Den første bøde fra Datatilsynet

Den første indstilling til bøde fra Datatilsynet omhandler brug af oplysninger uden formål, manglende sletning og mere generelt utilstrækkelig dokumentation.

Baggrund

Bøden gives på baggrund af et tilsynsbesøg som datatilsynet var på hos et dansk taxaselskab. Datatilsynet kunne konstatere at taxaselskabet behandlede oplysninger om bl.a. kundens navn, telefonnummer, dato for kørslen, kørslens begyndelses- og sluttidspunkt, antal kørte kilometer, betalingen, start- og slutposition angivet som GPS-koordinater og/eller skreven adresse samt øvrige koordinater. Oplysningerne blev gemt i fem år – bortset fra navnet, som blev slettet efter to år. Sletningen af navnet havde til hensigt at virke som en anonymisering, hvorefter telefonnummeret anvendes som nøgle for de resterende data, der lagres og behandles med formålet forretningsudvikling.

Datatilsynets afgørelse

Datatilsynet fandt ikke at opbevaringsbegrænsningen var opfyldt, fordi sletningen af navnet ikke var tilstrækkeligt til at anonymisere data. Den registrerede ville fortsat kunne identificeres via telefonnummeret. Videre fandt Datatilsynet, at der ikke sker dataminimering, når telefonnummeret gemmes i fem år. Endelig fandt Datatilsynet, at dokumentationen for så vidt angår formål og sletning ikke var tilstrækkelig. Der er således tale om brud på forordningens fundamentale principper.

Hvad kunne være gjort

Sagen afspejler, at der er tale om en dataansvarlig, som faktisk havde gjort sig nogle overvejelser om sletning. Men den viser samtidig, at der ikke har været klarhed over hvilken hjemmel, der skulle bruges ved de forskellige behandlinger. Videre ses det, at der er foretaget nogle forkerte beslutninger om sletningen og at sletningen ikke var tilstrækkeligt dokumenteret. Disse forhold kunne være undgået, hvis der havde været gennemført en ordentlig dokumentation af 1) hvilke personoplysningen behandles, 2) i hvilke systemer, 3) med hvilken hjemmel og 4) hvor længe.

Taxaselskabet gemte telefonnummeret som nøgle i sit system bl.a. fordi det var vanskeligt at ændre nøglen. Der kan for eksisterende systemer ikke stilles krav om databeskyttelse gennem design, og som sådan er det derfor ikke ulovligt efter artikel 25. Men havde man nu ændret telefonnummeret til en en-vejs hash-værdi og brugt denne som nøgle (og slettet telefonnummeret) kunne man formodentlig have opnået de samme formål med forretningsudvikling. Det viser, at med det rette design kan man faktisk nå rigtig langt.

Sagen er endnu et eksempel på, at der virkelig er behov for at få lavet en grundig dokumentation, hvor man har taget stilling til disse spørgsmål på forhånd og kan fremlægge denne dokumentation når/hvis Datatilsynet kommer på besøg. Man skal huske på, at dokumentationen ikke laves alene for at tilfredsstille Datatilsynet. Dokumentationen laves for at den dataansvarlige skal få klarhed over sine behandlinger og sikre, at man faktisk behandler den registreredes oplysninger i overensstemmelse med loven og dermed er en samarbejdspartner, man kan have tillid til.

Sagen skal nu en tur for domstolen, og det bliver naturligvis spændende om danske domstole vil følge Datatilsynets indstilling til bøde og dermed den harmonisering, som der er lagt op til fra EU’s side.

Links

Computerworld har skrevet om sagen her:
https://www.computerworld.dk/art/246918/datatilsynet-melder-foerste-danske-selskab-til-politiet-for-brud-paa-gdpr-kraever-boede-paa-1-2-millioner-kroner

Den rigtige afgørelse fra Datatilsynet kan læses her (og det kan anbefales at læse den, for så får man kendskab til Datatilsynets måde at raisonnere på):
https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35s-behandling-af-personoplysninger

Om Henning Mortensen

Om Henning Mortensen

Henning har igennem mere end 15 år rådgivet og udgivet en række vejledninger og værktøjer til danske virksomheder om it-sikkerhed og persondataret i sin rolle som chefkonsulent i Dansk Industri. I dag er Henning IT-sikkerhedschef og Chief Privacy Officer ved Brødrene A&O Johansen A/S og sidder derfor på daglig basis og arbejder med forordningen i praksis. Henning er desuden formand for Rådet for Digital Sikkerhed, medlem af Virksomhedsrådet for IT-sikkerhed, Privacy Evangelist for Wired Relations – easy GDPR software og en hyppigt anvendt underviser og foredragsholder. Henning Mortensen blev tildelt Databeskyttelsesprisen 2018 for sit lange seje træk med at omsætte databeskyttelse til konkret vejledning og gode råd, som er anvendelige for både myndigheder og store og små virksomheder.

Følg Henning Mortensen på Linkedin