Datatilsynet har på baggrund af en klage over manglende sletning af personoplysninger udtalt alvorlig kritik af Rejsekort A/S behandlingsgrundlag.
Klageren havde anført, at Rejsekort ikke havde slettet hendes personoplysninger, selvom hun ikke længere var kunde hos Rejsekort. Da klager indgik aftalen med Rejsekort blev hun oplyst om, at behandlingsgrundlaget var samtykke, men da klager trak sit samtykke tilbage, var beskeden fra Rejsekort, at behandlingsgrundlaget i stedet var kontraktindgåelse og retlige forpligtelser efter artikel 6, stk. 1, litra b og c i GDPR.
Alvorlig kritik af Rejsekort A/S
Datatilsynet fandt, at Rejsekort har behandlet klagers oplysninger i strid med princippet om lovlighed, rimelighed og gennemsigtighed, jf. artikel 5, stk. 1, litra a i GDPR. Datatilsynet udtaler i den forbindelse, at Rejsekort ikke burde have behandlet oplysninger om klager på baggrund af et samtykke. Desuden har Datatilsynet udtalt alvorlig kritik af Rejsekorts fortsatte behandling af rejsedata og oplysninger om aftaleindgåelse mellem klager og Rejsekort, da Rejsekort ikke har haft grundlag for den fortsatte behandling, efter klager trak sit samtykke tilbage.
Rejsekort skal nu foretage en fornyet vurdering af behandlingsgrundlaget for behandlingen af personoplysninger, hvor de har baseret behandlingen på et samtykke. Desuden har Datatilsynet bedt Rejsekort om at fremsende en skriftlig redegørelse for den fornyede vurdering.
Datatilsynet har desuden meddelt Rejsekort påbud om at slette rejsedata og oplysninger om aftaleindgåelsen om klager, som Rejsekort ikke er forpligtet til at opbevare i henhold til reglerne i Bogføringsloven.
Hortens bemærkninger
Vi opfordrer alle til at gennemgå deres behandlingsgrundlag og vurdere, om samtykke fejlagtigt anvendes som hjemmel til behandling af personoplysninger, eller om der er grund til justeringer.
Læs hele afgørelsen fra Datatilsynet her:
Forkert behandlingsgrundlag