Menu

Databeskyttelsesforordningen 1 år – hvad er status ift. danske afgørelser?

Den 25. maj 2018 trådte Databeskyttelsesforordningen i kraft. På det tidspunkt holdt Europa vejret, da fremtiden for dataansvarlige – ifølge de danske medier – var ganske usikker. Så usikker, at forordningens ikrafttræden blev sammenlignet med IT-krisen ved årtusindeskiftet. Det var særligt udsigten til ”afskrækkende” bøder, der affødte de dataansvarliges frygt for den kommende retstilstand.

Lidt mere end et år efter forordningens ikrafttræden belyser LOU Advokatfirma i denne artikel den danske retstilstand ved at gøre status over de danske offentliggjorte afgørelser fra Datatilsynet. Spørgsmålet er nemlig, om frygten var berettiget?

Kun 16 offentliggjorte afgørelser siden Databeskyttelsesforordningens ikrafttræden
Den danske tilsynsmyndighed har kun offentliggjort 16 afgørelser siden Databeskyttelsesforordningens ikrafttræden. Fire af disse afgørelser omhandlede princippet om opbevaringsbegrænsning (pligten til at slette), tre afgørelser om lovligt behandlingsgrundlag, tre afgørelser om retten til indsigt, to afgørelser om princippet om dataminimering (pligten til at ikke behandle unødvendige personoplysninger) samt fire afgørelser, der handlede om henholdsvis sikkerhedsbrud, retten til berigtigelse, fordeling af dataansvar og sikkerhedsniveauet for behandlingen.

Bemærkelsesværdigt er dog, at Datatilsynet kun har indstillet til bøde i to af afgørelserne, der begge omhandler manglende sletning af personoplysninger i forbindelse med et tilsynsbesøg.

Princippet om opbevaringsbegrænsning
I den ene af de to afgørelser indstillede Datatilsynet taxaselskabet Taxa 4×35 til en bøde på 1,2 mio. kr. Begrundelsen for indstillingen var, at taxaselskabet ikke havde sikret rettidig sletning af dets kunders personoplysninger, der indeholdt oplysninger om kørte taxature (herunder opsamlings- og afleveringsadresser). Det som følge af, at taxaselskabet alene slettede kundens navn i dets database efter 2 år. Kundeoplysninger var derefter – ifølge taxaselskabet – anonymiserede således, at oplysningerne hidrørende fra taxaturene ikke kunne henføres til en fysisk person. Imidlertid kunne Taxa 4×35 fortsat tilgå oplysningerne ved brug af kundens telefonnummer. Grunden til, at telefonnummeret ikke blev slettet var, at nummeret var nøglen til taxaselskabets database og derfor var nødvendigt i forhold til selskabets produkt- og forretningsudvikling. Taxaselskabet opbevarede derfor reelt personoplysningerne om ca. 9 mio. kunder i 5 år, fremfor 2 år. Datatilsynet udtalte, at taxaselskabet ikke kunne fastsætte en slettefrist på 5 år, som var tre år længere end nødvendigt, blot fordi selskabets system gjorde det besværligt at efterleve reglerne i databeskyttelsesforordningen.

I den anden afgørelse indstillede Datatilsynet selskabet IDdesign A/S til en bøde på 1,5 mio kr. for manglende sletning af personoplysninger om ca. 385.000 kunders navne, adresser, telefonnumre, e-mail og købshistorik. Det skyldtes, at selskabet benyttede et gammelt IT-system i tre selvstændige, samhandlende IDE-møbler butikker. De andre IDE-møbler butikker havde fået nyt system. IDdesign havde ikke forholdt sig til, hvornår personoplysningerne i det gamle system skulle slettes. Datatilsynet fandt derfor, at IDdesign ikke havde overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden havde behandlet personoplysningerne længere end nødvendigt.

Overordnet viser afgørelserne, at Datatilsynet kun har indstillet til bøde i tilfælde, hvor den dataansvarlige har opbevaret personoplysninger i et længere tidsrum end nødvendigt.

