Tilsyn med Rejsekort & Rejseplan A/S’ behandling af personoplysninger

Dato: 26-02-2020

Journalnummer: 2019-41-0031

Resume

Datatilsynet har i 2019 foretaget et planlagt tilsyn hos Rejsekort & Rejseplan A/S. Tilsynet fokuserede på virksomhedens overholdelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens artikel 15 og artikel 12.

Datatilsynet fandt at, Rejsekort & Rejseplan A/S’ besvarelser af anmodninger om indsigt generelt er sket i overensstemmelse med forordningens artikel 15, og at virksomheden i alle de gennemgåede tilfælde har besvaret anmodningerne inden for en måned efter modtagelsen af anmodningen.

Af Datatilsynets afsluttende udtalelse fremgår bl.a, at det er tilsynets vurdering, at den automatiske afgørelse, som Rejsekort & Rejseplan A/S træffer om en rejses pris i forbindelse med indmelding af glemte check ud ikke berører den registreredes juridiske rettigheder, og at afgørelsen i øvrigt ikke har alvorlige virkninger for den registrerede, hvorfor en sådan afgørelse ikke vil være omfattet af forordningens artikel 22. Rejsekort & Rejseplan A/S er efter tilsynets vurdering således ikke forpligtet til at give information herom ved besvarelsen af indsigtsanmodninger i henhold til artikel 15, stk. 1, litra h.

Du kan læse Datatilsynets vejledning om registreredes rettigheder her.

Afgørelse

Rejsekort & Rejseplan A/S var blandt de virksomheder, som Datatilsynet havde udvalgt til tilsyn i foråret 2019. Datatilsynets planlagte tilsyn med Rejsekort & Rejseplan A/S fokuserede navnlig på virksomhedens efterlevelse af reglerne om den registreredes indsigtsret, jf. databeskyttelsesforordningens[1] artikel 15 og artikel 12.

Efter anmodning fra Datatilsynet havde Rejsekort & Rejseplan A/S inden tilsynsbesøget udfyldt et spørgeskema og indsendt dette sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 7. maj 2019.

1. Afgørelse

Efter tilsynet med Rejsekort & Rejseplan A/S finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At Rejsekort & Rejseplan A/S i høj grad har udarbejdet retningslinjer, procedurer m.v. for virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.
  2. At Rejsekort & Rejseplan A/S i høj grad har udarbejdet skabeloner, der kan medvirke til at sikre og lette virksomhedens medarbejderes efterlevelse af databeskyttelsesforordningens artikel 15.
  3. At Rejsekort & Rejseplan A/S’ besvarelser af anmodninger om indsigt generelt er sket i overensstemmelse med databeskyttelsesforordningens artikel 15.
  4. At Rejsekort & Rejseplan A/S i alle tilfælde, som er blevet gennemgået, har besvaret anmodninger om indsigt inden for en måned efter modtagelsen af anmodningerne, jf. databeskyttelsesforordningens artikel 12, stk. 3.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med tilsynet og en begrundelse for Datatilsynets afgørelse.

2. Rejsekort & Rejseplan A/S’ retningslinjer og procedurer

Rejsekort & Rejseplan A/S har forud for tilsynsbesøget fremsendt en kopi af virksomhedens procedurer, retningslinjer m.v., som var gældende på datoen for varslingen af tilsynet, vedrørende håndtering af indsigtsanmodninger i henhold til databeskyttelsesforordningens artikel 15 og artikel 12.

Rejsekort & Rejseplan A/S oplyste på tilsynsbesøget, at virksomhedens skabeloner og interne retningslinjer, politikker m.v. er tilgængelige for alle virksomhedens medarbejderne, men at det typisk vil være databeskyttelsesrådgiveren eller to andre bestemte medarbejdere fra Kundecenteret, som håndterer anmodninger om indsigt, hvorfor det primært er dem, der gør brug af de udarbejdede skabeloner og interne retningslinjer, politikker m.v.

De af Rejsekort & Rejseplan A/S udarbejdede retningslinjer, politikker m.v. indeholder bl.a. information om databeskyttelsesforordningens artikel 12, herunder information om tidsfristen for besvarelse af indsigtsanmodninger, og at besvarelser af indsigtsanmodninger skal ske i en kortfattet, gennemsigtigt, letforståelig og lettilgængelig form og i et klart og enkelt sprog.

