[fusion_builder_container hundred_percent=”yes” overflow=”visible”][fusion_builder_row][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][fusion_text]Måske har GDPR for mange virksomheder været en smule abstrakt, selv om det har krævet og fortsat kræver utrolig mange timers arbejde for ansatte i erhvervslivet – også i autobranchen. Måske er GDPR også blevet forbundet med noget som i forhold til bøder og en reel konsekvens, har ligget et godt stykke væk fra Danmarks grænser og erhvervsdrivende her i Kongeriget.
Men det er fortid nu. Datatilsynet har nemlig indstillet taxiselskabet 4×35 til en GDPR-bøde på 1,2 mio. kr. AutoBranchen Danmark giver dig her et kort overblik over, hvad andre virksomheder kan lære af sagen.
Kundedata ikke slettet inden for tidsfristen
Omdrejningspunktet for den første danske GDPR-sag er kundedata – nærmere bestemt telefonnumre. 4×35 opstiller over for Datatilsynet i efteråret 2018, at virksomheden har en praksis for sletning af de data, som hedder to år. Herfra anonymiseres data, så de ikke kan ledes tilbage til en bestemt kunde baseret på kundens telefonnummer. Datatilsynets gennemgang viser dog, at det kun er kundernes navne, der efter to år er blevet slettet korrekt i 4×35’s datasystemer. Eylem Ünüvar, der er juridisk chef og advokat hos AutoBranchen Danmark uddyber:
“Konkret betyder det i det her tilfælde, at kundens tur med en bestemt taxi ved hjælp af telefonnummeret kan linkes tilbage til den konkrete person. Gennemgangen af tilsynet viser, at telefonnumrene er blevet lagret op til fem år, og det er et brud på de frister, som taxiselskabet selv har oplyst”, fortæller Eylem Ünüvar.
Ifølge Datatilsynet betød bruddet på selskabets egne frister, at der i systemet findes over 8,8 millioner taxiture, som kan ledes tilbage til en konkret person gennem telefonnumre – og at det link vel at mærke kan trækkes længere tilbage end to år.
At det er besværligt tæller ikke
Telefonnumre udgør ifølge taxiselskabet en så vigtig information for den daglige drift, at det er grundlaget for virksomhedens produkt- og forretningsudvikling. Men den går ikke, mener Datatilsynet, der er af den opfattelse, at man imidlertid ikke fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen. Cristina Angela Gulisano, som er direktør i Datatilsynet siger til det:
“Når vi har valgt at indstille til en bøde i denne sag, skyldes det, at der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grundprincipperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes med det samme”, udtaler hun i forbindelse med indstillingen af bøden til 4×35.
Tilbage hos Eylem Ünüvar fra AutoBranchen Danmark lyder det:
“Sagen med 4×35 vidner om, at tilsynet ikke lægger fingre imellem, når den belyser danske virksomheders evne til at følge GDPR. Af samme årsag skal man lægge forestillingen om, at det her nok ikke rammer os og vores virksomhed væk. Datatilsynet ser ikke ud til at være bleg for at politianmelde virksomheder, og det er den nye virkelighed. Det bliver næppe den sidste sag”, siger den juridiske chef.
[/fusion_text][/fusion_builder_column][fusion_builder_column type=”1_1″ background_position=”left top” background_color=”” border_size=”” border_color=”” border_style=”solid” spacing=”yes” background_image=”” background_repeat=”no-repeat” padding=”” margin_top=”0px” margin_bottom=”0px” class=”” id=”” animation_type=”” animation_speed=”0.3″ animation_direction=”left” hide_on_mobile=”no” center_content=”no” min_height=”none”][fusion_tagline_box backgroundcolor=”” shadow=”no” shadowopacity=”0.7″ border=”1px” bordercolor=”” highlightposition=”top” content_alignment=”left” link=”” linktarget=”_self” modal=”” button_size=”” button_shape=”” button_type=”” buttoncolor=”” button=”” title=”Det sker der nu” description=”” margin_top=”” margin_bottom=”” animation_type=”0″ animation_direction=”down” animation_speed=”0.1″ animation_offset=”” class=”” id=””]Datatilsynet kan ikke selv udstede den bøde på 1,2 mio. kr., som tilsynet har indstillet taxiselskabet 4×35 til. Derfor skal sagens meldes til politiet. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.
Er du eller din virksomhed bange for at ende i samme sag som 4×35, anbefaler AutoBranchen Danmark, at man nøje gennemgår Datatilsynets egen vejledning for sletning af personoplysninger. Den finder du på det her link.[/fusion_tagline_box][/fusion_builder_column][/fusion_builder_row][/fusion_builder_container]
