Tilsyn med Taxa 4x35's behandling af personoplysninger

Publiceret 18-03-2019
Afgørelse Private virksomheder

Knap 9 mio. personhenførbare taxature er blevet gemt uden et sagligt formål, vurderer Datatilsynet.

Journalnummer: 2018-41-0016

Resume

Datatilsynet var i efteråret 2018 på et tilsynsbesøg hos Taxa 4x35 , hvor der bl.a. blev set på, om taxaselskabet har fastsat frister for sletning af kundernes oplysninger - og om fristerne bliver efterlevet.

Ifølge Taxa 4x35 anonymiseres de oplysninger, der anvendes til kundens bestilling og afvikling af taxature, efter to år, da der herefter ikke længere er behov for at kunne identificere kunden.

Det er imidlertid kun kundens navn, der slettes efter de to år - men ikke kundens telefonnummer. Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kan derfor fortsat henføres til en fysisk person via telefonnummeret, som først slettes efter fem år.

Grunden til, at telefonnummeret ikke slettes, er ifølge taxaselskabet, at nummeret er nøglen til systemets database og derfor er nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

Efter Datatilsynets opfattelse kan man imidlertid ikke fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

Udtalelse

Datatilsynets planlagte tilsyn med Taxa 4x35 fokuserede navnlig på sletning af personoplysninger efter databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Efter anmodning fra Datatilsynet havde Taxa 4x35 inden tilsynsbesøget udfyldt et spørgeskema for hver de systemer, hvori der behandles personoplysninger og indsendt disse sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 3. oktober 2018.

På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:

  1. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig.

  2. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra c (dataminimering), idet virksomhedens opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt i forhold til de formål, hvortil de opbevares.

  3. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b, idet virksomheden ikke entydigt har haft fastlagt, med hvilken behandlingshjemmel kunders telefonnummer er blevet opbevaret i 5 år efter kørslen af en taxatur.

  4. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret de sletninger, der er foretaget i systemerne og virksomhedens procedurer herfor.

I forhold til punkt 1 og 2 har Datatilsynet dags dato indgivet politianmeldelse af Taxa 4x35 til Københavns Politi.

Herudover finder Datatilsynet i forhold til punkt 3 og 4 samlet set grundlag for at udtale alvorlig kritik af, at Taxa 4x35 ikke har efterlevet databeskyttelsesforordningens krav.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

Ad punkt 1: Anonymisering af taxature

Et af de systemer, hvori Taxa 4x35 (herefter Taxa) behandler personoplysninger, er DDS Pathfinder. Systemet anvendes til kunders bestilling og afvikling af taxature.

Når en taxatur registreres i DDS Pathfinder gemmes oplysninger om bl.a. kundens navn, telefonnummer, dato for kørslen, kørslens begyndelses- og sluttidspunkt, antal kørte kilometer, betalingen, start- og slutposition angivet som GPS-koordinater og/eller skreven adresse samt øvrige koordinater.

Så længe en taxatur kan knyttes til den kunde, der har bestilt turen, er de nævnte oplysninger at betragte som personoplysninger om kunden.

Taxa har i forbindelse med tilsynsbesøget oplyst, at de oplysninger i DDS Pathfinder, der vedrører taxature, anonymiseres efter 2 år, og at denne anonymisering består i, at kundens navn slettes fra taxaturen. Taxa har endvidere oplyst, at kundens telefonnummer opbevares i 5 år, og at dette udelukkende sker som datagrundlag for forretningsudvikling.

En anonymisering af personoplysninger indebærer, at ingen fysiske personer efterfølgende ud fra oplysningerne, eller i kombination med andre oplysninger, kan identificeres, dvs. at oplysningerne ikke er personhenførbare. Det er en betingelse for anonymisering, at denne er uigenkaldelig, dvs. at den eller de pågældende fysiske personer ikke med nogen midler kan knyttes tilbage til de pågældende oplysninger. Det bemærkes, at oplysninger, der er gjort anonyme, ikke længere er omfattet af databeskyttelsesreglerne.

