Det danske datatilsyn har indstillet et taxaselskab til en bøde på 1,2 millioner danske kroner. Tilsynet har samtidig sat en ny standard for, hvordan opfyldelse af kravene om sletning skal dokumenteres. I Norge har det norske datatilsyn givet Bergen Kommune en administrativ bøde på 1,6 millioner norske kroner.

I den forløbne uge har vi set flere sager, hvor datatilsynsmyndigheder har brugt de nye regler om sanktioner i databeskyttelseslovgivningen. 

Det norske datatilsyn har afgivet sin endelige afgørelse i en sag om brud på persondatasikkerheden og utilstrækkelig datasikkerhed. Sagen er landet på en administrativ bøde til Bergen Kommune på 1,6 millioner norske kroner. Den fulde afgørelse samt en nyhedstekst er offentliggjort på det norske datatilsyns hjemmeside.

Det danske datatilsyn har efter tilsyn hos et taxaselskab konkluderet, at der er sket brud på flere databeskyttelsesregler. I forhold til to af de brud, som Datatilsynet mener er sket, har tilsynet indgivet politianmeldelse og indstillet taxaselskabet til en bøde på 1,2 mio. kr. for manglende sletning. For to andre brud har tilsynet udtalt alvorlig kritik af, at selskabet ikke har efterlevet databeskyttelsesforordningens krav om dokumentation. Datatilsynet har offentliggjort en nyhed om sagen samt tilsynets afgørelse

Det norske datatilsyn har i sagen med Bergen Kommune fundet følgende problemer:

  • Opbevaring af en åben og ubeskyttet digital mappe med filer indeholdende brugernavne og adgangskoder i almindelig tekst, således at oplysningerne var tilgængelige for alle brugere af informationssystemerne, dvs. lærere og elever i folkeskolen.
  • Manglende to-faktor-autentificering som login til informationssystemerne.

I den danske sag med taxaselskabet konkluderer Datatilsynet: 

  • At selskabet ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig.
  • At selskabet ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra c (dataminimering), idet virksomhedens opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt i forhold til de formål, hvortil de opbevares. 
  • At selskabet ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b, idet virksomheden ikke entydigt har haft fastlagt, med hvilket behandlingsgrundlag kunders telefonnummer er blevet opbevaret i 5 år efter kørslen af en taxatur. 
  • At selskabet ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret de sletninger, der er foretaget i systemerne og virksomhedens procedurer herfor. 
data

Bech-Bruuns kommentarer
Med de omtalte sager sender de to nordiske datatilsyn et klart signal om, at overtrædelse af databeskyttelsesforordningen ikke accepteres og vil kunne få konsekvenser i form af betragtelige bøder. 

Den danske sag udspringer af et af de tilsyn, som Datatilsynet gennemførte i efteråret 2018, hvor tilsynet både udsendte spørgeskemaer og foretog tilsynsbesøg hos en række virksomheder. 

Tilsynet har offentliggjort de anvendte spørgeskemaer, og det generelle indtryk af disse er, at Datatilsynet er gået til opgaven med stor grundighed og interesse for detaljerne. 

Den offentliggjorte afgørelse viser, at tilsynets forventninger til virksomhedernes dokumentation er ganske høje. Tilsynet sætter her en ny standard. 

Det er helt forventeligt, at forordningens nye krav om ansvarlighed giver sig udslag i nye forpligtelser for de dataansvarlige til at kunne dokumentere deres efterlevelse af kravene om bl.a. sletning, herunder fastsættelse af slettefrister. Ikke desto mindre overrasker det meget ambitiøse niveau, som Datatilsynet har udstukket, både ved de offentliggjorte spørgeskemaer og nu ved den første afgørelse. 

De to forhold, som Datatilsynet politianmelder, vedrører de krav om sletning mv., som også fandtes i den tidligere gældende persondatalov. Den bøde, som der er indstillet til i sagen, må ses i sammenhæng med den meget store mængde af personoplysninger (oplysninger om 8.873.333 personhenførbare taxature), der efter tilsynets vurdering er blevet gemt uden et sagligt formål. 

Det vil i den sidste ende være en afgørelse for domstolene, hvilken sanktion sagen skal indebære. Det følger således af Rigsadvokatens meddelelse fra 25. maj 2018, at sager om overtrædelse af databeskyttelseslovgivningen ikke må afgøres med bødeforelæg, før sanktionsniveauet er tilstrækkelig afklaret i retspraksis.

Datatilsynets har i 2019 fortsat sine tilsynsaktiviteter på en række områder. Se hvilke temaer Datatilsynet vil fokusere på i de planlagte tilsyn det næste halve år her. 

Bech-Bruun yder bistand både til virksomheder, som ønsker at forberede sig på et tilsyn fra Datatilsynet, og til virksomheder, som har modtaget varsel om et konkret tilsyn. 

Bech-Bruuns eksperter i persondataret har bl.a. udført en række test tilsyn, såkaldte mock tilsyn, hvor virksomheder frivilligt underkaster sig et tilsyn fra Bech-Bruun, der foregår på samme måde, som et rigtigt tilsyn fra Datatilsynet. 

Du er velkommen til at kontakte os, hvis du er interesseret i at få foretaget et mock tilsyn eller ønsker øvrig bistand.