Det fynske trafikselskab Fynbus har ikke fortalt sine kunder godt nok om den dataindsamling, som virksomheden laver af sine kunder, når de køber billetter til busser eller Flextrafik.
Det konkluderer Datatilsynet i en ny afgørelse, hvor GDPR-myndigheden udtaler kritik af det fynske trafikselskab.
Undersøgelsen af Fynbus har været en del af Datatilsynets tilsynsturné i 2019, hvor fokus har ligget på den daglige overvågning.
Under tilsynet med trafikselskabet har Datatilsynet kigget nærmere på, hvordan selskabet har arbejdet med at oplyse sine kunder om den dataindsamling, som virksomheden foretager om blandt andet kundernes rejsehistorik.
Datatilsynet kritiserer blandt andet Fynbus for ikke at leve op til oplysningskravene i GDPR i tre ud af fem af selskabets app- og web-tjenester. Det skyldes, at virksomheden ikke har informeret sine kunder ordentligt om den dataindsamling, der foregår, når kunderne laver køb gennem tjenesterne.
»Kunderne har derimod selv skullet fremsøge oplysningerne på hjemmesiden,« skriver Datatilsynet i afgørelsen.
Samtidig har privatlivspolitikken på to af webtjenesterne haft flere huller, når det kom til at informere kunderne om dataindsamlingen.
Alvorlig kritik for app
Datatilsynet har også rettet søgelyset mod trafikselskabets applikation til mobilbilletter ved navn Fynbus Mobilbillet.
Efter Datatilsynet meddelte virksomheden, at der ville komme et tilsynsbesøg, opdaterede selskabet sin privatlivspolitik i applikationen, fordi den indtil da havde taget udgangspunkt i den ophævede persondatalov i stedet for den nye databeskyttelsesforordning.
Det betød, at der ikke var skrevet kontaktoplysninger på selskabets databeskyttelsesrådgiver. Det har Fynbus tilføjet i den opdaterede version, men alligevel er der stadig flere mangler, påpeger Datatilsynet.
Derfor er den del af undersøgelsen endt med en særligt løftet pegefinger og »alvorlig kritik«, på grund af en »særdeles mangelfuld« privatlivspolitik.