Herudover gives der information om, hvordan medarbejderne skal håndtere indsigtsanmodninger, hvor der hersker tvivl om den registreredes identitet, og hvor virksomheden derfor vil være nødt til at anmode om yderligere oplysninger fra den registrerede for at kunne bekræfte vedkommendes identitet, jf. forordningens artikel 12, stk. 6.

Det fremgår således, at der kun må udleveres oplysninger, når den registrerede har legitimeret sig behørigt, eller når der på anden måde er skabt sikkerhed for, at den, der fremsætter indsigtsanmodningen, er identisk med den person, som oplysningerne vedrører. Dette kan eksempelvis ske ved, at den registrerede oplyser sit rejsekortnummer, og der stilles kontrolspørgsmål om den registrerede eller den registreredes seneste rejser.

Videre fremgår det, at der i almindelighed ikke vil være grund til at foretage særlige undersøgelser, når en anmodning om indsigt er fremsat pr. brev eller e-mail, og hvis navn og adresse i henvendelsen er identisk med de oplysninger, som i forvejen fremgår af rejsekortsystemet. Hvis dette imidlertid ikke er tilfældet, bør forholdet undersøges nærmere, eksempelvis ved at der rettes henvendelse til den person, der har fremsat anmodningen eller til folkeregistret, evt. via CPR-registret.

Datatilsynet forudsætter i den forbindelse, at den henvendende e-mailadresse naturligvis også skal være identisk med de oplysninger, som i forvejen fremgår af rejsekortsystemet.

Ved telefoniske anmodninger om indsigt, kan medarbejderne under samtalen stille kontrolspørgsmål til den registrerede, eller medarbejderne kan foretage et kontrolopkald til et allerede registreret telefonnummer for at sikre, at det er den rette person, der anmoder om indsigt i sine personoplysninger.

Retningslinjerne, politikkerne m.v. indeholder endvidere information om, hvilke oplysninger der skal gives til den registrerede ved besvarelse af anmodninger om indsigt efter forordningens artikel 15, stk. 1, litra a-h.

Herudover indeholder retningslinjerne, politikkerne m.v. information om, hvordan medarbejderne i praksis skal håndtere anmodninger om indsigt, herunder hvordan medarbejderne skal behandle anmodninger om indsigt i oplysninger om børn og unge under 18 år, eksempelvis i tilfælde hvor en forælder anmoder om indsigt på barnets vegne.

Det fremgår af de udarbejdede retningslinjer, politikker m.v., at retten til indsigt ikke omfatter oplysninger om, hvem der har foretaget opslag i kunders data eller oplysninger om, hvilke IP-adresser, der har logget på Rejsekort Selvbetjening.

Adspurgt herom oplyste Rejsekort & Rejseplan A/S på tilsynsbesøget, at den behandling, der finder sted i forbindelse med virksomhedens registrering af IP-adresser, sker på en sådan måde, at det ikke vil være muligt for virksomheden at identificere den registrerede person. Rejekort & Rejseplan A/S kan således ikke give indsigt i oplysninger om IP-adresser, jf. databeskyttelsesforordningens artikel 11, stk. 2.

Dette giver ikke Datatilsynet anledning til bemærkninger.

3. Rejsekort & Rejseplan A/S’ standardtekster

Rejsekort & Rejseplan A/S har fremsendt en kopi af de skabeloner, som virksomhedens medarbejdere benytter ved besvarelse af indsigtsanmodninger, herunder en generel skabelon for besvarelse af indsigtsanmodninger og en skabelon for besvarelse af indsigtsanmodninger vedrørende telefonoptagelse.

Rejsekort & Rejseplan A/S oplyste på tilsynsbesøget, at de fremsendte skabeloner er udarbejdet efter Datatilsynets skabelon, som kan findes på tilsynets hjemmeside.

Datatilsynet spurgte på tilsynet ind til, om Rejsekort & Rejseplan A/S træffer afgørelser over for registrerede, der alene er baseret på automatisk behandling, i henhold til databeskyttelsesforordningens artikel 22, stk. 1, idet det fremgår af forordningens artikel 15, stk. 1, litra h, at den dataansvarlige skal give den registrerede information om forekomsten af automatiske afgørelser.

Rejsekort & Rejseplan A/S oplyste hertil, at virksomheden i nogle tilfælde træffer automatiske afgørelser, herunder ved indmelding af glemte check ud via appen Check Udvej eller via hjemmesiden. Hvis en person glemmer at checke ud efter en rejse, kan vedkommende indmelde et check ud i op til 10 dage efter rejsens start. I nogle tilfælde vil der herefter forekomme en automatisk afgørelse vedrørende ny rejsepris. Hvis der er tale om anormale tilfælde, vil afgørelsen ikke være automatisk, ligesom at det kun vil være de registrerede, der benytter sig af Check Udvej, som Rejsekort & Rejseplan A/S i visse tilfælde vil træffe automatiske afgørelser over for. Det vil derfor ikke være i alle tilfælde, at virksomheden vil give information om forekomsten af automatiske afgørelser ved besvarelse af indsigtsanmodninger.

