Journalnummer: 2019-32-0709
Resume
Datatilsynet har på baggrund af en klage udtalt alvorlig kritik af, at Rejsekort har behandlet klagers oplysninger i strid med princippet om lovlighed, rimelighed og gennemsigtighed, da Rejsekort ikke burde have behandlet oplysninger om klager på baggrund af et samtykke.
I den forbindelse er det Datatilsynets opfattelse, at Rejsekort skal foretage en fornyet vurdering af behandlingsgrundlaget for behandlingen af personoplysninger om andre end klager i de tilfælde, hvor behandlingen er baseret på et samtykke. Rejsekort skal fremsende en skriftlig redegørelse for denne fornyede vurdering til Datatilsynet.
Endvidere har Datatilsynet på baggrund af klagen udtalt alvorlig kritik af Rejsekorts fortsatte behandling af rejsedata og oplysninger om aftaleindgåelse mellem Rejsekort og klager, da Rejsekort ikke har grundlag for denne fortsatte behandling, efter klager trak sit samtykke tilbage. Herefter har Datatilsynet meddelt Rejsekort påbud om at slette rejsedata og oplysninger om aftaleindgåelsen vedrørende klager, som Rejsekort ikke er forpligtet til at opbevare efter bogføringsloven.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor klager den 19. marts 2019 har klaget til tilsynet over manglende sletning hos Rejsekort A/S (herefter Rejsekort).
Set i lyset af klagen har Datatilsynet endvidere fundet anledning til af egen drift at stille Rejsekort spørgsmål om selskabets iagttagelse af oplysningspligten.
1. Påbud og afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af, at Rejsekort har behandlet oplysninger om klager i strid med det grundlæggende princip om lovlighed, rimelighed og gennemsigtighed, jf. databeskyttelsesforordningens[1] artikel 5, stk. 1, litra a.
Rejsekort skal fremsende en skriftlig redegørelse for en fornyet vurdering af behandlingsgrundlaget for behandlingen af personoplysninger om andre end klager, i de tilfælde, hvor behandlingen er baseret på et samtykke efter forordningens artikel 6, stk. 1, litra a. Denne orientering skal være sendt til Datatilsynet senest den 1. februar 2021.
Endvidere finder Datatilsynet, at der er grundlag for at udtale alvorlig kritik af Rejsekorts fortsatte behandling af rejsedata og oplysninger om aftaleindgåelse mellem Rejsekort og klager, jf. databeskyttelsesforordningens artikel 6, jf. artikel 17, stk. 1, litra b.
Datatilsynet skal herefter meddele Rejsekort påbud om at slette rejsedata og oplysninger om aftaleindgåelsen vedrørende klager, som Rejsekort ikke er forpligtet til at opbevare efter bogføringsloven. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra g.
Fristen for efterlevelse af påbuddet er den 1. december 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.
Ifølge databeskyttelseslovens § 41, stk. 2, nr. 5, straffes med bøde eller fængsel i op til 6 måneder den, der undlader at efterkomme et påbud meddelt af Datatilsynet i medfør af databeskyttelsesforordningens artikel 58, stk. 2.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager i 2015 i forbindelse med bestilling af et personligt rejsekort gav samtykke til behandling af oplysninger hos Rejsekort.
Den 19. marts 2019 trak klager sit samtykke til Rejsekorts behandling af personoplysninger tilbage.
Ved e-mail af samme dag, oplyste Rejsekort, at klagers kundeforhold hos Rejsekort var blevet lukket, og at hendes personoplysninger var blevet slettet. Rejsekort oplyste, at Rejsekort i medfør af bogføringsloven er forpligtet til at gemme økonomiske data i fem år, og at Rejsekort endvidere gemmer rejsedata og dokumentation for aftaleindgåelse i tre år fra ophøret af kundeforholdet.
Klager rettede samme dag henvendelse til Datatilsynet og klagede over Rejsekorts manglende sletning af alle oplysninger om hende.
2.1. Klagers bemærkninger
Klager har overordnet anført, at Rejsekort ikke har slettet hendes data, selvom hun ikke længere er kunde hos Rejsekort.
