Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlingsgrundlag
Datatilsynet har udtalt alvorlig kritik af, at en transportbetalingsvirksomhed har behandlet personoplysninger på baggrund af et forkert behandlingsgrundlag. Efter Datatilsynets opfattelse skal virksomheden foretage en fornyet vurdering af behandlingsgrundlaget for de omstridte behandlingsaktiviteter. Vi ser nærmere på sagen i denne nyhed.
Transportbetalingsvirksomheden har behandlet personoplysninger i strid med databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed i artikel 5, stk. 1, litra a, da virksomheden ikke burde have baseret behandlingen af personoplysninger på et samtykke, hvilket Datatilsynet baggrund af en klage har kritiseret. Datatilsynet har desuden udtalt alvorlig kritik af, at virksomheden fortsatte behandlingen af personoplysninger om klagers aftaleindgåelse og rejsedata, efter at klager trak sit samtykke tilbage. På den baggrund har Datatilsynet meddelt virksomheden påbud om at slette disse personoplysninger.
Sagens omstændigheder
Klager havde bestilt et personligt rejsekort og i den forbindelse givet sit samtykke til, at transportbetalingsvirksomheden behandlede klagers personoplysninger. Virksomheden havde oplyst, at det retlige grundlag for behandlingen af klagers personoplysninger var samtykke efter databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Da klager efterfølgende trak sit samtykke tilbage, oplyste transportbetalingsvirksomheden, at klagers kundeforhold hos virksomheden var blevet afsluttet, og at klagers personoplysninger var blevet slettet. Virksomheden oplyste også, at den i medfør af bogføringsloven var forpligtet til fortsat at opbevare økonomiske data i fem år, og at den derfor fortsat opbevarede rejsedata og dokumentation for aftaleindgåelse i tre år fra kundeforholdets ophør. Klager indgav herefter en klage til Datatilsynet over virksomhedens manglende sletning af alle hendes personoplysninger.
Datatilsynets afgørelse
Datatilsynet lagde til grund, at virksomheden behandlede klagers personoplysninger på grundlag af klagers samtykke, indtil klager trak sit samtykke tilbage, og at virksomheden havde tilrettelagt sin behandling af personoplysninger således, at der skulle ske skift i behandlingsgrundlaget, hvis samtykket blev trukket tilbage. Således blev behandlingen af oplysninger vedrørende klagers aftaleindgåelse, rejsedata samt træk og indbetalinger på rejsekortet (supplerende) efterfølgende baseret på kontraktopfyldelse, opfyldelse af retlige forpligtelser (bogføringsloven) og interesseafvejningsreglen.
Datatilsynet udtalte, at transportbetalingsvirksomhedens behandling af oplysninger om klager slet ikke burde have været baseret på et samtykke. Og at virksomheden under hele aftaleforholdet med klager burde have anvendt databeskyttelsesforordningens regler om kontraktopfyldelse og opfyldelse af retlige forpligtelser som retsgrundlag.
Datatilsynet tillagde det væsentlig betydning, at en dataansvarlig som altovervejende udgangspunkt ikke bør skifte behandlingsgrundlag, efter behandlingen af personoplysninger er påbegyndt. Det er desuden særligt problematisk, når behandlingen sker på baggrund af et samtykke, da et samtykke efter databeskyttelsesforordningen er udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger behandles.
Datatilsynet udtalte derfor alvorlig kritik af, at transportbetalingsvirksomheden havde tilsidesat databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed, og at virksomheden fortsatte behandlingen af klagers rejsedata og oplysninger om aftaleindgåelsen efter, at samtykket var trukket tilbage. Datatilsynet pålagde virksomheden at fremsende skriftlig redegørelse for en fornyet vurdering af behandlingsgrundlaget samt sletning af personoplysninger, som virksomheden ikke var retlig forpligtet til at opbevare efter bogføringsloven.
Kromann Reumerts bemærkninger
Afgørelsen er i tråd med Datatilsynets vejledning om samtykke: Den dataansvarlige kan som udgangspunkt ikke skifte behandlingsgrundlag, hvis den registrerede trækker sit samtykke tilbage. Dette vil medføre, at den registrerede ikke har et reelt valg og kontrol over behandlingen af vedkommendes personoplysninger. Det følger dog af vejledningen, at den dataansvarlige kan fortsætte behandlingen, hvis der kan identificeres et andet lovligt grundlag for behandlingen end samtykke; f.eks. hvor fortsat opbevaring af oplysninger er nødvendig af hensyn til overholdelse af reglerne om bogføring. Ved overgangen til dette hjemmelsgrundlag er det dog ikke sikkert, at alle oplysninger fortsat kan opbevares, så det skal tjekkes nøje.
Datatilsynet understreger i sin afgørelse, at det vil være "forkert" at anvende samtykke som behandlingsgrundlag, hvis der kan identificeres mere passende alternative behandlingsgrundlag. Den dataansvarlige skal således nøje overveje, hvilket lovligt behandlingsgrundlag en behandling af personoplysninger skal baseres på forud for behandlingen. Den vurdering skal desuden ske under iagttagelse af databeskyttelsesforordningens grundlæggende behandlingsprincipper, herunder princippet om lovlighed, rimelighed og gennemsigtighed.
På den baggrund bør det i hvert enkelt tilfælde nøje overvejes, om samtykke er det mest hensigtsmæssige behandlingsgrundlag.