Under tilsynsbesøget foretog Datatilsynet stikprøveopslag i DDS Pathfinder. Af opslagene fremgik det, at kunders taxature fortsat kan fremsøges mere end 2 år efter, at taxaturen er kørt, når der søges på kundens telefonnummer. Det er Datatilsynets opfattelse, at der med Taxas procedure for anonymisering, hvormed alene kundens navn slettes fra taxaturen, ikke foretages en reel anonymisering af oplysningerne. Navnlig behandler Taxa fortsat personoplysninger om kundens telefonnummer, dato for kørslen, kørslens begyndelses- og sluttidspunkt, antal kørte kilometer, betalingen, start- og slutposition angivet som GPS-koordinater og/eller skreven adresse samt øvrige koordinater 2 år efter taxaturen er kørt.

Det er endvidere Datatilsynets opfattelse, at Taxas fortsatte behandling af kundens telefonnummer, hvormed de øvrige behandlede oplysninger om taxaturen ikke er anonymiseret, ikke er i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvoraf det fremgår, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Det bemærkes i den forbindelse, at Taxa selv har vurderet, at det kun er nødvendigt at behandle oplysningerne i 2 år.

Ad punkt 2: Opbevaring af kundens telefonnummer i 5 år i forhold til kravet om dataminimering

Af databeskyttelsesforordningens artikel 5, stk. 1, litra c, fremgår det, at personoplysninger skal være tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles.

I forbindelse med tilsynsbesøget har Taxa over for Datatilsynet oplyst, at kundens telefonnummer opbevares i 5 år efter kørslen af en taxatur.

Endvidere har Taxa oplyst, at kundens telefonnummer udelukkende behandles som datagrundlag for forretningsudvikling, og at telefonnummeret er den fælles referenceramme i systemet DDS Pathfinder.

Endelig har Taxa over for Datatilsynet oplyst, at et andet unikt ID-nummer kunne tjene samme formål som telefonnummeret efter de 2 år er passeret, men at systemet ikke bagudrettet kan håndtere at erstatte telefonnummeret med et ID-nummer eller lignende. 

Det er Datatilsynets opfattelse, at Taxas indretning af DDS Pathfinder, hvormed kundens telefonnummer anvendes som nøgle og fælles referenceramme i systemet, ikke er i overenstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra c, idet selve telefonnummeret ikke er nødvendigt til opfyldelse af det pågældende formål. 

Datatilsynet skal i den forbindelse bemærke, at eventuelle omkostninger forbundet med en migrering af oplysninger om taxature til en ny datastruktur ikke kan begrunde en manglende sletning af kundens telefonnummer efter 2 år.

Ad punkt 3: Uklarhed om behandlingshjemmel

Under tilsynsbesøget spurgte Datatilsynet ind til, hvilke overvejelser Taxa har gjort sig ved fastsættelse af slettefristen på 5 år i forhold til behandlingen af kunders telefonnummer.

Taxa oplyste i den forbindelse, at telefonnummeret er nøglen til hele databasen bag DDS Pathfinder, og derfor er nødvendigt i Taxas produkt- og forretningsudvikling.

Efter tilsynsbesøget har NORDIA Advokatfirma I/S (herefter NORDIA) – på vegne af Taxa – ved brev af 28. november 2018 dog anført, at Taxa ”opbevarer de telefonnumre, der foretages bestillinger fra, i op til 5 år i overensstemmelse med taxibekendtgørelsen”. I samme brev har NORDIA anført, at ”opbevaringen af netop telefonnummeret er en forudsætning for, at systemet DDS Pathfinder kan fungere. Det skyldes, at den fælles referenceramme i systemet DDS Pathfinder er det telefonnummer, der bestilles ture fra”.

Ved brev af 7. december 2018 anmodede Datatilsynet Taxa om at oplyse, med hvilken begrundelse Taxa opbevarer kunders telefonnummer i 5 år. Samtidig anmodede Datatilsynet Taxa om, hvis opbevaringen sker med henblik på overholdelse af taxibekendtgørelsen, at uddybe nærmere, hvor kravet om opbevaring af telefonnumre specifikt fremgår af taxibekendtgørelsen.