Klager mener, at det ikke er relevant for Rejsekort fortsat at opbevare bl.a. klagers personnummer og kreditkortdata.
2.2. Rejsekorts bemærkninger
Rejsekort har overordnet anført, at Rejsekort i videst muligt omfang har imødekommet klagers anmodning om sletning, og at Rejsekort fortsat behandler oplysninger om klagers økonomiske data, herunder betalingsoplysninger om indbetaling og træk på rejsekortet, idet Rejsekort i medfør af bogføringsloven er forpligtet til at opbevare de pågældende oplysninger i fem år fra udgangen af det år, klager ikke længere er kunde. Rejsekort behandler således de pågældende oplysninger i medfør af artikel 6, stk. 1, litra b og c. Rejsekort har endvidere henvist til databeskyttelsesforordningens artikel 17, stk. 3, litra b, hvorefter retten til sletning ikke gælder, hvis den fortsatte behandling er nødvendig for at overholde en retlig forpligtelse.
Der behandles endvidere oplysninger som dokumentation for klagers aftaleindgåelse med Rejsekort samt rejsedata, idet disse oplysninger er nødvendige for, at Rejsekort kan dokumentere klagers transaktioner mv., således at Rejsekort kan imødegå eventuelle klager eller øvrige krav fra klager. Rejsekort behandler oplysninger om dokumentation for aftaleindgåelsen og rejsedata i medfør af artikel 6, stk. 1, litra b og f, i en treårig periode efter samtykket er trukket tilbage.
På baggrund af Datatilsynets samtykkevejledning fra september 2019 har Rejsekort endvidere anført, at den fortsatte behandling af oplysninger om rejsedata og dokumentation for aftaleindgåelse sker på baggrund af forordningens artikel 6, stk. 1, litra b. Det er Rejsekorts opfattelse, at opbevaringen af oplysningerne i en treårig periode må anses for nødvendig af hensyn til den indgåede kontrakt mellem Rejsekort og den registrerede, herunder for i nødvendigt omfang at kunne dokumentere bl.a. foretagne rejsetransaktioner, aftalen med kunden samt vilkårene herfor.
Rejsekort har endvidere henvist til databeskyttelsesforordningens artikel 17, stk. 3, litra e, hvorefter retten til sletning ikke gælder, hvis det er nødvendigt at opbevare oplysningerne for, at et retskrav kan fastlægges, gøres gældende eller forsvares. Den treårige slettefrist er fastsat på baggrund af forældelseslovens almindelige forældelsesfrist på tre år for fordringer, og opbevaringen af personoplysningerne er nødvendig af hensyn til denne frist.
I forbindelse med aftaleindgåelsen oplyste Rejsekort klager om, at hendes oplysninger ville blive behandlet på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra a.
Da klager trak sit samtykke tilbage, oplyste Rejsekort endvidere, at oplysninger om økonomiske data fortsat ville blive opbevaret i medfør af databeskyttelsesforordningens artikel 6, stk. 1, litra b og c, og at rejsedata og oplysninger om klagers aftaleindgåelse med Rejsekort fortsat ville blive opbevaret i medfør af databeskyttelsesforordningens artikel 6, stk.1, litra b og f.
Rejsekort har oplyst i forbindelse med sagen, at virksomheden har levet op til de forpligtelser, der følger af databeskyttelsesforordningens artikel 13 og 14 om oplysningspligt.
Rejsekort har i den forbindelse tilføjet, at selskabets privatlivspolitik er blevet ændret således, at der allerede på tidspunktet for aftaleindgåelsen gives information om, at Rejsekort efter omstændighederne vil kunne have et behandlingsgrundlag i tilfælde af tilbagetrækning af samtykke til behandlingen. Rejsekort har sendt den ændrede privatlivspolitik ud til alle selskabets kunder. På baggrund af Datatilsynet opdaterede samtykkevejledning, agter Rejsekort endvidere, at ændre sin privatlivspolitik og oplysningsteksten, således, at der fremover henvises til artikel 6, stk.1, litra b i stedet for litra f.
