Første danske GDPR-bot
Datatilsynet melder det første danske selskapet til politiet for brudd på GDPR. Taxiselskapet 4X35 får en bot på hele 1,2 millioner danske kroner.
Taxiselskapet 4X35 er meldt til politiet for GDPR-brudd. Det er det danske Datatilsynet som står for anmeldelsen, etter at de i fjor utførte stikkprøvekontroller. De mener blant annet at taxiselskapet bør få bot for manglende sletting av kundenes opplysninger, det melder det Danske Datatilsynet på sine sider.
Litt under ni millioner personlige opplysninger skal ha blitt lagret uten videre mål og mening, mener Datatilsynet, og foreslår derfor en bot på 1,2 millioner danske kroner.
Forklaring
Ifølge Taxa 4x35 anonymiserer opplysningene som brukes til kundenes bestilling og avvikling av taxiturer etter to år, da det etter dette ikke lenger er behov for å identifisere kunden. Ifølge Datatilsynet derimot er det imidlertid kun kundenes navn som slettes etter to år, og ikke kundenes telefonnummer.
Opplysninger om kundenes taxiturer (altså adresser for hvor kundene ble hentet og levert) kan derfor fortsatt knyttes til en fysisk person via telefonnummeret, som først slettes etter fem år.
Taxa 4x35 hevder at telefonnummeret er nøkkelen til systemets database og derfor nødvendig for virksomhetens produkt- og forretningsutvikling.
Det kjøper ikke Datatilsynet. De mener at man ikke kan fastsette en slettefrist som er tre år lengre enn nødvendig kun fordi virksomhetens system gjør det vanskelig å etterleve GDPR-reglene.
– Når vi har valgt å anbefale en bot i denne saken, så skyldes det at det er snakk om meget store mengder personopplysninger som er gjemt uten et saklig formål. Ett av grunnprinsippene på databeskyttelsesområdet er at man kun må behandle opplysninger man har bruk for – og når man ikke har bruk for dem lenger så skal de slettes med en eneste gang, sier Datatilsynets direktør, Cristina Angela Gulisano, på Datatilsynet.dk.
Neste skritt
I de fleste europeiske land, som for eksempel i Norge, kan de nasjonale datatilsynene selv gi administrative bøter. Reglene er annerledes i Danmark (og Estland), heter det i meldingen hos det danske Datatilsynet. Her fungerer det sånn at Datatilsynet, etter å ha belyst og vurdert saken, politianmelder den ansvarlige. Deretter undersøker politiet om det er grunnlag for å reise siktelse. En endelig straff eller bot blir avgjort ved domstol.
Du kan lese mer om Datatilsynets begrunnelse i denne saken her.
