Første danske sag om bøde: Data­tilsynet indstiller Taxa 4x35 til million­bøde

Den 18. marts 2019 politianmeldte Datatilsynet Taxa 4x35 og indstillede selskabet til en bøde på 1,2 mio. kr. for at bryde med databeskyttelsesforordningen. Det er den første danske sag, hvor det danske datatilsyn har indstillet til en bøde for brud på forordningen.

Kort om sagen

Da Datatilsynet var på tilsynsbesøg hos Taxa 4x35 i efteråret 2018, så tilsynet blandt andet på, om taxaselskabet havde fastsat frister for sletning af kundernes oplysninger, og om disse frister blev overholdt.
 
Taxa 4x35 havde fastsat en toårsfrist, så oplysninger, som blev anvendt til kundens bestilling og afvikling af taxature, blev anonymiseret efter to år. Derimod blev kundens telefonnummer først slettet efter fem år. Oplysninger om kundens taxature, som blandt andet omfattede afhentnings- og afleveringssteder, kunne derfor, i en femårig periode, fortsat henføres til en fysisk person.

Ifølge Taxa 4x35 blev telefonnumrene først slettet efter fem år, fordi numrene, ifølge selskabet, var nøglen til systemets database og derfor var nødvendige i forhold til selskabets produkt- og forretningsudvikling.

På tidspunktet for tilsynsbesøget havde taxaselskabet registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.
 

Datatilsynets vurdering

Indledningsvis fandt Datatilsynet, at oplysningerne var personhenførbare, hvorfor der var tale om personoplysninger. 

Datatilsynets fastslog, at kundernes personoplysninger ikke var blevet anonymiserede, da en anonymisering medfører, at kunden ikke efterfølgende kan identificeres ud fra oplysningerne. Gennem telefonnummeret var det blandt andet muligt for taxaselskabet at identificere dato for kørslen, kørslens begyndelses- og sluttidspunkt, antal kørte kilometer, betaling samt start- og slutpositionen. Taxaselskabets procedure for anonymisering af personoplysninger levede derfor ikke op til kravene i databeskyttelsesforordningen.

Datatilsynet fastslog desuden, at taxaselskabet ikke kan fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi selskabets system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

På baggrund af disse forhold indstillede Datatilsynet taxaselskabet til en bøde på 1,2 mio. kr.

Derudover fastslog Datatilsynet, at taxaselskabet ikke havde levet op til databeskyttelsesforordningens krav om ansvarlighed, da taxaselskabet ikke havde skabt klarhed over, hvilket grundlag kundernes telefonnumre var blevet behandlet efter.

Ved tilsynsbesøget kunne taxaselskabet heller ikke dokumentere selskabets procedurer for opfølgning på sletning og genindlæsning af tidligere slettede personoplysninger i forbindelse med backup. Selskabets logning af foretagne sletninger havde desuden været utilstrækkelig, da det kun fremgik af logningsdokumentet, hvem der havde udført sletningen, og hvornår sletningen var blevet foretaget. 
 
Disse to forhold, hvor taxaselskabet ikke havde levet op til databeskyttelsesforordningens krav om dokumentation og opfølgning på sletning samt kravet om behandlingsgrundlag, medførte en alvorlig kritik fra Datatilsynet.
 

Efterspil

Selv om de nationale datatilsyn i de fleste europæiske lande kan udstede administrative bøder, forholder det sig anderledes i Danmark.

I Danmark fungerer det sådan, at Datatilsynet – efter at have belyst og vurderet sagen – politianmelder den dataansvarlige med en indstilling til en evt. bøde. Det er derefter politiets opgave at undersøge, om der er grundlag for at rejse en tiltale mv. Hvis der rejses tiltale, er det domstolene, der endeligt tager stilling til en eventuel bødestraf.

Det danske datatilsyn får først mulighed for at give et bødeforlæg, når der i retspraksis er fastlagt et bødeniveau og under forudsætning af, at der er tale om ukomplicerede sager uden bevismæssige tvivlsspørgsmål. Derefter kan sagen afgøres uden retssag, hvis den, der har begået overtrædelsen, erklærer sig skyldig i overtrædelsen og erklærer sig rede til at betale den bøde, der er angivet i bødeforlægget, inden en given frist.


Vil du læse mere om, hvordan overtrædelser af databeskyttelsesreglerne bliver håndteret, kan du læse vores tidligere nyhed: Rigadvokaten: Sådan skal overtrædelse af databeskyttelsesreglerne behandles. 
 

Læs Datatilsynets udtalelse om sagen. 


Læs også Datatilsynets nyhed: Datatilsynet indstiller taxaselskab til bøde på 1,2 mio. kroner