Rejsekort & Rejseplan A/S oplyste i forlængelse heraf, at virksomheden på baggrund af en henvendelse har ændret virksomhedens skabeloner, så det nu også fremgår, at der i nogle tilfælde skal gives information om forekomsten af automatiske afgørelser.

Efter tilsynsbesøget har Rejsekort & Rejseplan A/S imidlertid oplyst, at de automatiske beregninger, som finder sted i Check Udvej, efter virksomhedens vurdering, ikke er omfattet af databeskyttelsesforordningens artikel 22.

Rejsekort & Rejseplan A/S har i den forbindelse oplyst, at indmeldelse af manglende check ud sker ved, at en kunde, der ikke har checket ud på en rejse, efterfølgende gennem Check Udvej (både via en app og Rejsekorts hjemmeside) kan indmelde det manglende check ud med oplysning om tid og sted for rejsens reelle afslutning. Hvis det indmeldte check ud passer sammen med de oplysninger, Rejsekort har i forvejen (herunder tid og sted for check ind), sker der herefter en automatisk godkendelse af det indmeldte check ud, og på baggrund af disse oplysninger beregnes rejsens pris.

På baggrund af ovenstående er det Rejsekort & Rejseplan A/S opfattelse, at virksomheden i forbindelse med kundens indmeldelse i Check Udvej af manglende check ud, som anført, foretager en automatisk beregning, men at denne beregning ikke er omfattet af forordningens artikel 22 om automatiske afgørelser, idet der ikke – efter virksomhedens opfattelse – er tale om foranstaltninger, som evaluerer personlige forhold mv., og at den automatiske beregning dermed ikke er omfattet af den særlige indsigtsret i artikel 15, stk. 1, litra h.

Rejsekort & Rejseplan A/S har henvist til betænkning 1565/2017 (s. 376f), hvor følgende fremgår:

”Det fremgår ikke direkte af forordningen, at der skal være tale om oplysninger, der er bestemt til at vurdere bestemte personlige forhold, som det er tilfældet med persondatalovens § 39 og databeskyttelsesdirektivets artikel 15.

Det fremgår dog af præambelbetragtning nr. 71 til forordningen, at den registrerede bør have ret til ikke at blive gjort til genstand for en afgørelse, der kan omfatte en foranstaltning, som evaluerer personlige forhold vedrørende vedkommende, og som alene bygger på automatisk behandling og som har retsvirkning eller som på tilsvarende vis betydeligt påvirker den pågældende, såsom et automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben.

Det fremgår i den forbindelse af forordningens artikel 4, nr. 4, at profilering er: enhver form for automatisk behandling af personoplysninger, der består i at anvende personoplysninger til at evaluere bestemte personlige forhold vedrørende en fysisk person, navnlig for at analysere eller forudsige forhold vedrørende den fysiske persons arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser.

Derudover er overskriften til artikel 22 automatiske individuelle afgørelser, hvilket også støtter det faktum, at afgørelsen skal vedrøre personlige forhold. Anvendelsesområdet for disse behandlinger ses således ligeledes at være identisk med gældende ret.

Det er vigtigt at holde sig for øje, at den behandling, som omtales i artikel 22, er den automatiske behandling, hvor netop personlige forhold evalueres. Der vil således ikke være tale om en afgørelse i artikel 22’s forstand, såfremt den afgørelse, der træffes, sker ved en rent matematisk udregning ud fra de givne faktuelle forudsætninger, uden at der dermed sker en evaluering af personlige forhold vedrørende vedkommende.”

Videre har Rejsekort & Rejseplan A/S henvist til følgende i Datatilsynets vejledning om de registreredes rettigheder[2]:

”Retten [i artikel 22] indebærer for det første, at den registrerede har ret til ikke at blive underlagt en afgørelse, der alene er baseret på automatisk behandling, som har retsvirkning eller på tilsvarende vis betydeligt påvirker vedkommende.

