Datatilsynet politianmelder og indstiller til første GDPR-bøde - mod et taxiselskab

Illustration: MI grafik
Knap 9 mio. personhenførbare taxature er blevet gemt uden et sagligt formål, vurderer Datatilsynet

Opdateret kl. 13:40.

Taxa 4x35 er blevet indstillet til en bøde for manglende sletning af kundernes oplysninger. Det oplyser tilsynet i en meddelelse.

Sagen tager sit udspring i, at knap 9 mio. personhenførbare taxature er blevet gemt uden et sagligt formål, vurderer Datatilsynet. Det er første gang, Datatilsynet indstiller til en bøde efter reglerne i databeskyttelsesforordningen. GDPR.

»Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes med det samme,« siger Datatilsynets direktør, Cristina Angela Gulisano, ifølge meddelelsen.

Datatilsynet oplyser til Version2, at den indstillede bøde er på 1,2 millioner kroner.

Sagen udspringer af, at Datatilsynet i efteråret 2018 var på et tilsynsbesøg hos Taxa 4x35 , hvor der bl.a. blev set på, om taxaselskabet har fastsat frister for sletning af kundernes oplysninger - og om fristerne bliver efterlevet.

Ifølge Taxa 4x35 anonymiseres de oplysninger, der anvendes til kundens bestilling og afvikling af taxature, efter to år, da der herefter ikke længere er behov for at kunne identificere kunden.

Det er imidlertid kun kundens navn, der slettes efter de to år - men ikke kundens telefonnummer, oplyser Datatilsynet.

Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kan derfor fortsat henføres til en fysisk person via telefonnummeret, som først slettes efter fem år.

På tidspunktet for tilsynsbesøget var der registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.

Anmeldt til Københavns Politi

Datatilsynet har politianmeldt selskabet for manglende overholdelse af reglerne for opbevaringsbegrænsning, idet proceduren for anonymisering af personoplysninger er utilstrækkelig, men også fordi opbevaring af kunders telefonnummer i 5 år ikke er nødvendigt i forhold til de formål, hvortil de opbevares.

Herudover udtaler tilsynet alvorlig kritik af, at Taxa 4x35 ikke har efterlevet databeskyttelsesforordningens krav.

Datatilsynets vurdering

Grunden til, at telefonnummeret ikke slettes, er ifølge taxaselskabet, at nummeret er nøglen til systemets database og derfor er nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

Datatilsynets mener imidlertid ikke, at man fastlægge en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

Sagens næste skridt

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i Estland og Danmark.

Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (12)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Simon Mikkelsen

Denne sag er naturligvis ikke lige meget, men den er forsvindende lille sammenlignet med hvad der sker i hverdagen.

Ser vi derimod hvordan praktisk talt hver eneste dansker der er online dagligt bliver sporet af firmaer som Google, Facebook samt en række mindre kendte spillere, får man fornemmelsen af, at Datatilsynet er gået efter en større men nem sag. Flere andre myndigheder, der er ligeså underbemandede som Datatilsynet, gør det samme.

Det er fint at de går efter virksomheder som har haft et konkret læk eller folk har anmeldt dem. Men så længe de ikke har aflagt Google og Facebook et kontrolbesøg og har gang i sagen, ser jeg ikke deres virke som gavnligt for samfundet.

Skal vi bare slå vores egne i hovedet mens de udenlandske får lov til at slå sig løs?

Alex R. Tomkiewicz

Vi skal ikke sammenligne direkte med Google, Facebook og andre mega-foretagender. Disse første lokale GDPR-sager er vigtige i sig selv, da de vil vise hvor juraen og afgørelserne lander. Også set i lyset af, at Datatilsynet ikke ser ud til at ligge i de mest gunstige politiske vinde - når det f.eks. er besluttet, at de ikke selv må uddele administrative bøder, som det jo ellers er flertallet af datatilsyn som kan.

Så lad os se forløbet, hvor langt tid kommer den juridiske proces til at tage, og hvad bliver resultatet og størrelsen på bøden...

