Journalnummer: 2021-31-5667
Resumé
Datatilsynet har truffet afgørelse i en sag, hvor klager havde anvendt bestillingsplatformen OrderYOYO til at bestille mad fra en lokal restaurant, men afbrød købet inden betaling fandt sted. Klager modtog efterfølgende en række markedsføringsmails sendt af OrderYOYO A/S på vegne af den pågældende restaurant. Klager sendte derfor en anmodning om indsigt og sletning til OrderYOYO. Efter at have ventet på at få indsigt i mere end to måneder, rettede klager henvendelse til Datatilsynet.
Umiddelbart efter at have modtaget klagers indsigtsanmodning gik OrderYOYO i gang med at behandle anmodningen, men blev ved Datatilsynets henvendelse opmærksom på, at besvarelsen ved en fejl ikke var blevet sendt til klager. OrderYOYO sendte herefter besvarelsen af indsigtsanmodningen til klager.
Datatilsynet lagde i afgørelsen vægt på, at klagers anmodning om indsigt først blev besvaret i forbindelse med Datatilsynets behandling af sagen, og dermed først fem måneder efter at klager havde anmodet OrderYOYO om indsigt. På den baggrund udtalte Datatilsynet kritik af, at OrderYOYOs behandling af klagers anmodning om indsigt og sletning ikke var sket inden for rammerne af reglerne i databeskyttelsesforordningen.
Afgørelse
Datatilsynet vender hermed tilbage til sagen, hvor klager den 22. oktober 2021 har klaget til tilsynet over, at OrderYOYO A/S ikke har besvaret hans anmodning om indsigt og sletning.
1. Afgørelse
Efter en gennemgang af sagen finder Datatilsynet, at der er grundlag for at udtale kritik af, at OrderYOYO A/S’ håndtering af klagers anmodning om indsigt og sletning ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens[1] artikel 12, stk. 3, jf. artikel 15 og 17.
Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.
2. Sagsfremstilling
Det fremgår af sagen, at klager i juli 2021 anvendte OrderYOYO A/S’ platform til at bestille mad fra en lokal restaurant, men afbrød købet inden betaling fandt sted. Efterfølgende modtog klager en række markedsføringsmails sendt af OrderYOYO A/S på vegne af den pågældende restaurant.
På den baggrund anmodede klager den 7. juli 2021 pr. e-mail OrderYOYO A/S om indsigt og efterfølgende sletning. Henvendelsen indeholdt en række andre spørgsmål og bemærkninger, herunder om håndtering af kreditkortdata.
Den 9. juli 2021 bekræftede OrderYOYO A/S at have modtaget klagers henvendelse af 7. juli 2021, og oplyste bl.a. at OrderYOYO A/S ville bestræbe sig på at besvare henvendelsen inden 30 dage, men at virksomheden havde behov for yderligere oplysninger fra klager for fyldestgørende at kunne besvare klagers spørgsmål og bemærkninger relateret til håndteringen af kreditkortdata.
Den 17. august 2021 anmodede OrderYOYO A/S klager om at bekræfte, hvorvidt klager ønskede at modtage indsigt i sine oplysninger før eller efter disse blev slettet. Samme dag bekræftede klager overfor OrderYOYO A/S, at han ønskede indsigt i sine oplysninger før sletning blev foretaget. OrderYOYO A/S oplyste herefter, at sagen ville blive sendt videre til virksomhedens GDPR-ansvarlige.
Da klagers anmodning om indsigt og sletning imidlertid ikke blev besvaret, indgav klager den 22. oktober 2021 en klage til Datatilsynet.
2.1. Klagers bemærkninger
Klager har overordnet anført, at OrderYOYO A/S ikke har besvaret hans anmodning om indsigt og efterfølgende sletning. Herudover har klager anført, at OrderYOYO A/S efter klagers opfattelse ikke fortsat kan opbevare hans betalingsoplysninger med henvisning til bogføringsloven henset til, at klager aldrig gennemførte et køb via OrderYOYO A/S’ platform.
2.2. OrderYOYO A/S’ bemærkninger
Accura Advokatpartnersselskab (herefter ”Accura”) har på vegne af OrderYOYO A/S’ overordnet anført, at klagers anmodning om indsigt ved en fejl ikke blev fremsendt i juli 2021. Som følge heraf, blev klagers anmodning om sletning i sagens natur heller ikke imødekommet.
Accura har hertil nærmere oplyst, at OrderYOYO A/S umiddelbart efter modtagelse af klagers indsigtsanmodning gik i gang med at behandle denne. OrderYOYO A/S samlede klagers oplysninger i en zip-fil med henblik på at imødekomme klagers anmodning om indsigt ultimo juli 2021. Ved Datatilsynets henvendelse af 18. november 2021 blev OrderYOYO A/S opmærksom på, at besvarelsen grundet en fejl ikke var blevet fremsendt til klager. OrderYOYO A/S fremsendte som følge heraf besvarelsen af indsigtsanmodningen til klager den 9. december 2021.
