Tilsyn med Fynbus I/S

Publiceret 06-07-2020
Afgørelse Offentlige myndigheder

Datatilsynet udtaler kritik og alvorlig kritik af Fynbus I/S, fordi de ikke i tilstrækkeligt omfang har iagttaget oplysningspligten i flere af deres tjenester, som indsamler personoplysninger, herunder oplysninger om kunders rejsehistorik.

Journalnummer: 2019-41-0047

Resumé

Datatilsynet indledte i efteråret 2019 et skriftligt tilsyn med Fynbus I/S. Tilsynet fokuserede på Fynbus’ iagttagelse af oplysningspligten i forbindelse med indsamling af oplysninger om kunders rejsehistorik.

Datatilsynet har fundet, at Fynbus I/S ikke har iagttaget oplysningspligten i forbindelse med indsamling af personoplysninger i tre ud af fem app- eller web-tjenester, fordi de påkrævede oplysninger ikke bliver ”givet” til kunderne i forbindelse med indsamlingen. Kunderne har derimod selv skullet fremsøge oplysningerne på hjemmesiden.

Datatilsynet har på den baggrund fundet grundlag for at udtale kritik.

Datatilsynet har derudover fundet, at Fynbus I/S’ privatlivspolitik for to af tjenesterne ikke indeholder tilstrækkelig information til at kunne opfylde oplysningspligten, hvilket Datatilsynet ligeledes udtaler kritik for.

Endelig har tilsynet fundet, at Fynbus I/S’ privatlivspolitik for én af tjenesterne er særdeles mangelfuld. Tilsynet har på den baggrund fundet anledning til at udtale alvorlig kritik for manglende efterlevelse af oplysningspligten.

1. Skriftligt tilsyn med Fynbus I/S

Fynbus I/S (herefter Fynbus) var blandt de virksomheder, som Datatilsynet i efteråret 2019 havde udvalgt til at føre tilsyn med efter databeskyttelsesforordningen[1] og databeskyttelsesloven[2]. Tilsynene fokuserede på fire overordnede temaer, herunder ”den daglige overvågning”.

Datatilsynets tilsyn med Fynbus var et skriftligt tilsyn, som fokuserede på:

  1. Fynbus’ opfyldelse af oplysningspligten, jf. databeskyttelsesforordningens artikel 13, i forbindelse med indsamling af oplysninger om kunders rejsehistorik, og
  2. Fynbus’ efterlevelse af kravet om gennemsigtighed, jf. artikel 5, stk. 1, litra a, i forbindelse med Fynbus’ eventuelle anvendelse af disse oplysninger til profilering.

Ved brev af 14. november 2019 varslede Datatilsynet tilsynet med Fynbus og anmodede i den forbindelse om en udtalelse.

Fynbus er herefter ved brev af 5. december 2019 kommet med en udtalelse til brug for sagen, ligesom selskabet ved brev af 4. februar 2020 har besvaret Datatilsynets uddybende spørgsmål til sagen.

Efter en gennemgang af sagen finder Datatilsynet grundlag for sammenfattende at konkludere:

  1. At Fynbus’ procedure for iagttagelse af oplysningspligten i forbindelse med tjenesterne webshop.fynbus.dk, fynbus.flextrafik.dk og fynbusbestilling.dk ikke lever op til kravene i databeskyttelsesforordningens artikel 13 og artikel 12, stk. 1, idet oplysningerne ikke er ”givet” til kunderne, men at kunderne derimod selv skal opsøge oplysningerne.
  2.  At Fynbus’ procedure for iagttagelse af oplysningspligten i forbindelse med tjenesterne Fynbus Mobilbillet og app’en Flextrafik sker i overensstemmelse med databeskyttelsesforordningens artikel 13.
  3. At Fynbus’ efterlevelse af oplysningspligten gennem privatlivspolitikken tilknyttet tjenesterne webshop.fynbus.dk og fynbusbestilling.dk ikke sker i overensstemmelse med databeskyttelsesforordningens artikel 13, idet privatlivspolitikken ikke indeholder tilstrækkelig information.
  4. At Fynbus’ efterlevelse af oplysningspligten gennem privatlivspolitikken i app’en Fynbus Mobilbillet, som den så ud forud for Datatilsynets varslling af tilsyn, ikke sker i overensstemmelse med databeskyttelsesforordningens artikel 13, idet privatlivspolitikken henviser til persondatalovens bestemmelser og i henhold til databeskyttelsesforordningens artikel 13 er særdeles mangelfuld, ligesom også den opdaterede privatlivspolitik er mangelfuld.
  5. At Fynbus’ efterlevelse af oplysningspligten gennem privatlivspolitikkerne tilknyttet tjenesterne fynbus.flextrafik.dk og den tilhørende app Flextrafik sker i overensstemmelse med databeskyttelsesforordningens artikel 13.

