Offentlig kørsel

|28.03.2019

Risiko for stor bøde ved forkert håndtering af persondata

Datatilsynet vurderer, at Taxa 4x35 har overtrådt reglerne i databeskyttelsesforordningen og har politianmeldt selskabet samt indstillet til en bøde på 1,2 mio. kr.


I en mere og mere digitaliseret forretningsverden, ligger en stor del af en virksomheds værdi i de data den har om kunderne. Den nye databeskyttelsesforordning, som trådte i kraft i maj 2018, har blandt andet fokus på, hvordan virksomhederne håndterer kundedata, hvor længe de opbevares, hvilket formål opbevaringen af data har, og hvor længe det er muligt at knytte data til en fysisk person.

Samtidig er der skruet kraftigt op for de bøder, som Datatilsynet kan udstede, hvis reglerne ikke overholdes. Helt op til 4 % af den årlige omsætning kan bøderne løbe op i, i de helt grelle tilfælde.

Taxisektoren under luppen
Én af de sektorer, som Datatilsynet allerede i efteråret 2018 meldte ud, at de ville kigge nærmere på, var taxisektoren. Derfor har Datatilsynet været på tilsynsbesøg hos Taxa 4×35 blandt andet for at se på, om taxiselskabet har efterlevet fristerne for sletning af kundernes oplysninger.

Konklusionen af tilsynet fra Datatilsynet er, at Taxa 4×35 ikke har overholdt kravene i databeskyttelsesforordningen, idet proceduren for anonymisering af personoplysninger er utilstrækkelig, samt at virksomhedens opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt til de formål, hvortil de opbevares. På baggrund af disse to forhold, har Datatilsynet indgivet politianmeldelse af Taxa 4×35 til Københavns Politi. Det drejer sig konkret om opbevaring af oplysninger om mere end 8,8 mio. taxiture, som var ældre end de to år, som databeskyttelsesforordningen tillader.

Begrundelsen for opbevaringen har været, at telefonnummeret er nøglen til hele databasen bag Taxa 4×35’s system, og derfor er nødvendigt i selskabets produkt- og forretningsudvikling. Det har Datatilsynet med sin konklusion afvist som en tilstrækkelig grund til at gemme data såsom kundernes telefonnummer og adresse i 5 år. Desuden mener selskabet, at der sker en anonymisering af data i og med at kundens navn slettes efter to år. Dette er efter Datatilsynets vurdering ikke tilstrækkeligt som anonymisering, da telefonnummer og adresser gemmes i 5 år.

Taxa 4×35’s sag er i myndighedernes hænder
Datatilsynet har ikke selv bemyndigelse til at udstede en administrativ bøde, og har derfor politianmeldt Taxa 4×35. Politiet vil nu undersøge, om der er grundlag for at rejse en sigtelse, og en eventuel bødestraf vil blive afgjort ved en domstol.