Inte ta bort personuppgifter i tid. Pris: 160 000€

Inte ta bort personuppgifter i tid. Pris: 160 000€

Efter en inspektion av danska Datatilsynet i oktober 2018, har taxibolaget Taxa 4×35 blivit polisanmälda med en rekommendation om vite om 160 000€ för brott mot GDPR.

I de flesta jurisdiktioner kan tillsynsmyndigheten själva utfärda viten, men i Danmark följer vite på en polisutredning och beslut av dansk domstol.

Datatilsynets slutsatser är intressanta, eftersom de visar på en rad misstag begångna av Taxa 4×35.

Anonymisering

Taxa 4×35 hade faktiskt en process för att radera personuppgifter, men tog bara bort namnet på den registrerade. Detta hade antagligen varit tillräckligt enligt tidigare regleringar, men då GDPR definierar personuppgift som ”någon information, i kombination med annan information, som kan användas för att identifiera en levande människa”, anses det inte tillräckligt under GDPR. All information, inkluderande tex. Geolokaliseringsdata, borde ha raderats.

Minimering

Taxa 4×35 har använt kunders telefonnummer som deras unika ID. Datatilsynet menar att detta är ett brott mot minimeringsprincipen. Ett unikt ID, som inte var personuppgift, hade kunnat användas i interna processer.

Legal grund

Taxa 4×35 argumenterar för att de haft ett legitimt intresse att hantera telefonnummer I upp till 5 år för att “genomföra sin affär och för affärsutveckling”. Datatilsynet underkänner argumentation, då syftet varken är tillräckligt specificerat eller explicit, varför man menar att legal grund saknas..  

Processer för bevarande och radering

Datatilsynet riktar även hård kritik för bristerna i processer för bevarande och radering av personuppgifter.

Datatilsynet hänvisar här till artiklarna 5(2), cf. 5(1)(e), av vilka följer att den personuppgiftsansvarige måste kunna visa att det inte är möjligt att identifiera en individ I en större utsträckning än vad som framgår av syftet för vilken uppgiften hanteras. Den personuppgiftsansvarige måste därför kunna visa på processer som effektivt säkerställer borttagning, inkluderande backup filer, och ska dessutom kunna demonstrera att tillräckliga åtgärder vidtagits för att säkerställa detta.

Slutsatser

Den mycket allvarliga kritik som Datatilsynet riktar mot Taxa 4×35 gäller enbart ett av bolagets verksamhetssystem, DDS Pathfinder. Det visar dock med tydlighet svårigheterna med bevarande och radering, och allvarligheten av att inte följa principer och regler införda genom GDPR.

Vi vet nu att detta är en utmaning i ett enda system, som körs på en databas, varför företag omgående bör fundera på hur processer för bevarande och borttagning ska kunna implementeras och exekveras också i sin ostrukturerade data.

https://gorrissenfederspiel.com/en/knowledge/news/recommended-fine-of-dkk-12-million-to-taxa-4×35-for-violation-of-the-gdpr