Datatilsynet finder i forhold til pkt. 1 og 3 grundlag for at udtale kritik af, at Fynbus’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13 og artikel 12, stk. 1.

Datatilsynet finder endvidere i forhold til pkt. 4 grundlag for at udtale alvorlig kritik af, at Fynbus’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13.

Nedenfor følger en nærmere gennemgang af de oplysninger, der er kommet frem i forbindelse med det skriftlige tilsyn, og en begrundelse for Datatilsynets afgørelse.  

2. Sagens oplysning

Det fremgår af det af Fynbus fremsendte materiale, at selskabet som dataansvarlig indsamler oplysninger om kunders rejser gennem følgende borgerrettede tjenester:

  • Webshop.fynbus.dk
  • Fynbus Mobilbillet (App)
  • Fynbus.flextrafik.dk og tilhørende app ”Flextrafik”
  • Fynbusbestilling.dk

Fynbus har endvidere oplyst, at selskabet ikke foretager profilering i forbindelse med ovennævnte tjenester. 

2.1. Webshop.fynbus.dk

Webshop.fynbus.dk har til formål at gøre det muligt for Fynbus’ kunder at købe rejsehjemmel til strækninger, der ligger inden for Fynbus’ område.

Fynbus har anført, at selskabet iagttager oplysningspligten i forhold til webshop.fynbus.dk på hjemmesiden fynbus.dk, da det er den vej kunderne kommer ind til webshop.fynbus.dk.

Fynbus har vedrørende iagttagelsen af oplysningspligten på hjemmesiden fynbus.dk oplyst, at den finder sted første gang, kunden benytter tjenesten, hvor kunden adviseres med en pop-up besked øverst på siden.

Datatilsynet har efterfølgende ved at tilgå fynbus.dk konstateret, at den pågældende pop-up besked har teksten:

”Fynbus.dk benytter cookies for at forbedre din oplevelse. Klik her for at læse Fynbus’ privatlivs- og cookiepolitik.”

Datatilsynet har yderligere konstateret, at udover, at beskeden som oplyst af Fynbus selv, kun ”popper op” første gang, man tilgår hjemmesiden, forsvinder beskeden også efter cirka 5-10 sekunder, hvis den ikke aktiveres. Efterfølgende er privatlivspolitikken tilgængelig via et link nederst på hjemmesiden under titlen ”Privatlivs- og cookiepolitik”.

Datatilsynet har ved samme lejlighed konstateret, at ved indtastning af personoplysninger i forbindelse med køb på webshop.fynbus.dk, bliver man ikke præsenteret for privatlivspolitikken, ligesom der ikke er link til denne.

Af privatlivspolitikken på fynbus.dk fremgår det, at en del af behandlingen af personoplysningerne er baseret på samtykke, jf. databeskyttelsesforordningens artikel 6, stk. 1, litra a. Retten til at trække samtykke tilbage, jf. databeskyttelsesforordningens artikel 13, stk. 2, litra c, fremgår imidlertid ikke af politikken.

Det fremgår endvidere af privatlivspolitikken, at ”personoplysninger gemmes så længe, det er nødvendigt for at administrere dig som kunde, eller i øvrigt for at overholde gældende lovgivning, herunder betalingsloven, bogføringsloven, databeskyttelsesforordningen og databeskyttelsesloven.” Det er ikke i relation til kunders rejsehistorik nærmere angivet, hvilke kriterier Fynbus anvender til at fastlægge tidsrummet for opbevaring.