3. Begrundelse for Datatilsynets afgørelse
3.1. Rejsekorts behandlingsgrundlag
Sagen omhandler navnlig spørgsmål om den dataansvarliges valg af passende behandlingsgrundlag, og betydning af tilbagekaldelse af samtykke, når dette har udgjort den dataansvarliges behandlingsgrundlag.
Behandling af oplysninger omfattet af databeskyttelsesforordningens artikel 6 kan på grundlag af de grundlag, der fremgår af bestemmelsens stk. 1. Behandlingen kan således bl. a. ske på grundlag af:
- samtykke, jf. artikel 6, stk. 1, litra a,
- hvis behandlingen er nødvendig af hensyn til opfyldelsen af en kontrakt, jf. artikel 6, stk. 1, litra b,
- hvis behandlingen er nødvendig for at overholde en retlig forpligtelse, jf. artikel 6, stk. 1, litra c,
- hvis behandlingen er nødvendig henset til en legitim interesse, jf. artikel 6, stk. 1, litra f.
Enhver behandling af personoplysninger skal endvidere ske i overensstemmelse med de grundlæggende behandlingsbetingelser i databeskyttelsesforordningens artikel 5. Dermed skal personoplysninger bl.a. altid behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (princippet om lovlighed, rimelighed og gennemsigtighed), jf. artikel 5, stk. 1, litra a.
I forholdet til valget af behandlingsgrundlag skal en dataansvarlig altid forud for påbegyndelsen af behandling af personoplysninger gøre sig klart, hvilket behandlingsgrundlag i databeskyttelsesforordningens artikel 6, der er det mest passende. En dataansvarlig kan have flere behandlingsgrundlag til forskellige behandlingsformål vedrørende de samme personoplysninger og skal også i denne situation, inden behandlingen påbegyndes, have gjort sig klart, i hvilke situationer de forskellige behandlingsgrundlag finder anvendelse.
Hvis en behandling ønskes foretaget på grundlag af den registreredes samtykke, skal den dataansvarlige bl.a. overveje, om det reelt vil være muligt for den registrerede at trække sit samtykke tilbage, herunder hvilke konsekvenser dette i givet fald vil have, idet den behandling af oplysninger, som den dataansvarlige foretager på grundlag af samtykket, skal ophøre ved tilbagekaldelse.
På baggrund af det oplyste, lægger Datatilsynet til grund, at Rejsekorts behandling af personoplysninger om klager skete på baggrund af forordningens artikel 6, stk. 1, litra a, indtil klager trak sit samtykke tilbage.
Endvidere lægges det til grund, at Rejsekort havde tilrettelagt sin behandling af personoplysninger således, at der skulle ske skift af behandlingsgrundlaget, hvis samtykket blev trukket tilbage, idet Rejsekort fortsat ville behandle oplysninger om klager i medfør af forordningens artikel 6, stk. 1. Rejsekort ville efter det oplyste således anvende artikel 6, stk. 1, litra b, c og f, vedrørende klagers aftaleindgåelse, rejsedata, træk/indbetalinger på i kortet forbindelse med klagers benyttelse af sit rejsekort.
Efter en gennemgang af sagen er det Datatilsynets vurdering, at samtykke ikke var det mest passende behandlingsgrundlag for Rejsekorts behandling af oplysninger om klager, idet andre behandlingsgrundlag, må anses som klart mere passende i forhold til behandling af klagers personoplysninger.
På grundlag af sagens oplysninger, er det Datatilsynets opfattelse, at Rejsekort under hele aftaleforholdet med klager kunne have behandlet personoplysninger om klager på baggrund af henholdsvis forordningens artikel 6, stk. 1, litra b, om behandling af oplysninger i forbindelse med kontraktforhold (i forhold til selve aftalen om et rejsekort), og artikel 6, stk. 1, litra c, om behandling af oplysninger til opfyldelse af en retlige forpligtelse, (i forhold til overholdelse af bogføringsloven).
