10 måneder efter påbud fra Datatilsynet: Rejsekort og Rejseplanen A/S retter ind med »papir-ændring«

Illustration: Bigstock / Melander
Rejsekort har siden midten af juni sendt mails ud til deres kunder om, at de ændrer måden de opbevarer persondata på fra den 1. september. Dette sker efter at de i november sidste år fik et påbud fra Datatilsynet.

Version2 kunne tilbage i november berette, at Datatilsynet havde givet Rejsekort A/S et påbud om at ændre den lovhjemmel, som de brugte til at opbevare deres kunders persondata. Først nu bliver lovhjemlen ændret pr den 1. september.

Og det er meget lang tid at bruge på det kalder en ‘papirændring’, mener lektor på juridisk institut på SDU, Ayo Næsborg-Andersen.

»Hvis det kun er en papir-ændring, altså hvor der ikke skulle ændres noget i systemerne, så synes jeg det er utrolig lang tid.«

Med “papirændringer” refererer Ayo Næsborg-Andersen til juridiske ændringer i Rejsekort og Rejseplanen A/S' privatlivspolitik. Hun påpeger desuden, at selv hvis Rejsekort og Rejseplanen A/S havde skullet lave praktiske ændringer, så ville syv måneder stadig være for lang tid:

»Hvis det handler om systemer, der skulle omkodes, er det måske lidt mere forståeligt. Men det er stadig ret lang tid – og nok også for lang tid, når nu man selv har erkendt at der er en fejl.«

Læs også: Datatilsynet går ind i sag om deling af danske sundhedsdata

Strengt teknisk, så går Rejsekort og Rejseplanen A/S fra at bruge persondataforordningens artikel 6, stk. 1, litra a, også kaldet ‘samtykke’, til at basere deres opbevaring af persondata på litra b og c, også kaldet ‘kontrakt’ og ‘retlig forpligtelse’.

Grunden til, at ‘samtykke’ er den forkerte hjemmel er, at hvis kunden opsiger sit kundeforhold, så ville Rejsekort og Rejseplanen A/S skulle slette kundens data. Hvilket de ikke kan, ifølge Bogføringsloven, der kræver at de opbevarer dokumentation for kundeforholdet samt kundens økonomiske data i tre år efter at kundeforholdet er blevet opsagt.

Udrulning blev udskudt

Datatilsynet rejste ‘hård kritik’ af Rejsekort og Rejseplanen A/S' praksis, og pålagde dem at slette klagerens data samt udarbejde en ny vurdering af behandlingsgrundlaget, der skulle afleveres som en skriftlig redegørelse til Datatilsynet senest 1. februar 2021. Men først syv måneder efter redegørelsens deadline, ændrer Rejsekort og Rejseplanen A/S deres praksis. Spurgt ind til, om Rejsekort og Rejseplanen A/S synes at det er for lang tid, svarer kundechef Jens Willars således:

»Jo, det er det. Men det, der også ligger i den tidslomme, som du ikke vidste, det er da vi får det her påbud fra Datatilsynet, der siger de så, de vurderer jo at det grundlag, vi har henvist til, er et forkert et, i forhold til et andet et. Det har vi så en snak med dem om omkring, for vi har jo også haft en ekstern advokat til at kigge på det, men det viser sig så, at det har de ret i. Og derfor skal vi så ændre det.«

Læs også: Rejsekort får alvorlig kritik og påbud af Datatilsynet

Ifølge Jens Willars, tager processen med at opdatere kortbestemmelserne to en halv måned. Opdateringerne skal skrives, og kunderne skal have to ugers varsel, inden de træder i kraft. Og så tager det ifølge Jens Willars lang tid at skrive ud til over tre millioner kunder:

»De tre millioner, der modtager det her, de skal vide det 14 dage før det træder i kraft. I og med at vi ikke kan sende sådan en batch ud med tre mio. på en gang, og vi skal finde ud af om det er det rigtige vi gør, og de her ting, og det er heller ikke alle, der har email, så er det derfor det tager to en halv måned.«