Retten til begrænsning af personoplysninger, jf. forordningens artikel 13, stk. 2, litra b, fremgår ligeledes ikke af privatlivspolitikken.

2.2. Fynbus Mobilbillet (App)

Fynbus har oplyst, at tjenesten anvendes til salg af billetter til kollektiv trafik på Fyn. For at kunne købe rejsehjemmel i Fynbus Mobilbillet, skal borgeren oprette sig som kunde via app’en, hvorved der indsamles oplysninger om kunden.

Fynbus har videre oplyst, at kunden ved oprettelsen bliver bedt om at godkende selskabets privatlivspolitik, inden kunden endeligt oprettes. Privatlivspolitikken fremvises skriftligt og elektronisk i app’en og skal godkendes aktivt med tryk på grøn acceptknap.

Fynbus har opdateret selskabets privatlivspolitik efter varsling af Datatilsynets tilsyn den 14. november 2019. Fynbus har i den forbindelse fremsendt både den oprindelige og den opdaterede udgave af privatlivspolitikken.

Den oprindelige privatlivspolitik på Fynbus Mobilbillet tager udgangspunkt i den nu ophævede persondatalov, idet den henviser til bestemmelser heri og mangler en del af de oplysninger, der kræves efter databeskyttelsesforordningen:

  • kontaktoplysninger for databeskyttelsesrådgiveren, jf. databeskyttelsesforordningens artikel 13, stk. 1, litra b,
  • retsgrundlaget for behandlingen, jf. databeskyttelsesforordningens artikel 13, stk. 1, litra c,
  • oplysninger om det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum, jf. databeskyttelsesforordningens artikel 13, stk. 2, litra a, og
  • oplysninger om retten til at anmode om indsigt, og til begrænsning af behandling, jf. databeskyttelsesforordningens artikel 13, stk. 2, litra b.

 Den opdaterede privatlivspolitik indleder med følgende tekst:

”Privatlivspolitikken er gældende for:

FynBus

Tolderlundsvej 9

5000 Odense C

FynBus.dk

Yderligere oplysninger på omkring FynBus’ politikker findes ligeledes her.

fynbus.dk/cookiepolitik”

Linket fynbus.dk/cookiepolitik fører kunden til Fynbus’ privatlivs- og cookiepolitik som gennemgået under pkt. 2.1.

I den opdaterede privatlivspolitik i Fynbus Mobilbillet fremgår ikke:

  • oplysninger om retsgrundlaget for behandlingen, jf. databeskyttelsesforordningens artikel 13, stk. 1, litra c,
  • oplysninger om det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum, jf. databeskyttelsesforordningens artikel 13, stk. 2, litra a, og
  • oplysninger om retten til begrænsning af behandling, jf. databeskyttelsesforordningens artikel 13, stk. 2, litra b.

2.3. Fynbus.flextrafik.dk samt den tilhørende app Flextrafik

Borgere kan via hjemmesiden fynbus.flextrafik.dk og en tilhørende app købe rejsehjemmel til flextrafik.

Fynbus har oplyst, at borgeren, for at kunne købe rejsehjemmel på såvel hjemmesiden som i app’en, skal oprette sig som kunde, hvorved der indsamles oplysninger om kunden. Fynbus har videre oplyst, at borgeren under denne proces bliver bedt om at acceptere handels- og privatlivspolitikken. Endelig fremgår det af Fynbus’ udtalelse, at privatlivspolitikken fremvises skriftligt og elektronisk i app’en og skal godkendes aktivt med tryk på grøn acceptknap.

Fynbus har i relation til såvel fynbus.flextrafik.dk som den tilhørende app oplyst, at privatlivspolitikken findes på fynbus.flextrafik.dk.

Fynbus har medsendt ”brugerflows” til dokumentation for iagttagelse af oplysningspligten. Disse brugerflows består af screendumps fra hjemmesiden fynbus.flextrafik.dk.

Af disse brugerflows fremgår ikke, at brugeren bliver præsenteret for privatlivspolitikken, og at borgeren skal godkende denne med tryk på grøn acceptknap. Datatilsynet lægger derfor til grund, at dette kun gør sig gældende for oprettelse som bruger via app’en.

