Datatilsynet kom på tilsynsbesøg

23. april 2019
Emner: IT-revision og -sikkerhedsrådgivning

Databeskyttelse: Krav om bøde på 1,2 mio. kr. og alvorlig kritik af taxafirma. I efteråret 2018 var Datatilsynet på tilsynsbesøg hos Taxa 4x35. Besøget resulterede i et bødekrav på 1,2 mio. kr. Det giver en god indikation af, hvordan tilsynet fremover vil vurdere og taksere overtrædelser af databeskyttelsesforordningen og kan også bruges som tjekliste til egne processer inden for databeskyttelse.

Beierholm rådgivning og revision 12

Hvordan blev reglerne overtrådt?

Den meget korte version: Taxa 4x35 har gemt næsten 9 millioner personhenførbare taxature i op til fem år og uden nogen god grund.

Den lidt længere version: Taxa 4x35 registrerer alle taxature i sit it-system. Her fremgår kundens navn, telefonnummer, dato for kørslen, kørslens begyndelses- og sluttidspunkt, antal kørte kilometer, betalingen samt start- og slutposition. Efter to år slettes kundens navn, men de øvrige oplysninger bibeholdes i yderligere 3 år til forretningsudviklingsmæssige formål. Hermed anonymiseres personoplysningerne og er dermed ikke længere personoplysninger, efter Taxa 4x35’s opfattelse. Det er Datatilsynet ikke enig i, idet telefonnummeret er en personoplysning, hvorfra der efterfølgende kan skabes relation til personens navn.

Dermed har Taxa 4x35 overtrådt flere krav i Databeskyttelsesforordningen:

  • Opbevaringsbegrænsning, da virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig (artikel 5, stk. 1, litra e)
  • Dataminimering, fordi Taxa 4x35’s opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt i forhold til de formål, hvortil de opbevares (artikel 5, stk. 1, litra c)
  • Klar fastlæggelse af behandlingshjemmel, idet det ikke er begrundet, hvorfor kunders telefonnummer opbevares i 5 år (artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b)
  • Dokumentation for sletninger, som er utilstrækkelig, både hvad angår dokumentation for de faktiske sletninger samt procedurerne for sletning (artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e).

Det er de to første overtrædelser, der ligger til grund for bøden, mens Datatilsynet har udtalt en alvorlig kritik af de to sidste. Alvorlig kritik betyder, at det skal der rettes op på for at undgå fremtidige bøder. En mere detaljeret beskrivelse af afgørelsen finder du her.

Hvad kan vi lære?

En vigtig lære er, at Datatilsynet ikke viger tilbage for at benytte sig af de nye økonomiske sanktionsmuligheder, hvis overtrædelsen er tilstrækkelig alvorlig. Samtidig er det også værd at bemærke, at Datatilsynet med den alvorlige kritik nuancerer sin reaktion og her tager en mere vejledende rolle ”good cop” og ”bad cop” i samme myndighed.

Som virksomhed er en vigtig lære, at hvis man ikke allerede har tilpasset sig de nye regler, så er det på høje tid. Man kommer ikke uden om at bruge lidt tid på det, og du kan evt. starte med at orientere dig i Beierholms artikler og nyheder på området her på siden, hvor du bl.a. kan læse om de dagligdags og menneskelige fejl, som ligger bag flertallet af brud på persondatasikkerheden.

Om tilsynsbesøg og hvad vi kan forvente fremover

Datatilsynet gennemfører løbende tilsynsbesøg som det hos Taxa 4x35, både planlagte og ad-hoc, hvilket du kan læse mere om her. For 1. halvår 2019 er et af temaerne kryptering af e-mails som opfølgning på udmeldingen om, at kryptering efter tilsynets opfattelse normalt vil være en passende sikkerhedsforanstaltning ved transmission af fortrolige og følsomme personoplysninger med e-mail via internettet. 

Podcast for SMV'er om GDPR-regler

Datatilsynet har lavet en række podcast for mindre og mellemstore virksomheder, som har brug for en introduktion til GDPR-reglerne. Lyt med her.