Havde tingene gået efter planen, så ville Rejsekort og Rejseplanen A/S ifølge Jens Willars have været færdige med at udrulle de nye kortbestemmelser i midt juni. Men en henvendelse fra forbrugerombudsmanden i marts udsatte udrulningen yderligere:

»I marts kontakter forbrugerombudsmanden os, da de har kigget nærmere på vores udbetaling af restsaldoen på Rejsekort Anonymt. Og den måde vi har gjort det på indtil videre, er at du skal sende et brev ind ind til vores kundecenter og så videre. De (red. forbrugerombudsmanden) siger så, at det skal være lige så nemt at få pengene ud igen, som det er at købe et Rejsekort anonymt,« siger Jens Willars.

For at spare på omkostningerne, vælger Rejsekort og Rejseplanen A/S derfor at sende de to rettelser ud sammen:

»Det er simpelthen for at optimere hvor mange gange vi kontakter kunden, og for at optimere omkostningerne der bliver brugt af statspenge på det her. Det er det, der faktuelt er årsag til, at det har taget så lang tid.«

»Det gør, at vi skal ændre inde i kortbestemmelserne igen, og for så ikke at forstyrre dig to gange, plus omkostningen der ligger i at gøre det, så venter vi med at sende det her ud til april, for at få det med forbrugerombudsmanden ind, og det er så det, du har modtaget nu.«

Ingen praktisk betydning for kunden

Ifølge Jens Willars, så har man vurderet at man godt kunne spare omkostningen ved at lave to udrulninger af kortbestemmelser og slå dem sammen, fordi brugen af forkert lovhjemmel ikke har nogen praktisk betydning for kunden, kun juridisk.

Læs også: Nu skal rejsekortet moderniseres: »Det er for stort, komplekst og sårbart til at tage nye og uprøvede teknologier ind«

Det var en klagesag, der førte til at Datatilsynet gik ind i sagen. En kunde trak i marts 2019 sit samtykke tilbage, og blev informeret om, at Rejsekort og Rejseplanen A/S ville opbevare hendes økonomiske oplysninger i tre år, fordi de var forpligtet til det efter bogføringsloven. Men den lovhjemmel Rejsekort og Rejseplanen A/S, tillod ikke at de opbevarede nogen data, hvis kunden trak sit samtykke tilbage.

Ifølge Jens Willars har 5000 kunder opsagt deres kundeforhold med Rejsekort og Rejseplanen A/S siden man gjorde dem opmærksom på, at man ændrede kortbestemmelserne. Ingen af dem skulle dog have angivet lovhjemmel som årsagen til opsigelsen.

Datatilsynet har ikke ønsket at kommentere sagen, da de vurderede at de ikke ville foretage sig yderligere efter at have modtaget Rejsekort og Rejseplanen A/S' redegørelse.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Thomas Rasmussen

"fordi brugen af forkert lovhjemmel ikke har nogen praktisk betydning for kunden, kun juridisk."

GDPR er kun blevet vedtaget for slutbrugerens skyld, og konsekvenser ved al jura er praksis. Enhver dataansvarlig med uorden i sagerne, vil naturligvis hævde det modsatte.

  • 21
  • 0
#2 Henrik P. Stougaard Nielsen

Datatilsynet har ikke ønsket at kommentere sagen, da de vurderede at de ikke ville foretage sig yderligere efter at have modtaget Rejsekort og Rejseplanen A/S' redegørelse.

Det lyder som det danske Datatilsyn. Det har tydeligvis ingen konsekvenser ikke at have styr på GDPR i Danmark - for selv, hvis der kommer et påbud eller en bøde, så behøver man ikke overholde deadlines eller at frygte for bødens størrelse.

  • 5
  • 0
Log ind eller Opret konto for at kommentere