GDPR-bøde er en påmindelse om vigtigheden af slettefrister og klare vurderinger

Kort om sagen 

Taxa 4x35 er blevet dømt til at betale en bøde på 250.000 kroner af Østre Landsret. I 2023 idømte Byretten oprindeligt 100.000 kroner. Datatilsynet indstillede oprindeligt Taxaselskabet til en bøde på 1,2 millioner kroner.  

Sagen drejer sig om knap ni millioner taxature, hvor kundernes telefonnumre og opsamlingssteder var blevet opbevaret for længe i selskabets systemer. Kundernes navne indgik ikke, men oplysningerne anses stadig som persondata.  

Overtrædelsen blev opdaget ved et tilsynsbesøg fra Datatilsynet i oktober 2018, få måneder efter at EU’s databeskyttelsesforordning (GDPR) trådte i kraft i maj samme år. 

Hvad siger GDPR? 

Den generelle forordning om databeskyttelse (GDPR) regulerer, hvordan virksomheder og organisationer må indsamle, behandle og opbevare personoplysninger. Ifølge GDPR gælder blandt andet: 

• Data må kun gemmes så længe, det er nødvendigt for det formål, de blev indsamlet til. 
• Kun de nødvendige oplysninger må indsamles og opbevares. 
• Virksomheder skal slette eller anonymisere data, når der ikke længere er et legitimt behov for at beholde dem. 

I taxaselskabets tilfælde var det netop opbevaringsbegrænsningen, de overtrådte da kundedata blev opbevaret længere end nødvendigt, uden at der forelå en lovlig grund. 

Udfordringen med GDPR 

GDPR er bevidst udformet som fleksible regler, fordi at du som virksomhed selv er bedst til at vurdere, hvilke personoplysninger du har brug for, og hvor længe de skal gemmes. Det betyder, at ansvaret for at sikre overholdelse af reglerne ligger hos virksomheden selv. 

I sagen om Taxa 4x35 blev dette netop et problem, da selskabet havde opbevaret oplysninger om knap ni millioner taxature, herunder kundernes telefonnumre og opsamlingssteder, i systemerne for længe efter kørslerne var afsluttet. Der blev ikke foretaget en tilstrækkelig vurdering af, hvornår oplysningerne ikke længere var nødvendige, og der var ikke fastsat en meningsfuld slettefrist. 

Datatilsynet og domstolene vurderede derfor, at der var tale om en overtrædelse af GDPR. 

Formålet med fleksibiliteten er at gøre reglerne anvendelige på tværs af alle brancher og virksomhedstyper. Men netop denne fleksibilitet kan skabe usikkerhed og fortolkningsudfordringer. Der er ingen faste retningslinjer for f.eks. slettefrister, og virksomheder skal selv dokumentere, at deres vurderinger er korrekte. 

Det kræver derfor løbende arbejde, klare procedurer og god dokumentation at være compliant. Konsekvenserne ved fejl kan være store, både økonomisk og omdømmemæssigt. 

Data Protection Officer 

Sagen mod taxaselskabet er et klart eksempel på, hvad der kan ske, når slettefrister og GDPR-regler ikke håndteres korrekt. 

For at undgå lignende sager vælger mange virksomheder at involvere en DPO (Data Protection Officer) eller ekstern specialist i GDPR.  

En DPO eller ekstern specialist i GDPR har specialiseret viden om databeskyttelsesregler og hjælper løbende med at sikre, at virksomheden lever op til GDPR-kravene. 

• Rådgive om databeskyttelse, herunder ved nye behandlinger, systemer og databrud 
• Fastlægge og dokumentere slettefrister og sikre, at behandlingen har lovligt grundlag 
• Overvåge GDPR-compliance, herunder politikker, uddannelse og interne kontroller 
• Deltage i konsekvensanalyser og rådgive om risikovurdering og sikkerhedsforanstaltninger 
• Være kontaktpunkt for Datatilsynet og registrerede, herunder ved klager og tilsyn 

Hos Lund Elmer Sandager fungerer partner Torsten Hylleberg som DPO og ekstern specialist i GDPR for flere virksomheder og rådgiver om strukturering og indhentning af data og sikrer compliance.  

Kontakt Torsten for en uforpligtende snak om jeres personoplysninger og hvordan han kan hjælpe jer.