10 måneder efter påbud fra Datatilsynet: Rejsekort og Rejseplanen A/S retter ind med »papir-ændring«

30. august 2021 kl. 03:002
10 måneder efter påbud fra Datatilsynet: Rejsekort og Rejseplanen A/S retter ind med »papir-ændring«
Illustration: Bigstock / Melander.
Rejsekort har siden midten af juni sendt mails ud til deres kunder om, at de ændrer måden de opbevarer persondata på fra den 1. september. Dette sker efter at de i november sidste år fik et påbud fra Datatilsynet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Version2 kunne tilbage i november berette, at Datatilsynet havde givet Rejsekort A/S et påbud om at ændre den lovhjemmel, som de brugte til at opbevare deres kunders persondata. Først nu bliver lovhjemlen ændret pr den 1. september.

Og det er meget lang tid at bruge på det kalder en ‘papirændring’, mener lektor på juridisk institut på SDU, Ayo Næsborg-Andersen.

»Hvis det kun er en papir-ændring, altså hvor der ikke skulle ændres noget i systemerne, så synes jeg det er utrolig lang tid.«

Med “papirændringer” refererer Ayo Næsborg-Andersen til juridiske ændringer i Rejsekort og Rejseplanen A/S' privatlivspolitik. Hun påpeger desuden, at selv hvis Rejsekort og Rejseplanen A/S havde skullet lave praktiske ændringer, så ville syv måneder stadig være for lang tid:

Artiklen fortsætter efter annoncen

»Hvis det handler om systemer, der skulle omkodes, er det måske lidt mere forståeligt. Men det er stadig ret lang tid – og nok også for lang tid, når nu man selv har erkendt at der er en fejl.«

Strengt teknisk, så går Rejsekort og Rejseplanen A/S fra at bruge persondataforordningens artikel 6, stk. 1, litra a, også kaldet ‘samtykke’, til at basere deres opbevaring af persondata på litra b og c, også kaldet ‘kontrakt’ og ‘retlig forpligtelse’.

Grunden til, at ‘samtykke’ er den forkerte hjemmel er, at hvis kunden opsiger sit kundeforhold, så ville Rejsekort og Rejseplanen A/S skulle slette kundens data. Hvilket de ikke kan, ifølge Bogføringsloven, der kræver at de opbevarer dokumentation for kundeforholdet samt kundens økonomiske data i tre år efter at kundeforholdet er blevet opsagt.

Udrulning blev udskudt

Datatilsynet rejste ‘hård kritik’ af Rejsekort og Rejseplanen A/S' praksis, og pålagde dem at slette klagerens data samt udarbejde en ny vurdering af behandlingsgrundlaget, der skulle afleveres som en skriftlig redegørelse til Datatilsynet senest 1. februar 2021. Men først syv måneder efter redegørelsens deadline, ændrer Rejsekort og Rejseplanen A/S deres praksis. Spurgt ind til, om Rejsekort og Rejseplanen A/S synes at det er for lang tid, svarer kundechef Jens Willars således:

Artiklen fortsætter efter annoncen

»Jo, det er det. Men det, der også ligger i den tidslomme, som du ikke vidste, det er da vi får det her påbud fra Datatilsynet, der siger de så, de vurderer jo at det grundlag, vi har henvist til, er et forkert et, i forhold til et andet et. Det har vi så en snak med dem om omkring, for vi har jo også haft en ekstern advokat til at kigge på det, men det viser sig så, at det har de ret i. Og derfor skal vi så ændre det.«

Ifølge Jens Willars, tager processen med at opdatere kortbestemmelserne to en halv måned. Opdateringerne skal skrives, og kunderne skal have to ugers varsel, inden de træder i kraft. Og så tager det ifølge Jens Willars lang tid at skrive ud til over tre millioner kunder:

»De tre millioner, der modtager det her, de skal vide det 14 dage før det træder i kraft. I og med at vi ikke kan sende sådan en batch ud med tre mio. på en gang, og vi skal finde ud af om det er det rigtige vi gør, og de her ting, og det er heller ikke alle, der har email, så er det derfor det tager to en halv måned.«

Havde tingene gået efter planen, så ville Rejsekort og Rejseplanen A/S ifølge Jens Willars have været færdige med at udrulle de nye kortbestemmelser i midt juni. Men en henvendelse fra forbrugerombudsmanden i marts udsatte udrulningen yderligere:

Artiklen fortsætter efter annoncen

»I marts kontakter forbrugerombudsmanden os, da de har kigget nærmere på vores udbetaling af restsaldoen på Rejsekort Anonymt. Og den måde vi har gjort det på indtil videre, er at du skal sende et brev ind ind til vores kundecenter og så videre. De (red. forbrugerombudsmanden) siger så, at det skal være lige så nemt at få pengene ud igen, som det er at købe et Rejsekort anonymt,« siger Jens Willars.

For at spare på omkostningerne, vælger Rejsekort og Rejseplanen A/S derfor at sende de to rettelser ud sammen:

»Det er simpelthen for at optimere hvor mange gange vi kontakter kunden, og for at optimere omkostningerne der bliver brugt af statspenge på det her. Det er det, der faktuelt er årsag til, at det har taget så lang tid.«

»Det gør, at vi skal ændre inde i kortbestemmelserne igen, og for så ikke at forstyrre dig to gange, plus omkostningen der ligger i at gøre det, så venter vi med at sende det her ud til april, for at få det med forbrugerombudsmanden ind, og det er så det, du har modtaget nu.«

Ingen praktisk betydning for kunden

Ifølge Jens Willars, så har man vurderet at man godt kunne spare omkostningen ved at lave to udrulninger af kortbestemmelser og slå dem sammen, fordi brugen af forkert lovhjemmel ikke har nogen praktisk betydning for kunden, kun juridisk.

Det var en klagesag, der førte til at Datatilsynet gik ind i sagen. En kunde trak i marts 2019 sit samtykke tilbage, og blev informeret om, at Rejsekort og Rejseplanen A/S ville opbevare hendes økonomiske oplysninger i tre år, fordi de var forpligtet til det efter bogføringsloven. Men den lovhjemmel Rejsekort og Rejseplanen A/S, tillod ikke at de opbevarede nogen data, hvis kunden trak sit samtykke tilbage.

Ifølge Jens Willars har 5000 kunder opsagt deres kundeforhold med Rejsekort og Rejseplanen A/S siden man gjorde dem opmærksom på, at man ændrede kortbestemmelserne. Ingen af dem skulle dog have angivet lovhjemmel som årsagen til opsigelsen.

Datatilsynet har ikke ønsket at kommentere sagen, da de vurderede at de ikke ville foretage sig yderligere efter at have modtaget Rejsekort og Rejseplanen A/S' redegørelse.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
30. august 2021 kl. 20:23

Datatilsynet har ikke ønsket at kommentere sagen, da de vurderede at de ikke ville foretage sig yderligere efter at have modtaget Rejsekort og Rejseplanen A/S' redegørelse.

Det lyder som det danske Datatilsyn. Det har tydeligvis ingen konsekvenser ikke at have styr på GDPR i Danmark - for selv, hvis der kommer et påbud eller en bøde, så behøver man ikke overholde deadlines eller at frygte for bødens størrelse.

1
30. august 2021 kl. 06:59

"fordi brugen af forkert lovhjemmel ikke har nogen praktisk betydning for kunden, kun juridisk."

GDPR er kun blevet vedtaget for slutbrugerens skyld, og konsekvenser ved al jura er praksis. Enhver dataansvarlig med uorden i sagerne, vil naturligvis hævde det modsatte.