, efter de har gemt en tidligere kundes personoplysninger.

Kunden bestilte nemlig et personligt rejsekort i 2015, hvor hun gav Rejsekort et samtykke til at behandle flere af hendes data - blandt andet økonomiske oplysninger.

Men d. 19. marts 2020 trak kunden det samtykke tilbage, hvorefter Rejsekort sendte en mail til hende med en bekræftelse af, at hun ikke længere var kunde hos virksomheden. I samme mail oplyste firmaet, at de ville beholde hendes økonomiske oplysninger i fem år, fordi bogføringsloven forpligtede dem til det. Derudover ville man gemme hendes rejsedata og dokumentation for, at hun har været kunde i tre år.

Hun klagede med det samme til Datatilsynet over Rejsekort, da hun ikke mente, at det var relevant for virksomheden at beholde blandt andet hendes personnummer og kreditkortdata.

Forkert og skiftende behandlingsgrundlag

Datatilsynet har nu besluttet at give en alvorlig kritik og påbud til Rejsekort, fordi tilsynet vurderer, at virksomheden fra start har brugt et forkert behandlingsgrundlag til at behandle kundens oplysninger.

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Rejsekort har behandlet oplysninger om klager i strid med det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed,« skriver tilsynet.

Det står nemlig i databeskyttelsesloven, at den dataansvarlige - i dette tilfælde Rejsekort - må behandle personoplysninger af fire årsager: Hvis der er givet et samtykke, hvis det er nødvendigt for at indgå en kontrakt, hvis det er nødvendigt for at overholde loven, eller hvis det er nødvendigt ‘henset til en legitim interesse’.

Den dataansvarlige skal overveje, hvilke årsag der passer bedst, før de begynder at behandle personoplysninger.

I dette tilfælde valgte Rejsekort, at den primære årsag var samtykke, men Datatilsynet er uenig - det skulle have været, at behandlingen var nødvendig for at indgå en kontrakt - i dette tilfælde en kundekontrakt.

Den kundekontrakt ophørte, da kunden trak sit samtykke tilbage, og derfor ser Datatilsynet ikke grund til, at Rejsekort fortsat skal behandle hendes oplysninger.

Derudover har Rejsekort skiftet behandlingsgrundlag undervejs, da kunden trak sit samtykke tilbage. Pludselig var årsagen til at beholde oplysningerne, at det var nødvendigt for at overholde bøgføringsloven. Datatilsynet mener, at det »ikke anses at være rimeligt over for klager«.

Nu skal Rejsekort lave en ny vurdering af behandlingsgrundlaget for alle andre kunder, hvis oplysninger bliver behandlet på baggrund af et samtykke og senest d. 1. februar 2021 sende en redegørelse til Datatilsynet.

Derudover skal de slette alle kundens persondata, som de stadig ligger inde med senest d. 1. december 2020.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#3 Steen Bundgaard

Gad vide om de husker at slette det fra backuppen, eller s er det vel ligemeget. Der var svjh et eller andet med at politiet glemte at rense backuppen for forældede nr.plade scanninger

  • 4
  • 0
#5 Jan Ferré

har rejsekort fuldstændig styr på, hvor man 'plejer' at rejse til og fra. Min datter oplevede således, at en rejse fra Slagelse til Roskilde blev faktureret som Slagelse til Hovedbanegården, da hun glemte at stemple ud i Roskilde. At hun en time senere steg på toget igen i Roskilde for at køre hjem igen, kunne systemet ikke tage sig af.

Men det er måske bare mig (og hende) som kunder, der undrer sig over den praksis.

  • 1
  • 5
#6 Peter Kyllesbeck

Min datter oplevede således, at en rejse fra Slagelse til Roskilde blev faktureret som Slagelse til Hovedbanegården, da hun glemte at stemple ud i Roskilde.

Det kunne jo være, fordi det er endestation for toget, da hun nu ikke fik tjekket ud. Hvad hun gør en time senere (plus rejsetiden fra Slagelse til Roskilde) fra første tjek-ind, kan vel næppe have indflydelse på den første rejse.

  • 4
  • 0
#8 Maciej Szeliga

Gad vide om de husker at slette det fra backuppen, eller s er det vel ligemeget. Der var svjh et eller andet med at politiet glemte at rense backuppen for forældede nr.plade scanninger

Det er blevet bekræftet at man ikke behøver slette fra backups før de bliver restoret - det har vi efterhånden flere juristers og GDPR eksperters ord for.

Det eneste krav er at backuppen ikke er tilgængelig og at den GDPR-renses efter restore og før den gøres tilgængelig.

...ja, jeg syntes også det lyder mærkligt men sådan er det så meget med jura.

  • 0
  • 0
Log ind eller Opret konto for at kommentere