Det fremgår derimod af de medsendte brugerflows, at når kunden skal oprette sig som bruger, skal vedkommende indtaste en række personoplysninger. Felterne, i hvilke oplysningerne skal indtastes er indrammet i en boks. I bunden af skærmen, uden for den nævnte boks og sammen med oplysninger om Fynbus’ adresse, telefonnummer og cvr-nummer, er et link til cookie- og privatlivspolitikken på fynbus.flextrafik.dk.

I privatlivspolitikken, under tredje afsnit ”Formål og retsgrundlag”, oplyses det, at retsgrundlaget for behandlingen af den registreredes personoplysninger er samtykke. Der er imidlertid ingen henvisning til artikel 6, stk. 1, litra a, eller databeskyttelsesforordningen i øvrigt.

I privatlivspolitikken fremgår endvidere ikke oplysninger om retten til begrænsning af personoplysninger, jf. databeskyttelsesforordningens artikel 13, stk. 2, litra b.

2.4. Fynbusbestilling.dk

Fynbus har oplyst, at hjemmesiden benyttes til salg af gruppebilletter og straksgruppebilletter til kollektiv trafik. For at kunne købe rejsehjemmel, skal borgere oprette sig som kunde, hvorved der indsamles oplysninger om kunden.

Fynbus har videre oplyst, at oplysningspligten iagttages via et link til privatlivspolitikken på fynbus.dk. Der henvises således i forhold til privatlivspolitikkens indhold til punkt 2.1.

Datatilsynet har efterfølgende, ved at forsøge at oprette en bruger, konstateret, at der ikke i forbindelse med indtastningen af personoplysninger er et link til privatlivspolitikken. Linket findes i et faneblad øverst på siden, uden sammenhæng til oprettelsen som bruger.

Datatilsynet har endvidere noteret sig, at der efter Datatilsynets varsling af tilsyn hos Fynbus, er blevet sat en pop up-boks op på hjemmesiden med følgende tekst:

”Fynbus har opdateret sin cookiepolitik for at efterkomme EU’s Trading Cookie lovgivning. Vær opmærksom på at dette website benytter cookies som holder styr på og indhenter information om brugernes adfærd på siden. Ved at fortsætte på denne side accepterer du herved Fynbus’ cookiepolitik.”

I pop up boksen er linket til den cookie- og privatlivspolitik, som ligger på fynbus.dk, hvorfor der henvises til pkt. 2.1.

3. Begrundelse for Datatilsynets afgørelse

Indledningsvis bemærkes, at Fynbus har oplyst, at de iagttager oplysningspligten i forbindelse med indsamling af personoplysninger i de enkelte tjenester gennem de respektive privatlivspolitikker.

Af pkt. 3.1. fremgår Datatilsynets vurdering af den måde, hvorpå Fynbus henleder den registreredes opmærksomhed på privatlivsppolitikken og dermed ”giver” den registrerede oplysningerne i henhold til artikel 13 (proceduren for iagttagelse af oplysningspligten).

Af pkt. 3.2. fremgår Datatilsynets vurdering af indholdet af de forskellige privatlivspolitikker, og af hvorvidt disse opfylder kravene i artikel 13, stk. 1 og 2.

3.1. Fynbus’ procedurer for iagttagelse af oplysningspligten

3.1.1. Webshop.fynbus.dk

Det følger af databeskyttelsesforordningens artikel 13, at den registrerede skal ”gives” en række oplysninger, på det tidspunkt, hvor der indsamles personoplysninger om den registrerede.

Det følger videre af databeskyttelsesforordningens artikel 12, stk. 1, at den dataansvarlige skal træffe passende foranstaltninger til at give enhver oplysning som omhandlet i blandt andet artikel 13 i en kortfattet, gennemsigtig, letforståelig og lettilgængelig form og i et klart og enkelt sprog.

Det fremgår af sagen, at Fynbus’ iagttagelse af oplysningspligten i forbindelse med indsamling af oplysninger om kunder fra webshop.fynbus.dk sker første gang kunden tilgår fynbus.dk, hvor kunden adviseres med en pop-up besked øverst på siden. Beskeden oplyser om brugen af cookies for at forbedre kundens oplevelse og henviser efterfølgende til Fynbus’ privatlivs- og cookiepolitik med et link. Efter cirka 5-10 sekunder forsvinder pop-up beskeden, hvis den ikke aktiveres.