Bødestørrelserne på henholdsvis kr. 1,2 mio. (Taxa 4×35) og kr. 1,5 mio. (IDdesign A/S) fremstår store, men tages antallet af berørte registrerede i betragtning findes bødeniveauet mere rimeligt. Datatilsynet har nemlig indstillet Taxa 4×35 til en bøde svarende til kr. 0,133 pr. berørt person, hvorimod IDdesign A/S er indstillet til en bøde på kr. 3,90 pr. person.

Forskellen på størrelsen af de to bøder skyldes hovedsageligt, at IDdesign slet ikke havde forholdt sig til fristen for sletning af de personoplysninger, der indgik i det gamle system, hvorimod Taxa 4×35 havde vurderet slettefristen og på den baggrund implementeret en slettepolitik, der dog blev tilsidesat af Datatilsynet.

Det er dog ikke alle tilfælde, hvor den dataansvarlige tilsidesætter sin pligt til at slette, som Datatilsynet indstiller til bøde. Datatilsynet udtalte nemlig ”kun” alvorlig kritik til Yousee A/S (TDC), selvom selskabet ved en fejl havde sendt en markedsføringsmail til nogle modtagere, der indgik i en midlertidig database, som skulle have været slettet.

Fordeling af dataansvar
For så vidt angår andre overtrædelser kan nævnes en afgørelse, hvor Datatilsynet udtalte alvorlig kritik til Direktoratet i Kriminalforsorgen. Datatilsynet erfarede nemlig under dets tilsynsbesøg i april 2018, at der ikke var taget endelig stilling til fordelingen af dataansvaret. Kriminalforsorgen oplyste seks måneder senere, at der fortsat ikke var taget endelig stilling til fordeling af dataansvaret i Kriminalforsorgen. Datatilsynet bemærkede i dets afgørelse, at det var yderst bekymrende og langt fra tilfredsstillende, at der ikke i Kriminalforsorgen på tidspunktet for tilsynsbesøget var taget endelig stilling til fordelingen af dataansvar, og at der heller ikke 6 måneder efter tilsynsbesøget var taget endelig stilling hertil. Bemærkelsesværdigt er dog, at det ikke var bekymrende nok til, at Datatilsynet indstillede Kriminalforsorgen til en bøde.

Endvidere kan nævnes en anden afgørelse, hvor Datatilsynet alene udtalte alvorlig kritik og meddelte påbud til TDC. TDC havde optaget telefonsamtaler til internt træningsbrug uden samtykke fra den registrerede, selvom dette var i strid med Datatilsynets mangeårige praksis. Dermed havde TDC ikke et lovligt behandlingsgrundlag til behandlingen, hvorfor TDC´s optagelse af telefonsamtalerne var en ulovlig databehandling.

På baggrund af Datatilsynets offentliggjorte afgørelser kan det konkluderes, at Datatilsynet alene har indstillet til bøde for de tilfælde, hvor den dataansvarlige har tilsidesat sin pligt til at slette personoplysninger.

Andre overtrædelser af Databeskyttelsesforordningen, såsom ulovlig databehandling som følge af manglende behandlingsgrundlag eller manglende afklaring af dataansvar, der resulterer i overtrædelse af oplysningspligten samt retten til indsigt som følgevirkning, har ikke givet anledning til bøde.

Det kan give anledning til undren, at den dataansvarliges efterfølgende ulovlige opbevaring af personoplysninger, som oprindeligt har været indsamlet og behandlet lovligt giver anledning til bøde, når f.eks. personoplysninger, der ikke er indsamlet lovligt og dermed altid har udgjort en ulovlig databehandling, alene resulterer i alvorlig kritik fra Datatilsynet.

På den baggrund er det LOU Advokatfirmas opfattelse, at den oprindelige frygt for Databeskyttelsesforordningen var uberettiget, da Datatilsynets håndhævelse af en overtrædelse som udgangspunkt ikke medfører en bøde, dog med undtagelse af de tilfælde, hvor overtrædelsen skyldes manglende overholdelse af den dataansvarliges pligt til at slette personoplysninger rettidigt.

Har du spørgsmål i relation til persondataret er du velkommen til at kontakte LOU Advokater på telefon 70 300 500 eller personadata@lou.dk.

26. juni 2019

Tilbage til publikationer
Tilbage til publikationer