Datatilsynet har netop politianmeldt Taxa 4x35 for manglende overholdelse af reglerne i databeskyttelsesforordningen og har samtidig indstillet selskabet til en bøde på 1,2 mio. kr.
Taxa 4x35 er det første selskab, som Datatilsynet har politianmeldt for brud på forordningen. Datatilsynet var i oktober 2018 på tilsynsbesøg hos virksomheden og kunne i den forbindelse konstatere, at Taxa 4x35 på flere punkter ikke overholdt reglerne i forordningen.
Selskabet oplyste, at oplysninger om kunden, som anvendtes til bestilling og afvikling af taxature, blev anonymiseret efter to år, da identifikation af kunden herefter ikke længere var nødvendig. Dog fandt Datatilsynet, at kundens telefonnummer blev opbevaret i fem år, og at man ved hjælp af telefonnummeret fortsat kunne henføre taxakørslen til en fysisk person. Der var på tidspunktet for besøget registreret oplysninger om knap 9 mio. personhenførbare taxature.
Selskabet begrundede opbevaringen af telefonnumre med, at de var nødvendige i forhold til produkt- og forretningsudvikling, og at kundens telefonnummer anvendtes som nøgle og fælles referenceramme i systemet DDS Pathfinder. Datatilsynet udtalte i den forbindelse, at man ikke kunne fastsætte en slettefrist, som var tre år længere end nødvendigt, blot fordi virksomhedens system gjorde det besværligt at efterleve reglerne i forordningen. Datatilsynet fandt i den forbindelse, at Taxa 4x35 ikke havde overholdt princippet om dataminimering i forordningens artikel 5, stk. 1, litra c.
Brud på databeskyttelsesforordningens grundprincipper
Udover manglende overholdelse af princippet om dataminimering, fandt Datatilsynet, at Taxa 4x35's procedure for anonymisering af oplysninger var utilstrækkelig, og at kravet i forordningens artikel 5, stk. 1, litra e om opbevaringsbegrænsning dermed ikke var overholdt. Datatilsynet har politianmeldt Taxa 4x35 for manglende overholdelse af principperne om dataminimering og opbevaringsbegrænsning.
Datatilsynet udtalte dog også alvorlig kritik af, at virksomheden ikke har haft fastlagt med hvilken hjemmel kundernes telefonnumre er blevet opbevaret i perioden på fem år efter kørslen, og af at virksomheden ikke i tilstrækkelig grad har kunnet dokumentere de sletninger, der er foretaget i systemet og procedurerne herfor.
Første GDPR-bøde i Danmark
Datatilsynet har modsat mange af de andre europæiske tilsynsmyndigheder ikke mulighed for at udstede administrative bøder til virksomheder, der ikke overholder reglerne i forordningen. Politiet skal derfor på baggrund af indstillingen fra Datatilsynet tage stilling til, om der er grundlag for at rejse en sigtelse. Og det er domstolene, som skal tage endelig stilling til en eventuel bødestraf.