Den 13. december 2018 sendte NORDIA et svar på Datatilsynets brev af 7. december 2018, hvor Taxa anførte, at ”telefonnummeret er nøglen i Taxas system. Det opbevares derfor både for, at Taxa kan drive virksomhed og som grundlag for Taxas forretningsudvikling”. Samtidig oplyste NORDIA, at begrundelsen for opbevaringen med henvisning til taxibekendtgørelsen beroede på en misforståelse.

Af databeskyttelsesforordningens artikel 5, stk. 1, litra b, fremgår det, at personoplysninger skal indsamles til udtrykkeligt angivne og legitime formål. Det fremgår samtidig af artikel 5, stk. 2, at den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes.

Det er Datatilsynets opfattelse, at Taxa – idet der fra Taxas side af flere omgange har været uklarhed om, med hvilken hjemmel kunders telefonnummer er blevet behandlet i DDS Pathfinder – ikke har levet op til kravene om ansvarlighed efter databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b.

Ad punkt 4: Dokumentation af procedurer for sletning

Som en del af tilsynet med Taxas efterlevelse af kravene til sletning af personoplysninger, har Datatilsynet gennemgået virksomhedens procedurer for sletning og dokumentation herfor.

For så vidt angår dokumentation af procedurer for sletning kan Datatilsynet, på baggrund af det af Taxa fremsendte materiale, konstatere at dokumentationen for sletteprocedurer i alle de udvalgte systemer har været af overfladisk karakter og generelt mangelfuld.

Datatilsynet har ligeledes i forbindelse med tilsynsbesøget efterspurgt dokumentation for Taxas procedurer for: opfølgning på, at sletning er foretaget korrekt i systemerne; håndtering af genindlæsning af tidligere slettede personoplysninger ved ibrugtagning af backup; og logning af sletninger i systemerne.

For så vidt angår opfølgning på sletning og håndtering af genindlæsning af tidligere slettede personoplysninger ved ibrugtagning af backup har Taxa oplyst, at der ikke findes nogen dokumentation for virksomhedens procedurer herfor.

For så vidt angår logning af sletninger foretaget i systemerne, kan Datatilsynet på baggrund af tilsynsbesøget konkludere, at der i 3 ud af 4 af de systemer, der var emne for tilsynsbesøget, udelukkende blev foretaget logning af sletninger i et manuelt regneark. Endvidere fremgik der i dette regneark ikke logning af konkrete sletninger, men blot en historik over hvem, der har udført sletning i det pågældende system, og hvornår sletningen er foretaget. For det fjerde system har Taxa den 14. juni 2018 iværksat implementering af en funktionalitet til logning af slettede oplysninger. Logningen blev idriftsat den 1. oktober 2018.

Af databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, følger det at den dataansvarlige skal kunne påvise, at det ikke har været muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles. 

Det er Datatilsynets opfattelse, at Taxa ikke har levet op til kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet Taxa ikke har dokumenteret virksomhedens procedurer for opfølgning på sletning, håndtering af genindlæsning af tidligere slettede personoplysninger ved ibrugtagning af backup, og idet Taxas logning over foretagne sletninger har været utilstrækkelig.

Konklusion

På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:

  1. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomhedens procedure for anonymisering af personoplysninger er utilstrækkelig.

  2. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra c (dataminimering), idet virksomhedens opbevaring af kunders telefonnummer i 5 år ikke har været nødvendigt i forhold til de formål, hvortil de opbevares.

  3. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra b, idet virksomheden ikke entydigt har haft fastlagt, med hvilken behandlingshjemmel kunders telefonnummer er blevet opbevaret i 5 år efter kørslen af en taxatur.

  4. At Taxa 4x35 ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret de sletninger, der er foretaget i systemerne og virksomhedens procedurer herfor.

I forhold til punkt 1 og 2 har Datatilsynet dags dato indgivet politianmeldelse af Taxa 4x35 til Københavns Politi.

Herudover finder Datatilsynet i forhold til punkt 3 og 4 samlet set grundlag for at udtale alvorlig kritik af, at Taxa 4x35 ikke har efterlevet databeskyttelsesforordningens krav.

 

[1] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).