Accura har endvidere anført, at OrderYOYO A/S har iværksat en intern undersøgelse af hvordan fejlen opstod med henblik på eventuelt at opdatere interne procedurer, for at forebygge, at lignende fejl opstår igen.
Accura har bemærket, at OrderYOYO A/S ikke afviste klagers anmodning om sletning, men idet besvarelsen af indsigt fejlagtigt ikke blev fremsendt, blev denne anmodning ikke imødekommet. Efter Datatilsynets henvendelse og OrderYOYO A/S’s efterfølgende besvarelse af klagers anmodning om indsigt af 9. december 2021, har OrderYOYO A/S slettet de af klagers oplysninger, som ikke indgår i indeværende klagesag. Sidstnævnte har Accura anført at OrderYOYO A/S kan opbevare med henvisning til databeskyttelsesforordningens artikel 17, stk. 3, litra e.
Accura har endvidere oplyst, at OrderYOYO A/S fortsat opbevarer klagers betalingsoplysninger, idet OrderYOYO A/S er forpligtet til dette i medfør af bogføringslovens § 10, stk. 1. Accura har hertil anført, at på trods af, at klager afbrød købet og ordresummen derfor udgjorde 0 kr., pålægges OrderYOYO A/S et gebyr af sin eksterne betalingstjenesteudbyder for hver transaktion, som påbegyndes via OrderYOYO A/S’ bestillingsplatform. Accura har derfor anført, at det er nødvendigt for OrderYOYO A/S at opbevare klagers betalingsoplysninger, for at kunne dokumentere de driftsomkostninger, som klagers transaktion har udløst.
3. Begrundelse for Datatilsynets afgørelse
3.1. Anmodning om indsigt og sletning
Det følger af databeskyttelsesforordningens artikel 15, stk. 1, at den registrerede har ret til at få den dataansvarliges bekræftelse på, om personoplysninger vedrørende den pågældende behandles, og i givet fald adgang til personoplysningerne og de informationer, der følger af bestemmelsens litra a-h. Endvidere følger det af artikel 15, stk. 3, at den dataansvarlige udleverer en kopi af de personoplysninger, der behandles.
Det følger af forordningens artikel 17, stk. 1, at den registrerede har ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse hvis ét af forholdende i bestemmelsen litra a-f gør sig gældende.
Det fremgår af databeskyttelsesforordningens artikel 12, stk. 3, at den dataansvarlige oplyser uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til artikel 15-22.
Datatilsynet lægger til grund, at klagers anmodning af 7. juli 2021 om indsigt og sletning grundet en menneskelig fejl først blev imødekommet den 9. december 2021.
Datatilsynet finder på grundlag heraf, at OrderYOYO A/S’ behandling af klagers anmodning om indsigt og sletning ikke er sket inden for rammerne af databeskyttelsesforordningens artikel 12, stk. 3, jf. artikel 15 og 17. Dette giver tilsynet anledning til at udtale kritik.
Datatilsynet har noteret sig, at OrderYOYO A/S har taget tiltag for at sikre, at fremtidige anmodninger ikke bliver genstand for lignende fejl.
3.2. Opbevaring af betalingsoplysninger
Det følger af databeskyttelsesforordningens artikel 17, stk. 3, litra b, at stk. 1 ikke finder anvendelse, i det omfang behandling er nødvendig for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemsstaternes nationale ret, og som den dataansvarlige er underlagt, eller for at udføre en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.
Accura har til sagen oplyst, at OrderYOYO A/S er forpligtet til at opbevare klagers betalingsoplysninger efter bogføringslovens § 10, stk. 1. Det følger af denne bestemmelse, at den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Opbevaringen skal ske på en måde, som i hele opbevaringsperioden muliggør en selvstændig og entydig fremfinding af det pågældende regnskabsmateriale.
Som "regnskabsmateriale" anses bl.a. bilag og anden dokumentation, som er nødvendig dokumentation for transaktioner, der registreres i bogføringen, jf. bogføringslovens § 4, stk. 1, nr. 3, jf. § 3, stk. 1, nr. 5.
I lyset af ovennævnte bestemmelser, og da der i sagen ikke er oplysninger om, at OrderYOYO A/S behandler oplysninger om klager, som falder uden for disse bestemmelsers anvendelsesområde finder Datatilsynet, at der ikke er grundlag for at tilsidesætte OrderYOYO A/S’ vurdering af, at det fortsat er nødvendigt at opbevare klagers betalingsoplysninger for at leve op til de retlige forpligtelser, som OrderYOYO A/S er underlagt efter bogføringsloven.
[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).