Blot to måneder før etårsdagen for persondataforordningen trådte i kraft, har Datatilsynet nu politianmeldt den første virksomhed for ikke at overholde lovgivningen.
Taxaselskabet 4×35 er indstillet til en bøde på 1,2 millioner for manglende sletning af kundeoplysninger fra 9 millioner personhenførbare taxature – som blev gemt uden noget sagligt formål.
Sagen tager sit udspring i efteråret 2018, hvor Datatilsynet tager på tilsynsbesøg, hos Taxa 4×35 hvor der bl.a. blev set på om selskabet havde fastsat frister for sletning kundernes persondata og om disse frister blev overholdt.
Taxa 4×35 oplyste at oplysningerne der anvendes til kundernes bestilling og afvikling, bliver anonymiseret efter to år – da der derefter ikke længere er behov for at kunne identificere kunderne. Det viste sig dog ved Datatilsynets besøg, at der kun var tale om at kundernes navne blev anonymiseret efter to år – men ikke kundernes telefonnumre.
Derved kan oplysninger om kundernes taxaturer, med afhentnings- og afleveringsadresser, fortsat henføres til en fysisk person igennem telefonnummeret på den enkelte tur – og denne information bliver først slette efter 5 år. Ved tilsynsbesøget i efteråret 2018 var der samlet registreret 8.873.333 personhenførbare taxature der var ældre end 2 år.
Begrundelsen fra Taxa 4×35 til hvorfor man ikke slettede telefonnummeret efter 2 år, ligesom med anonymisering af kundernes navne, er at telefonnummeret er nøglen til systemets database – og derfor er kritisk for virksomhedens produkt- og forretningsudvikling.
Datatilsynet opfatter imidlertid ikke en frist for sletning af data kan sættes til at være 3 år længere end nødvendigt, fordi virksomhedens system gør det besværligt at efterleve reglerne i persondataforordningen – og på baggrund af dette har Datatilsynet indstillet Taxa 4×35 til en bøde på 1.2 millioner i forbindelse med politianmeldelsen.
Hos COMAsystem følger vi sagen – og er du i tvivl om din virksomhed overholder persondataforordningen, så kontakt os.