Datatilsynet finder, at de påkrævede oplysninger efter databeskyttelsesforordningens artikel 13 ikke er ”givet” til den registrerede i overensstemmelse med artikel 13 og artikel 12, stk. 1 på tidspunktet for indsamling af dennes personoplysninger.

Datatilsynet lægger særligt vægt på, at oplysningerne ikke gives eller er tilgængelige i forbindelse med, at kunden indtaster sine personoplysninger på webshop.fynbus.dk, at pop-up beskeden på fynbus.dk kun ”popper op” første gang kunden tilgår hjemmesiden, og at den forsvinder uden brugerinteraktion efter cirka 5-10 sekunder.

Tilsynet lægger endvidere vægt på, at pop-up beskeden giver indtryk af hovedsagligt at omhandle brugen af cookies og ikke henviser til privatlivspolitikken klart og adskilt fra alle andre oplysninger. Beskeden er derfor ikke retvisende, og kræver særlig opmærksomhed fra den registrerede, hvis denne skal blive opmærksom på Fynbus’ behandling af personoplysninger.

Datatilsynet finder på denne baggrund, at der er grundlag for at udtale kritik af, at Fynbus’ procedure for iagttagelse af oplysningspligten i forbindelse med indsamling af personoplysninger på webshop.fynbus.dk ikke er i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 13 og artikel 12, stk. 1.

3.1.2 Fynbus Mobilbillet (App)

Det fremgår af sagen, at proceduren for iagttagelse af oplysningspligten i forbindelse med indsamling af oplysninger om kunder ved brug af app’en Fynbus Mobilbillet sker med skriftlig og elektronisk fremvisning af privatlivspolitikken i app’en, som skal godkendes aktivt med tryk på grøn acceptknap før endelig oprettelse som kunde.

Datatilsynet finder, at Fynbus’ procedure for iagttagelse af oplysningspligten i forbindelse med indsamling af personoplysninger i app’en Fynbus Mobilbillet er i overensstemmelse med databeskyttelsesforordningens artikel 13.

3.1.3 Fynbus.flextrafik.dk og tilhørende app

Det fremgår af det til sagen oplyste, at den registrerede for at bruge flextrafikapp’en skal oprette sig som kunde og bliver bedt om at acceptere handels- og privatlivspolitikken. Politikken fremvises skriftligt og elektronisk i app’en og skal godkendes aktivt med tryk på grøn acceptknap.

Datatilsynet finder, at Fynbus’ procedure for iagttagelse af oplysningspligten i forbindelse med indsamling af personoplysninger i app’en Flextrafik er i overensstemmelse med databeskyttelsesforordningens artikel 13. 

Datatilsynet lægger til grund, at den skriftlige og elektroniske fremvisning af privatlivspolitikken kun gør sig gældende for oprettelse som bruger via app’en.

Det fremgår af de brugerflows Fynbus har sendt til Datatilsynet, at der i bunden af hjemmesiden fynbus.flextrafik.dk, sammen med oplysninger om Fynbus’ adresse, telefonnummer og cvr-nummer, er et link til cookie- og privatlivspolitikken på fynbus.dk.

Det er Datatilsynets vurdering, at de påkrævede oplysninger efter databeskyttelsesforordningens artikel 13 ikke er ”givet” til den registrerede i overensstemmelse med artikel 13 og artikel 12, stk. 1, på tidspunktet for indsamling af dennes personoplysninger på hjemmesiden fynbus.flextrafik.dk.

Tilsynet lægger vægt på, at det pågældende link fremgår nederst på hjemmesiden uden for den boks, hvori indtastningen af personoplysninger foregår, og dermed uden sammenhæng med de brugerhandlinger, den registrerede foretager sig. Fynbus tager således ikke aktive skridt til at give oplysningerne, og kunden får derved ikke henledt opmærksomheden på Fynbus’ politik for behandling af personoplysninger.

Datatilsynet finder herefter, at der er grundlag for at udtale kritik af, at Fynbus’ behandling af personoplysninger på hjemmesiden fynbus.flextrafik.dk ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 13 og artikel 12, stk. 1.

