Datatilsynet politianmelder taxiselskab og indstiller dem til millionbøde

378926_16_9_large_331.jpg
Virksomheder
Eksklusivt for kunder
25. mar 2019 KL.14:35

Opdateret kl. 14:25 med kommentar fra 4x35

Datatilsynet har valgt at politianmelde det danske taxiselskab taxi 4x35, fordi selskabet har overtrådt reglerne i databeskyttelsesforordningen. Med politianmeldelsen følger en indstilling fra Datatilsynet på en bøde på 1,2 mio. kr.

Det fremgår af en meddelelse fra Datatilsynet. Det er første gang, at Datatilsynet indstiller til bøde for brud på forordningen.

Tilbage i efteråret 2018 var Datatilsynet på tilsyn hos taxiselskabet, hvor der bl.a. blev set på frister for sletning af kundernes oplysninger.

Her blev det oplyst, at kundernes data blev anonymiseret efter to år, men efter en undersøgelse kunne tilsynet konstatere, at det kun var navnet på kunden, der blev slettet – ikke kundens telefonnummer.

I alt var der tale om næsten 9 mio. taxature over to år tilbage i tiden, der kunne henføres til kunden via telefonnummeret.

Taxiselskabet har ifølge tilsynet forklaret, at man har lavet sit it-system på en måde, hvor kundens telefonnummer er nøglen til systemets database.

Til det har Datatilsynet svaret, at det ikke er tilladt at overskride en slettefrist, blot fordi det vil være besværligt at overholde den.

“Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål,” forklarer Datatilsynets direktør Cristina Angela Gulisano i meddelelsen og uddyber:

“Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes med det samme.”

Taxa 4x35 oplyser til Ritzau Finans, at man tager Datatilsynets anmeldelse til efterretning.

"Sagen handler om, hvor lang tid data opbevares i vores system, og her har min forgænger haft en anden fortolkning end Datatilsynet, siger direktør Gert Frost til Ritzau Finans og fortsætter:

"Det er vigtigt at pointere, at denne sag ikke handler om, at kundernes data har været i fare."

I mange europæiske lande kan et nationalt datatilsyn selv udstede administrative bøder, men i Estland og netop Danmark er reglerne lidt anderledes.

Her fungerer det således, at Datatilsynet først belyser og vurderer sagen, og dernæst politianmelder den dataansvarlige.

Herefter er det op til politiet at afgøre, om det er grundlag for at rejse en sigtelse, og dermed vil en bødestraf blive afgjort ved en domstol.