Rejsekort får alvorlig kritik og påbud af Datatilsynet

10. november 2020 kl. 16:398
Rejsekort skal slette alle oplysninger på en tidligere kunde og revurdere behandlingen af andre kunders personoplysninger efter en alvorlig kritik og påbud fra Datatilsynet.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Virksomheden Rejsekort A/S får alvorlig kritik og et påbud af Datatilsynet, efter de har gemt en tidligere kundes personoplysninger.

Kunden bestilte nemlig et personligt rejsekort i 2015, hvor hun gav Rejsekort et samtykke til at behandle flere af hendes data - blandt andet økonomiske oplysninger.

Men d. 19. marts 2020 trak kunden det samtykke tilbage, hvorefter Rejsekort sendte en mail til hende med en bekræftelse af, at hun ikke længere var kunde hos virksomheden. I samme mail oplyste firmaet, at de ville beholde hendes økonomiske oplysninger i fem år, fordi bogføringsloven forpligtede dem til det. Derudover ville man gemme hendes rejsedata og dokumentation for, at hun har været kunde i tre år.

Hun klagede med det samme til Datatilsynet over Rejsekort, da hun ikke mente, at det var relevant for virksomheden at beholde blandt andet hendes personnummer og kreditkortdata.

Forkert og skiftende behandlingsgrundlag

Datatilsynet har nu besluttet at give en alvorlig kritik og påbud til Rejsekort, fordi tilsynet vurderer, at virksomheden fra start har brugt et forkert behandlingsgrundlag til at behandle kundens oplysninger.

Artiklen fortsætter efter annoncen

»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Rejsekort har behandlet oplysninger om klager i strid med det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed,« skriver tilsynet.

Det står nemlig i databeskyttelsesloven, at den dataansvarlige - i dette tilfælde Rejsekort - må behandle personoplysninger af fire årsager: Hvis der er givet et samtykke, hvis det er nødvendigt for at indgå en kontrakt, hvis det er nødvendigt for at overholde loven, eller hvis det er nødvendigt ‘henset til en legitim interesse’.

Den dataansvarlige skal overveje, hvilke årsag der passer bedst, før de begynder at behandle personoplysninger.

I dette tilfælde valgte Rejsekort, at den primære årsag var samtykke, men Datatilsynet er uenig - det skulle have været, at behandlingen var nødvendig for at indgå en kontrakt - i dette tilfælde en kundekontrakt.

Den kundekontrakt ophørte, da kunden trak sit samtykke tilbage, og derfor ser Datatilsynet ikke grund til, at Rejsekort fortsat skal behandle hendes oplysninger.

Derudover har Rejsekort skiftet behandlingsgrundlag undervejs, da kunden trak sit samtykke tilbage. Pludselig var årsagen til at beholde oplysningerne, at det var nødvendigt for at overholde bøgføringsloven. Datatilsynet mener, at det »ikke anses at være rimeligt over for klager«.

Nu skal Rejsekort lave en ny vurdering af behandlingsgrundlaget for alle andre kunder, hvis oplysninger bliver behandlet på baggrund af et samtykke og senest d. 1. februar 2021 sende en redegørelse til Datatilsynet.

Derudover skal de slette alle kundens persondata, som de stadig ligger inde med senest d. 1. december 2020.

8 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
8
15. november 2020 kl. 10:09

Gad vide om de husker at slette det fra backuppen, eller s er det vel ligemeget. Der var svjh et eller andet med at politiet glemte at rense backuppen for forældede nr.plade scanninger

Det er blevet bekræftet at man ikke behøver slette fra backups før de bliver restoret - det har vi efterhånden flere juristers og GDPR eksperters ord for.

Det eneste krav er at backuppen ikke er tilgængelig og at den GDPR-renses efter restore og før den gøres tilgængelig.

...ja, jeg syntes også det lyder mærkligt men sådan er det så meget med jura.

7
12. november 2020 kl. 08:08

I den situation kan man benytte APP'en check-udvej, eller via Rejsekorts hjemmeside registrere manglende check-ud, op til 14 dage efter den uafsluttede rejse.

5
11. november 2020 kl. 14:04

har rejsekort fuldstændig styr på, hvor man 'plejer' at rejse til og fra. Min datter oplevede således, at en rejse fra Slagelse til Roskilde blev faktureret som Slagelse til Hovedbanegården, da hun glemte at stemple ud i Roskilde. At hun en time senere steg på toget igen i Roskilde for at køre hjem igen, kunne systemet ikke tage sig af.

Men det er måske bare mig (og hende) som kunder, der undrer sig over den praksis.

3
11. november 2020 kl. 12:30

Gad vide om de husker at slette det fra backuppen, eller s er det vel ligemeget. Der var svjh et eller andet med at politiet glemte at rense backuppen for forældede nr.plade scanninger

2
11. november 2020 kl. 11:15

Jeg har hørt undskyldningen andre steder, hvor man er ked af ikke at kunne profilere sine kunder.

Bogføringsloven er ikke anderledes for Rejsekortet og andre, end den er for købmanden.

1
11. november 2020 kl. 08:46

Jeg syntes det er lidt slapt at de ikke får en bøde.