Datatilsynet har herved lagt vægt på, at klagers indgåelse af en aftale med Rejsekort om erhvervelse af et rejsekort, må anses som et kontraktretligt forhold, og at de oplysninger, der er nødvendige til indgåelse og opfyldelse af denne kontrakt kan behandles på grundlag af artikel 6, skt. 1, litra b. Datatilsynet bemærker, at Rejsekorts i øvrigt selv anvender betegnelsen ”aftaleforholdet” med klager i forbindelse med sagen.
For så vidt angår artikel 6, 1, litra c, må Rejsekort efter Datatilsynets opfattelse anses for under hele aftaleforholdet med klager at have haft en forpligtelse til at opbevare og behandle nødvendige personoplysninger i overensstemmelse med bogføringslovens bestemmelser.
Efter Datatilsynets opfattelse burde Rejsekort derfor ikke have behandlet oplysningerne om klager på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra a, om samtykke.
Datatilsynet har ved sin vurdering tillagt det væsentlig betydning, at en dataansvarlig som altovervejende udgangspunkt ikke bør skifte behandlingsgrundlag, efter behandlingen af personoplysninger er påbegyndt[2]. I den henseende må et skift af behandlingsgrundlag anses som særlig problematisk, når behandlingen sker på baggrund af et samtykke, da et samtykke efter databeskyttelsesforordningen er et udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger behandles. Rejsekort har således ved anvendelse af samtykke som behandlingsgrundlag givet klager en forventning om, at klager havde kontrol over behandlingen af personoplysninger om hende.
Datatilsynet finder herefter, at Rejsekort har behandlet oplysninger om klager i strid med princippet om lovlighed, rimelighed og gennemsigtighed efter databeskyttelsesforordningens artikel 5, stk. 1, litra a, idet samtykke ikke kan anses som det mest passende behandlingsgrundlag. Datatilsynet finder derfor grundlag for at udtale alvorlig kritik af Rejsekort.
Det er Datatilsynets opfattelse, at Rejsekort skal foretage en fornyet vurdering af behandlingsgrundlaget for behandlingen af personoplysninger om andre end klager i de tilfælde, hvor behandlingen er baseret på et samtykke efter forordningens artikel 6, stk. 1, litra a. Datatilsynet skal anmode om, at Rejsekort fremsender en skriftlig redegørelse for denne fornyede vurdering til tilsynet senest den 1. februar 2021.
3.2. Rejsekorts opbevaring af oplysninger efter bogføringsloven
Det er Datatilsynets opfattelse, at Rejsekort under hele aftaleforholdet med klager har haft en retlig forpligtelse efter bogføringsloven til at opbevare visse økonomiske oplysninger, og at denne behandling kan ske med hjemmel i databeskyttelsesforordningens art. 6, stk. 1, litra c.
Uanset, at en dataansvarlig som udgangspunkt ikke kan skifte grundlaget for behandlingen af personoplysninger undervejs, vil det i nogle tilfælde være muligt at fortsætte en behandling, selvom den registrerede har tilbagekaldt sit samtykke. En sådan fortsat behandling må dog alene finde sted, hvis den er rimelig i forhold til den registrerede.
Datatilsynet finder, at behandling af oplysninger om økonomiske oplysninger, herunder betalingsoplysninger om indbetaling og træk på rejsekortet fortsat kan ske med henblik på overholdelse af en retlig forpligtelse i overensstemmelse med databeskyttelsesforordningens artikel 6, stk. 1, litra c, og at oplysningerne ikke skal slettes, jf. artikel 17, stk. 1, litra b.
Datatilsynet skal imidlertid pege på, at det følger af bogføringslovens § 10, at den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. De pågældende oplysninger om klager kan dermed alene opbevares i en 5-årig periode fra udgangen af det regnskabsår oplysningerne vedrører og dermed ikke nødvendigvis i en 5-årig periode fra klager trak sit samtykke tilbage, hvis denne periode måtte være længere end den 5-årige periode fra udgangen af det regnskabsår, oplysningerne vedrører.
