Virksomhed risikerer milionbøde for ikke at slette personoplysninger

Datatilsynet indstiller nu for første gang en virksomhed til bøde efter reglerne i databeskyttelsesforordningen.

Et taxaselskab er blevet indstillet til en bøde på 1,2 mio. kr. for manglende sletning af kundernes oplysninger. Begrundelsen for bøden er, at ca. 8,9 mio. personhenførbare taxature er blevet gemt uden et sagligt formål, ifølge Datatilsynets vurdering.

Datatilsynet var på et tilsyn hos taxaselskabet i efteråret 2018, hvor tilsynet konstaterede, at taxaselskabet anonymiserede de oplysninger, der anvendtes til kundens bestilling og afvikling af taxature. Anonymiseringen skete, når der var forløbet 2 år, idet der herefter ikke længere var behov for at kunne identificere kunden.

Det var imidlertid kun kundens navn, der blev slettet efter de to år, men ikke kundens telefonnummer. Datatilsynet konstaterede, at oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) derfor fortsat kunne henføres til en fysisk person via telefonnummeret, som først blev slettet efter fem år.

Taxaselskabet begrundelse for at beholde telefonnummeret i fem år var, at nummeret var nøglen til systemets database og derfor var nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

Efter Datatilsynets opfattelse kunne man imidlertid ikke fastsætte en slettefrist, som var tre år længere end nødvendigt, blot fordi virksomhedens system gjorde det besværligt at efterleve reglerne i databeskyttelsesforordningen.

Herefter blev virksomheden indstillet til en bøde på 1,2 mio. kr.

Datatilsynet overgiver sagen til politiet, der vil vurdere, om der er grundlag for at inddrive bøden ved domstolene.

Det er Grakoms vurdering, at der er tale om et særdeles højt bødeniveau, der ligger mange gange over det niveau, som vi har set efter de hidtidige persondataregler. Grakom opfordrer derfor fortsat sine virksomheder til at følge Datatilsynets retningslinjer for sletning af personoplysninger.

Læs mere om sagen på Datatilsynets hjemmeside