Første politianmeldelse vedr. manglende sletning

Datatilsynet har anmeldt et taxiselskab til politiet og indstiller nu til første GDPR-bøde. Taxiselskabet har, ifølge Datatilsynet, gemt knap 9 mio. personhenførbare taxature uden et sagligt formål. Den indstillede bøde er på 1,2 millioner kroner.

Men hvad kan du egentlig bruge det til? Improvento har læst afgørelsen, og giver dig de vigtigste pointer.

Baggrunden for anmeldelsen

I efteråret 2018 var Datatilsynet på tilsynsbesøg hos et taxiselskab. Der blev bl.a. set på, om der var fastsat frister for sletning af kundernes oplysninger og om fristerne blev efterlevet.

Ifølge selskabet blev de oplysninger, der indsamles i forbindelse med bestilling og afvikling af taxature anonymiseret efter to år, da der herefter ikke længere er behov for at identificere kunden. Det viste sig dog, at det kun er kundens navn, der slettes efter to år – men ikke kundens telefonnummer. Oplysninger om kundens taxature, bl.a. opsamlings- og afleveringsadresser, kunne derfor fortsat henføres til en fysisk person via telefonnummeret, som blev slettet efter 5 år.

Telefonnummeret blev gemt, da det var nøglen til taxasystemets database, og derfor var nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

Anonymisering af taxature

Hos taxaselskabet blev taxature registreret i et it-system. Her gemmes oplysninger om bl.a. kundens navn, telefonnummer, dato for kørslen, kørslens begyndelses- og sluttidspunkt, antal kørte kilometer, betalingen, start- og slutposition angivet som GPS-koordinater og/eller skrevet adresse samt øvrige koordinater. Det blev oplyst, at oplysningerne anonymiseres efter to år. Anonymiseringen bestod i, at kundens navn slettes fra taxaturen efter to år. Kundens telefonnummer opbevares derimod i 5 år.

Oplysningerne er altså ikke blevet anonymiseret tilstrækkeligt, fordi taxaturen kan knyttes til den kunde, der har bestilt turen ved hjælp af telefonnummeret. De nævnte oplysninger skal derfor betragtes som personoplysninger om kunden. Derudover har selskabet selv vurderet, at det kun er nødvendigt at behandle oplysningerne i 2 år.

Opsummering

Datatilsynet har angivet politianmeldelse fordi:

  • Virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig.
  • Virksomheden har opbevaret kunders telefonnummer i 5 år. Dette har dog ikke været nødvendigt til de formål, hvortil telefonnumrene opbevares.

Derudover har Datatilsynet udtalt alvorlig kritik fordi:

  • Virksomheden ikke entydigt har fastlagt, hvilken behandlingshjemmel der lå til grund for, at kunders telefonnummer er blevet opbevaret i 5 år efter kørslen af en taxatur.
  • Virksomheden ikke har dokumenteret sletninger af persondata og procedurer for sletning i tilstrækkelig grad.

Dette er uddybet yderligere nedenfor.

Opbevaring af kundens telefonnummer

Virksomheden havde oplyst, at kundens telefonnummer opbevares i 5 år efter kørslen af en taxatur. Dette har været nødvendigt, da telefonnummeret blev brugt som referenceramme i et af virksomhedens it-systemer.

Det blev vurderet, at et andet unikt ID-nummer kunne tjene samme formål som telefonnummeret efter de 2 år er passeret. Derfor er selve telefonnummeret ikke nødvendigt for at opfylde de pågældende formål, men systemet kunne ikke håndtere bagudrettet at erstatte telefonnummeret med et ID-nummer eller lignende.

Datatilsynet har ligeledes vurderet, at eventuelle omkostninger forbundet med migrering af oplysninger om taxature til en ny datastruktur ikke kan begrunde manglende sletning af kundens telefonnummer efter 2 år.

Efter Datatilsynets opfattelse kan man ikke fastsætte en slettefrist, som er længere end nødvendigt, blot fordi et IT-system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

Dokumentation af procedurer for sletning

Datatilsynet har gennemgået virksomhedens procedurer for sletning og dokumentation herfor, og har vurderet, at dokumentationen for sletteprocedurer har været mangelfuld og overfladisk. Datatilsynet havde efterspurgt dokumentation for:

  • Opfølgning på, at sletning er foretaget korrekt i systemerne.
  • Håndtering af genindlæsning af tidligere slettede personoplysninger ved ibrugtagning af backup.
  • Logning af sletninger i systemerne.

Der eksisterede ingen dokumentation vedrørende de første to punkter. Logning af sletninger blev derimod foretaget manuelt i et regneark. Der var dog ikke dokumenteret logning af konkrete sletninger, men blot en historik over hvem der har udført sletning i det pågældende system og hvornår.

Vigtig læring

Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

En anonymisering af personoplysninger indebærer, at ingen fysiske personer efterfølgende ud fra oplysningerne, eller i kombination med andre oplysninger, kan identificeres, dvs. at oplysningerne ikke er personhenførbare. Det er en betingelse for anonymisering, at denne er uigenkaldelig, dvs. at den eller de pågældende fysiske personer ikke med nogen midler kan knyttes tilbage til de pågældende oplysninger. Oplysninger, der er gjort anonyme, er ikke længere er omfattet af databeskyttelsesreglerne.

Konklusion

  • Hvis du anonymiserer persondata, skal du sikre, at de er anonymiseret tilstrækkeligt. Du skal sikre, at personen ikke kan identificeres ud fra de data, som du opbevarer.
  • Du skal sikre, at du kun opbevarer de persondata, som du legitimt har brug for. Det holder ikke at opbevare persondata, fordi et it-system ikke understøtter at slette eller anonymisere dem.
  • Du skal entydigt beskrive, hvilken behandlingshjemmel der ligger til grund for behandlingen.
  • Du skal dokumentere sletning af – og procedurer for sletning af persondata.
2019-05-08T09:57:04+01:00 April 10th, 2019|