Rejsekort får alvorlig kritik og påbud af Datatilsynet
Virksomheden Rejsekort A/S får alvorlig kritik og et påbud af Datatilsynet, efter de har gemt en tidligere kundes personoplysninger.
Kunden bestilte nemlig et personligt rejsekort i 2015, hvor hun gav Rejsekort et samtykke til at behandle flere af hendes data - blandt andet økonomiske oplysninger.
Men d. 19. marts 2020 trak kunden det samtykke tilbage, hvorefter Rejsekort sendte en mail til hende med en bekræftelse af, at hun ikke længere var kunde hos virksomheden. I samme mail oplyste firmaet, at de ville beholde hendes økonomiske oplysninger i fem år, fordi bogføringsloven forpligtede dem til det. Derudover ville man gemme hendes rejsedata og dokumentation for, at hun har været kunde i tre år.
Hun klagede med det samme til Datatilsynet over Rejsekort, da hun ikke mente, at det var relevant for virksomheden at beholde blandt andet hendes personnummer og kreditkortdata.
Forkert og skiftende behandlingsgrundlag
Datatilsynet har nu besluttet at give en alvorlig kritik og påbud til Rejsekort, fordi tilsynet vurderer, at virksomheden fra start har brugt et forkert behandlingsgrundlag til at behandle kundens oplysninger.
»Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Rejsekort har behandlet oplysninger om klager i strid med det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed,« skriver tilsynet.
Det står nemlig i databeskyttelsesloven, at den dataansvarlige - i dette tilfælde Rejsekort - må behandle personoplysninger af fire årsager: Hvis der er givet et samtykke, hvis det er nødvendigt for at indgå en kontrakt, hvis det er nødvendigt for at overholde loven, eller hvis det er nødvendigt ‘henset til en legitim interesse’.
Den dataansvarlige skal overveje, hvilke årsag der passer bedst, før de begynder at behandle personoplysninger.
I dette tilfælde valgte Rejsekort, at den primære årsag var samtykke, men Datatilsynet er uenig - det skulle have været, at behandlingen var nødvendig for at indgå en kontrakt - i dette tilfælde en kundekontrakt.
Den kundekontrakt ophørte, da kunden trak sit samtykke tilbage, og derfor ser Datatilsynet ikke grund til, at Rejsekort fortsat skal behandle hendes oplysninger.
Derudover har Rejsekort skiftet behandlingsgrundlag undervejs, da kunden trak sit samtykke tilbage. Pludselig var årsagen til at beholde oplysningerne, at det var nødvendigt for at overholde bøgføringsloven. Datatilsynet mener, at det »ikke anses at være rimeligt over for klager«.
Nu skal Rejsekort lave en ny vurdering af behandlingsgrundlaget for alle andre kunder, hvis oplysninger bliver behandlet på baggrund af et samtykke og senest d. 1. februar 2021 sende en redegørelse til Datatilsynet.
Derudover skal de slette alle kundens persondata, som de stadig ligger inde med senest d. 1. december 2020.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
