Klage over manglende indsigt og manglende sletning

Publiceret 25-09-2019
Afgørelse Private virksomheder

Datatilsynet har behandlet en klage fra en borger over, at spiludbyderen Bet365 havde afvist at imødekomme vedkommendes anmodning om sletning af personoplysninger, som udbyderen behandlede om ham.

Journalnummer: 2019-31-1252

Resume

Datatilsynet har behandlet en klage fra en borger over, at spiludbyderen Bet365 havde afvist at imødekomme vedkommendes anmodning om sletning af personoplysninger, som udbyderen behandlede om ham.  

Datatilsynet fandt, at Bet365 – under henvisning til selskabets forpligtelser til at opbevare visse oplysninger om spillere – var berettiget til afvise klagerens anmodning om sletning.

Datatilsynet fandt imidlertid, at Bet365 – ved i forbindelse med afvisningen ikke at oplyse nærmere om det retlige grundlag, som forpligtede selskabet – ikke i tilstrækkelig grad havde iagttaget princippet om gennemsigtighed, som skal sikre, at registrerede har mulighed for at holde dataansvarlige ansvarlige og udøve kontrol over deres personoplysninger.

Afgørelse

Datatilsynet vender hermed tilbage til sagen, hvor du den 2. januar 2019 har klaget til tilsynet over, at Bet365[1] ikke har imødekommet din anmodning om sletning og ikke har besvaret din anmodning om indsigt.

1. Afgørelse

Efter en samlet gennemgang af sagen finder Datatilsynet, at Bet365 i forbindelse med håndteringen/besvarelsen af din anmodning om indsigt ikke har handlet i strid med databeskyttelsesforordningens[2] artikel 12, stk. 3.

Datatilsynet finder endvidere, at Bet365 var berettiget til afslå din anmodning om sletning, jf. databeskyttelsesforordningens artikel 17, stk. 3, litra b.

Datatilsynet finder imidlertid, at Bet365’s besvarelse af din anmodning om sletning ikke levede op til databeskyttelsesforordningens krav om gennemsigtighed, jf. artikel 5, stk. 1, litra a, sammenholdt med artikel 12, stk. 1, hvilket giver tilsynet anledning til at udtale kritik.

Nedenfor følger en nærmere gennemgang af sagen og en begrundelse for Datatilsynets afgørelse.

2. Sagsfremstilling

Det fremgår af sagen, at du den 2. januar 2019 – via Bet365’s chatfunktion – anmodede selskabet om at slette al data omkring din konto, ligesom du anmodede selskabet om indsigt i al data, som selskabet behandler om dig.

Hertil fremgår det, at Bet365 afviste din anmodning om sletning med henvisning til selskabets egne interne risikostyringsprocedurer og de retslige og regulatoriske vilkår, som selskabet er underlagt. Endvidere fremgår det, at Bet365 oplyste dig om, at din anmodning om indsigt ville blive besvaret inden for 28 dage.

2.1. Dine bemærkninger

Du har i din klage til Datatilsynet af 2. januar 2019 anført, at det er umuligt at få slettet dine personoplysninger hos Bet365. Bet365 henviser til love, hvilket efter din opfattelse går udover, hvad der følger af GDPR.

Den 1. marts 2019 har du endvidere anført, at du endnu ikke har modtaget svar på din anmodning om indsigt af 2. januar 2019, selvom Bet365 lovede at besvare denne inden for 28 dage.

2.2. Bet365’s bemærkninger

Bet365 har i forhold til selskabets afvisning af din anmodning om sletning anført, at selskabet er reguleret af spillemyndigheden i Danmark, og at selskabet som tilladelsesindehaver skal opbevare identitets- og kontroloplysninger om en registreret spiller i mindst 5 år efter, at kundeforholdet er ophørt, ligesom dokumenter og registreringer vedrørende spillernes transaktioner skal opbevares, så de kan fremfindes samlet i mindst 5 år efter transaktionernes gennemførelse.

I forhold til Bet365’s besvarelse af din anmodning om indsigt har selskabet anført, at denne den 24. januar 2019 blev besvaret til den angivne e-mailadresse, og at selskabet, hvis du ikke har modtaget besvarelsen, kan fremsende denne på ny.  

3. Begrundelse for Datatilsynets afgørelse

Ad klage over manglende indsigt

3.1.

Det følger af databeskyttelsesforordningens artikel 12, stk. 3, at den dataansvarlige uden unødig forsinkelse og i alle tilfælde senest en måned efter modtagelsen af anmodningen skal oplyse den registrerede om foranstaltninger, der træffes på baggrund af en anmodning i henhold til bl.a. artikel 15. Denne periode kan forlænges med to måneder, hvis det er nødvendigt, under hensyntagen til anmodningernes kompleksitet og antal. Den dataansvarlige underretter den registrerede om enhver sådan forlængelse senest en måned efter modtagelsen af anmodningen sammen med begrundelsen for forsinkelsen. Hvis den registrerede indgiver en anmodning elektronisk, meddeles oplysningerne så vidt muligt elektronisk, medmindre den registrerede anmoder om andet.

Efter en samlet gennemgang af sagen finder Datatilsynet, at der ikke er grundlag for at konkludere, at Bet365 har handlet i strid med databeskyttelsesforordningens artikel 12, stk. 3.

Datatilsynet har herved lagt vægt på det af Bet365 oplyste om, at selskabet den 24. januar 2019 fremsendte besvarelsen af din anmodning om indsigt til den angivne e-mailadresse, hvilket du ikke ses at være kommet med bemærkninger til.  