For det andet indebærer retten, at den registrerede har ret til ikke at blive underlagt en automatisk behandling af personoplysninger, der består i at anvende oplysningerne til at evaluere bestemte personlige forhold vedrørende den registrerede, navnlig for at analysere eller forudsige forhold vedrørende den registreredes arbejdsindsats, økonomiske situation, helbred, personlige præferencer, interesser, pålidelighed, adfærd, geografisk position eller bevægelser (profilering – når denne danner grundlag for en automatisk afgørelse).

Retten har i praksis den betydning, at du som dataansvarlig, som udgangspunkt, ikke må træffe afgørelser, der alene er baseret på automatisk behandling eller profilering, når afgørelsen eller profileringen har retsvirkninger for eller betydeligt påvirker den registrerede.

Hvis de to betingelser nedenfor er opfyldt, må du således som udgangspunkt ikke træffe afgørelser, der alene er baseret på automatisk behandling eller profilering over for den registrerede:

1. Afgørelsen eller profileringen har retsvirkning for eller påvirker betydeligt den registrerede.

2. Afgørelsen eller profileringen indebærer en evaluering af den registreredes personlige forhold.”

Det er sammenfattende Rejsekort & Rejseplan A/S’ opfattelse, at automatiske beregninger i et IT-system, der træffes på baggrund af en matematisk eller statistisk procedure, (kun) vil være omfattet af artikel 22, hvis der i forbindelse med beregningen også foretages en evaluering af personlige forhold, hvilket ikke er tilfældet ved den automatiske beregning af rejsens pris, som sker i Check Udvej på baggrund af kundens indtastede oplysninger om rejsen m.v.

Det er Datatilsynets vurdering, at den beregning, der finder sted på baggrund af kundens indtastede oplysninger om rejsen i Check Udvej, må betragtes som en automatisk afgørelse, idet udregningen af rejsens pris er baseret på en automatisk behandling uden menneskelig indgriben.

Det følger af forordningens artikel 22, stk.1, at den registrerede har ret til ikke at være genstand for en afgørelse, der alene er baseret på automatisk behandling, herunder profilering, som har retsvirkning eller på tilsvarende vis betydeligt påvirker den pågældende.

Af artikel 29-gruppens retningslinjer om automatiske individuelle afgørelser og profilering fremgår i den forbindelse:

”Databeskyttelsesforordningen definerer ikke "retsvirkning" eller "på tilsvarende vis betydeligt påvirker", men det fremgår klart af ordlyden, at det kun er alvorlige virkninger, som vil være omfattet af artikel 22.

[…]

En retsvirkning forudsætter, at afgørelsen, der alene er baseret på automatisk behandling, berører en persons juridiske rettigheder såsom foreningsfriheden, retten til stemme ved et valg eller anlægge søgsmål. En retsvirkning kan også være noget, der påvirker en persons retlige status eller rettigheder i henhold til en kontrakt. Eksempler på denne type virkninger omfatter automatiske afgørelser om en person, der resulterer i:

  • annullering af en kontrakt
  • ret til eller et afslag på en bestemt social ydelse, som er tilkendt ved lov, f.eks. børne- eller boligtilskud”

[…]

Selv om en beslutningsproces ikke påvirker den enkeltes juridiske rettigheder, kan den stadig være omfattet af artikel 22, hvis den på tilsvarende vis betydeligt påvirker den pågældende.

Selv om der ikke er sket ændringer i den registreredes juridiske rettigheder eller forpligtelser, vil den pågældende med andre ord stadig kunne blive påvirket i tilstrækkelig grad til at kræve beskyttelse i henhold til denne bestemmelse.I databeskyttelsesforordningen indsættes ordene "på tilsvarende vis" (findes ikke i artikel 15 i direktiv 95/46/EF) foran "betydeligt påvirker". Tærsklen for betydning skal derfor være den samme som for en afgørelse, der har retsvirkning.

I betragtning 71 anføres følgende typiske eksempel: "automatisk afslag på en onlineansøgning om kredit eller e-rekrutteringsprocedurer uden nogen menneskelig indgriben".

Hvis databehandlingen skal kunne anses for betydeligt at påvirke en person, skal virkningerne af behandlingen være tilstrækkelig betydelige eller vigtige for at blive taget i betragtning. Med andre ord skal afgørelsen potentielt:

  • betydeligt påvirke den pågældendes situation, adfærd eller valg
  • have langvarig eller permanent indvirkning på den registrerede eller
  • medføre udelukkelse eller forskelsbehandling af enkeltpersoner i de mest ekstreme tilfælde.