3.3. Rejsekorts fortsatte opbevaring af oplysninger om aftaleindgåelse og rejsedata
Rejsekort har oplyst, at virksomheden efter klagers tilbagekaldelse af sit samtykke fortsat behandler oplysninger om aftaleindgåelsen og rejsedata på baggrund af databeskyttelsesforordningens artikel 6, stk. 1, litra b.
Det følger af databeskyttelsesforordningens artikel 17, stk. 3, litra e, at retten til at få oplysninger om sig selv slettet ikke finder anvendelse, hvis behandlingen er nødvendig for, at retskrav kan fastlægges, gøres gældende eller forsvares.
Efter databeskyttelsesforordningens artikel 6, stk. 1, litra b, kan behandling af personoplysninger ske, hvis behandlingen er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.
Det er Datatilsynets vurdering, at den fortsatte behandling af de pågældende oplysninger ikke kan ske på baggrund af forordningens artikel 6, stk. 1, litra b. Dette er ikke alene tilfældet, fordi det ikke anses at være rimeligt over for klager, da oplysningerne oprindeligt blev behandlet på baggrund af et samtykke. Behandlingen kan derudover ikke ske på dette grundlag, da aftaleforholdet mellem klager og Rejsekort ophørte på det tidspunkt, hvor klager trak sit samtykke tilbage. Det er derfor Datatilsynets opfattelse, at der ikke længere foreligger en kontrakt eller et aftaleretligt forhold mellem klager og Rejsekort, som behandlingen efter artikel 6, stk. 1, litra b, kan angå.
I hvert fald under de konkrete omstændigheder, hvor Rejsekort fejlagtigt har anvendt samtykke som behandlingsgrundlag, finder Datatilsynet, at hensynet til den registrerede går forud for Rejsekorts interesse i at opbevare oplysninger med henblik på håndtering af et eventuelt retskrav.
Datatilsynet tilføjer i denne forbindelse, at der ikke ses at foreligge omstændigheder, der indikerer, at fortsat opbevaring under henvisning til et eventuelt retskrav kan anses for relevant.
Datatilsynet finder således, at Rejsekort ikke har grundlag i databeskyttelsesforordningens artikel 6 til den fortsatte behandling af oplysningerne om aftaleindgåelsen og rejsedata. Datatilsynet finder på denne baggrund for at udtale alvorlig kritik af, at Rejsekort ikke slettede oplysningerne om aftaleindgåelse og rejsedata, da klager trak sit samtykke tilbage, jf. databeskyttelsesforordningens artikel 17, stk. 1, litra b, jf. artikel 6.
Datatilsynet skal herefter meddele Rejsekort påbud om at slette rejsedata og oplysninger om aftaleindgåelse vedrørende klager, som Rejsekort ikke er forpligtet til at opbevare efter bogføringsloven. Påbuddet meddeles i medfør af databeskyttelsesforordningens artikel 58, stk. 2, litra g.
Fristen for efterlevelse af påbuddet er den 1. december 2020. Datatilsynet skal anmode om senest samme dato at modtage en bekræftelse på, at påbuddet er efterlevet.
3.4. Oplysningspligt
Rejsekort finder efter omstændighederne, at Rejsekort må anses for at have opfyldt sin oplysningspligt i henhold til databeskyttelsesforordningens artikel 13 under henvisning til virksomhedens egen vurdering af, hvilket behandlingsgrundlag der var gældende for behandlingen af oplysninger om klager før og efter, at klager trak sit samtykke tilbage.
Datatilsynet har noteret sig, at der på Rejsekorts hjemmeside ikke ses at være sket en opdatering af privatlivspolitikken som angivet af Rejsekort.
Datatilsynet opfordrer endvidere til, at Rejsekort – i lyset af nærværende afgørelse – opdaterer indholdet af de oplysninger, der gives til opfyldelse af oplysningspligten.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Se også Artikel 29-Gruppens retningslinjer vedrørende samtykke i henhold til forordning 2016/679 (WP259 rev. 01) senest revideret og vedtaget dem 10. april 2018, pkt. 6.