Datatilsynet har noteret sig, at Bet365 har oplyst, at selskabet, hvis du ønsker det, vil fremsende besvarelsen på ny, og tilsynet finder derfor ikke grundlag for at foretage sig yderligere i anledning heraf.  

Ad klage over manglende sletning

3.2.

Ifølge databeskyttelsesforordningens artikel 17, stk. 1, har den registrerede ret til at få personoplysninger om sig selv slettet af den dataansvarlige uden unødig forsinkelse, og den dataansvarlige har pligt til at slette personoplysninger uden unødig forsinkelse, hvis et af forholdene i bestemmelsens litra a-f, er opfyldt. 

I databeskyttelsesforordningens artikel 17, stk. 3, er der fastsat en række undtagelser til den registreredes ret til sletning. Det følger bl.a. af forordningens artikel 17, stk. 3, litra b, at den registreredes ret til at få personoplysninger om sig selv slettet af den dataansvarlige ikke finder anvendelse, hvis behandling er nødvendig for at overholde en retlig forpligtelse, der kræver behandling i henhold til EU-retten eller medlemsstaternes nationale ret, og som den dataansvarlige er underlagt.

Bet365 har til sagen oplyst, at selskabet som tilladelsesindehaver er underlagt og reguleret af spillemyndigheden i Danmark og relevant lovgivning.

Af § 2, stk. 4, i bekendtgørelse om online væddemål[3] følger det, at tilladelsesindehaver skal indhente oplysning om kundens identitet, herunder navn, adresse og CPR.-nr. eller anden lignende oplysning, hvis den pågældende ikke har et CPR.-nr. De indhentede oplysninger skal bekræftes ved fornøden dokumentation. Omfanget af dokumentationen skal fastlægges ud fra en risikovurdering, således at tilladelsesindehaver er sikker på, at kunden er den person, som kunden udgiver sig for at være.

Af bekendtgørelsens § 4, stk. 1, følger det endvidere, at tilladelsesindehaver skal opbevare de af bekendtgørelsen omfattede identitets- og kontroloplysninger om en registreret spiller, jf. kapitel 2, i mindst 5 år efter, at kundeforholdet er ophørt. Af bestemmelsens stk. 2, følger det, at dokumenter og registreringer vedrørende spillernes transaktioner skal opbevares, så de kan fremfindes samlet i mindst 5 år efter transaktionernes gennemførelse.

I lyset af de ovenfor nævnte bestemmelser i bekendtgørelse om online væddemål og da der i sagen ikke er oplysninger om, at Bet365 behandler oplysninger om dig, som falder uden for disse bestemmelsers anvendelsesområde, finder Datatilsynet, at Bet365 var berettiget til at afvise din anmodning om sletning, idet Bet365 er retligt forpligtet til at opbevare oplysningerne, hvorfor retten til sletning ikke finder anvendelse, jf. databeskyttelsesforordningens artikel 17, stk. 3, litra b.

3.3.

Gennemsigtighed med hensyn til behandling af personoplysninger er en overordnet forpligtelse i henhold til databeskyttelsesforordningen, som skal sikre, at registrerede har mulighed for at holde dataansvarlige ansvarlige og udøve kontrol over deres personoplysninger.

Forpligtelsen til gennemsigtighed følger bl.a. af databeskyttelsesforordningens artikel 5, stk. 1, litra a, hvoraf fremgår, at personoplysninger skal behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede (»lovlighed, rimelighed og gennemsigtighed«).

I forhold til den dataansvarliges iagttagelse af de registreredes rettigheder, herunder anmodninger om sletning, følger der også et krav om gennemsigtighed af databeskyttelsesforordningens artikel 12, stk. 1, hvoraf fremgår, at den dataansvarlige træffer passende foranstaltninger til at give enhver oplysning som omhandlet i artikel 13 og 14 og enhver meddelelse i henhold til artikel 15-22 og 34 om behandling til den registrerede i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog, navnlig når oplysninger specifikt er rettet mod et barn. Oplysningerne gives skriftligt eller med andre midler, herunder, hvis det er hensigtsmæssigt, elektronisk. Når den registrerede anmoder om det, kan oplysningerne gives mundtligt, forudsat at den registreredes identitet godtgøres med andre midler.

I en sag som den foreliggende, hvor en anmodning om sletning afvises med henvisning til, at den dataansvarlige er underlagt en retlig forpligtelse, indebærer princippet om gennemsigtighed efter Datatilsynets opfattelse, at den dataansvarlige i besvarelsen af sletteanmodningen nærmere bør angive, hvilke retlige forpligtelser den dataansvarlige er underlagt, således at den registrerede har mulighed for at kontrollere rigtigheden heraf.

Datatilsynet finder herefter, at Bet365 i forbindelse med selskabets besvarelse af din anmodning om sletning ikke i tilstrækkelig grad har iagttaget princippet om gennemsigtighed i henhold til databeskyttelsesforordningens artikel 5, stk. 1, litra a, og artikel 12, stk. 1, idet Bet365 ikke nærmere oplyste dig om, hvilke retlige forpligtelser de var underlagt, således at du selv havde mulighed for at kontrollere rigtigheden heraf. Dette giver Datatilsynet anledning til at udtale kritik.

 

[1] Hillside (New Media Malta) Plc

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[3]Bekendtgørelse nr. 66 af 25. januar 2012 om online væddemål med senere ændringer.