René Nielsen

Det er vanskeligt at bevise, men sådanne oplysninger er meget værdifulde for Datamining selskaber. Derfor skal datatilsynet i min optik straks skride til politianmeldelse pga. det åbenlyse misbrugspotentiale.

Data indleveret af kunden selv om (real) navn, adresse, telefonnummer og e-mail, har meget høj validitet og ville kunne sikre at kunder effektivt kan spores på tværs af platforme, brugernavne, sociale medier mv.

Her hjælper det ikke noget om du ifølge lovgivningen har udeladt, beskyttet eller hemmelig adresse. Man vil kunne identificere enkelpersoner og Datamining selskaber lever jo af, at sælge disse data videre.

En ny telefon, pc eller profil vil ikke hjælpe hvis disse data kombineres med f.eks. fb data.

En voldelig mand, muslimsk terrorist eller højre radikal tosse vil kunne finde sine ofrer, selvom disse potentielle ofre ifølge loven nyder f.eks. adressebeskyttelse.

Jeg håber at datatilsynet har undersøgt salg af data til Datamining selskaber!

Maciej Szeliga

Skal vi bare slå vores egne i hovedet mens de udenlandske får lov til at slå sig løs?


Jeg glæder mig til at du får bevist påstanden...

De kære virksomheder påstår bare at de sletter al data lige så snart du har forladt sitet men i virkeligheden vil de bare sende data'ene bagud gennem eget kabel hjem til serverne i USA.
Jeg er sikker på at det også det som MS har tænkt sig at gøre med den afslørede Office365 telemetri... i stedet for at det går direkte til Seattle kommer det til at blive sendt via O365 serverne i Europa til Seattle - "Øv Bøv, fang os hvis i kan!".

Jan Larsen

Jeg læser et par vigtige og interessante oplysninger i denne artikel.

Er 1.2 million 4% af 4x35's årlige omsætning eller er der rabat?

Er det 4% af 4x35's omsætning i de tre år overtrædelsen bliver beregnet efter, eller snakker vi rabat?

Da knap 8 millioner personers data giver en straf på 1.2 millioner kroner, betyder det at dine, mine og deres personlige oplysninger, vurderes af Datatilsynet, til at være er 60 øre værd.

Jan Larsen

Det interessante er Datatilsynet tolkning af loven ...

Ifølge CVR registret er 4x35's omsætning i 2018 knap 64 mill. Hvilket gør bødens størrelse bliver ca. 2% af 4x35's omsætning.
- For 8 millioner overtrædelser.

Min tolkning er, persondata har kun værdi i Europæisk sammenhæng, men ingen værdi i dansk lovgivning.

Klavs Klavsen

Jeg kan godt følge dig, men jeg ville nu foretrække at sager imod google, facebook mv. røg op på EU niveau - hvor man jo må sige at Margrethe Vestager har haft god success.. Jeg ved ikke om hun må kigge på GDPR sager også.. men man kunne jo håbe ;)

Imens er det bestemt MEGET relevant at begynde at "tvinge" firmaerne herhjemme til at få lidt meget tiltrængt fokus på persondata, sikkerhed mv. - da det sejler.

Bjarne Nielsen

Jeg kan godt følge dig, men jeg ville nu foretrække at sager imod google, facebook mv. røg op på EU niveau - hvor man jo må sige at Margrethe Vestager har haft god success..

Der er flere sager i gang, men de ryger som hovedregel til Irland, hvor de berørte firmaer juridisk hører hjemme. Det irske datatilsyn er efter sigende på sagen, men det tager vist sin tid. Det er nok også modparter, som vil kunne forstå at forhale processen ganske meget, hvis det er i deres interesse.

Datatilsynet i Frankrig har dog været på banen selv, og der er også kommet noget fra datatilsyn i visse tyske delstater, så selvom det som hovedregel sker i Irland, så er der undtagelser.

Hvis man vil have princippielle afgørelser, så kan det give mening også at tage nogle nemmere sager, og danske afgørelser slår alt andet lige nemmest igennem i Danmark.

PS: Man må håbe at Irland formår at få krasset noget virksomhedsskat ind, når de nu i praksis hænger på så stor en del af tilsynsforpligtelsen.

Log ind eller Opret konto for at kommentere