Det er vanskeligt at præcisere, hvad der vil blive anset for at være tilstrækkelig betydeligt til at opfylde tærsklen, selv om følgende afgørelser kunne falde ind under denne kategori:

  • Afgørelser, der påvirker en persons økonomiske situation, f.eks. vedkommendes adgang til kredit
  • Afgørelser, der påvirker en persons adgang til sundhedsydelser
  • Afgørelser, hvorved en person udelukkes fra en beskæftigelsesmulighed eller står betydeligt svagere
  • Afgørelser, der påvirker en persons adgang til uddannelse, f.eks. optagelse på universitetet.”

Det er herefter Datatilsynets vurdering, at den automatiske afgørelse om rejsens pris ikke berører den registreredes juridiske rettigheder, og at afgørelsen i øvrigt ikke har alvorlige virkninger for den registrerede. Den automatiske afgørelse om rejsens pris er således efter tilsynets opfattelse ikke omfattet af databeskyttelsesforordningens artikel 22, hvorfor Rejsekort & Rejseplan A/S heller ikke er forpligtet til at give information herom ved besvarelsen af indsigtsanmodninger i henhold til artikel 15, stk. 1, litra h.

4. Rejsekort & Rejseplan A/S’ håndtering af anmodninger om indsigt

4.1. Rejsekort & Rejseplan A/S har over for Datatilsynet oplyst, at virksomheden har modtaget og besvaret 19 indsigtsanmodninger fra kunder i perioden fra den 25. maj 2018 til den 9. april 2019. Rejsekort & Rejseplan A/S har fremsendt en kopi af 10 af besvarelserne til Datatilsynet forud for tilsynsbesøget.

Datatilsynet har generelt ingen bemærkninger til Rejsekort & Rejseplan A/S’ besvarelser af indsigtsanmodningerne, jf. databeskyttelsesforordningens artikel 15.

Efter en gennemgang af besvarelserne kan Datatilsynet endvidere konstatere, at de pågældende anmodninger om indsigt i alle tilfælde er blevet besvaret inden for 1 måned efter modtagelsen af anmodningen i overensstemmelse med tidsfristerne i forordningens artikel 12, stk. 3. Rejsekort & Rejseplan A/S har i den forbindelse også oplyst, at virksomheden i gennemsnit bruger 11,6 dage på at behandle en anmodning om indsigt.

4.2. Det følger af databeskyttelsesforordningens artikel 12, stk. 6, at den dataansvarlige, hvis der hersker rimelig tvivl om identiteten af den fysiske person, der har anmodet om indsigt, kan anmode om yderligere oplysninger, der er nødvendige for at bekræfte den registreredes identitet.

Rejsekort & Rejseplan A/S har i den forbindelse oplyst, at virksomheden i februar 2019 har modtaget to anmodninger om indsigt via appen ”WeAreDavid” med generelt formulerede henvendelser fra personer angivet med navn og e-mail.

Rejsekort & Rejseplan A/S anmodede om yderligere oplysninger om de pågældende personer, herunder eksempelvis kortnummer og registreret e-mailadresse, men modtog ikke en tilbagemelding fra de anmodende personer. Rejsekort & Rejseplan A/S besvarede derfor ikke anmodningerne.[3]

Datatilsynet har ingen bemærkninger hertil.

5. Konklusion

Efter tilsynet med Rejsekort & Rejseplan A/S finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At Rejsekort & Rejseplan A/S i høj grad har udarbejdet retningslinjer, procedurer m.v. for virksomhedens efterlevelse af databeskyttelsesforordningens artikel 15 og artikel 12.
  2. At Rejsekort & Rejseplan A/S i høj grad har udarbejdet skabeloner, der kan medvirke til at sikre og lette virksomhedens medarbejderes efterlevelse af databeskyttelsesforordningens artikel 15.
  3. At Rejsekort & Rejseplan A/S’ besvarelser af anmodninger om indsigt generelt er sket i overensstemmelse med databeskyttelsesforordningens artikel 15.
  4. At Rejsekort & Rejseplan A/S i alle tilfælde, som er blevet gennemgået, har besvaret anmodninger om indsigt inden for en måned efter modtagelsen af anmodningerne, jf. databeskyttelsesforordningens artikel 12, stk. 3.

Datatilsynet anser herefter tilsynet for afsluttet og foretager sig ikke yderligere i den anledning.

 

[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[2] Vejledningen kan tilgås på tilsynets hjemmeside.

[3] Datatilsynet udgav den 14. november 2018 en nyhed vedrørende indsigt gennem apps. Nyheden kan tilgås på tilsynets hjemmeside.