3.1.4. Fynbusbestilling.dk

Det fremgår af sagen, at proceduren for iagttagelse af oplysningspligten på fynbusbestilling.dk sker ved link til selskabets privatlivspolitik på fynbus.dk. Linket er placeret i fanen øverst på siden.

Det er derfor Datatilsynets vurdering, at de påkrævede oplysninger efter databeskyttelsesforordningens artikel 13 ikke er ”givet” til den registrerede inden behandling af dennes personoplysninger, idet det pågældende link fremgår øverst på hjemmesiden – uden sammenhæng med de brugerhandlinger den registrerede foretager sig. Den registrerede får derved ikke henledt opmærksomheden på Fynbus’ behandling af personoplysninger.

Datatilsynet finder herefter, at der er grundlag for at udtale kritik af, at Fynbus’ behandling af personoplysninger på hjemmesiden fynbusbestilling.dk ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 13 og artikel 12, stk. 1.

3.2. Fynbus’ privatlivspolitikker

3.2.1. Webshop.fynbus.dk og fynbusbestilling.dk

Det fremgår af sagen, at iagttagelsen af oplysningspligten i forbindelse med indsamling af oplysninger om kunders rejsehistorik fra såvel webshop.fynbus.dk som på fynbusbestilling.dk sker via privatlivspolitikken på hjemmesiden fynbus.dk.

Datatilsynet finder, at den pågældende privatlivspolitik ikke opfylder kravene i databeskyttelsesforordningens artikel 13 på en række punkter.

For det første finder Datatilsynet, at Fynbus ikke har oplyst i overensstemmelse med databeskyttelsesforordningens artikel 13, stk. 2, litra c.

Fynbus oplyser i privatlivspolitikken, at selskabet behandler nogle personoplysninger på grundlag af databeskyttelsesforordningens artikel 6, stk. 1, litra a (samtykke).

Det fremgår imidlertid af artikel 13, stk. 2, at den dataansvarlige skal give yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling, herunder når behandling er baseret på artikel 6, stk. 1, litra a, hvor den registrerede skal oplyses om retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf.

Det er Datatilsynet opfattelse, at det altid er nødvendigt at oplyse om retten til at trække samtykke tilbage, når behandling baseres på samtykke, hvilket også fremgår af databeskyttelsesforordningens artikel 7, stk. 3.

Det er således Datatilsynets vurdering, at Fynbus skal oplyse om retten til at trække samtykke tilbage i privatlivspolitikken på fynbus.dk.

Datatilsynet finder for det andet, at Fynbus ikke har oplyst i overensstemmelse med databeskyttelsesforordningens artikel 13, stk. 2, litra a.

Det fremgår af privatlivspolitikken, at ”personoplysninger gemmes så længe, det er nødvendigt for at administrere dig som kunde, eller i øvrigt for at overholde gældende lovgivning, herunder betalingsloven, bogføringsloven, databeskyttelsesforordningen og databeskyttelsesloven.”

Det følger imidlertid af databeskyttelsesforordningens artikel 13, stk. 2, litra a, at hvis den dataansvarlige ikke kan give oplysninger om det tidsrum, hvor personoplysningerne vil blive opbevaret, skal der oplyses om de kriterier der anvendes til at fastlægge tidsrummet.

Det er Datatilsynets opfattelse, at det ikke er tilstrækkeligt at oplyse, at oplysningerne opbevares så længe det er nødvendigt, idet det ikke illustrerer for den registrerede, hvor længe Fynbus mener de sagligt har brug for at opbevare personoplysningerne, og dermed hvornår de kan forvente, at oplysningerne vil blive slettet.

Tilsynet vurderer således, at Fynbus skal uddybe, hvor længe personoplysningerne bliver opbevaret, eller, hvis dette ikke er muligt, beskrive hvilke kriterier de fastlægger tidsrummet for opbevaring ud fra.

For det tredje finder Datatilsynet, at Fynbus ikke har oplyst tilstrækkeligt i overensstemmelse med databeskyttelsesforordningens artikel 13, stk. 2, litra b.

Privatlivspolitikken giver ikke oplysninger om retten til begrænsning af den registreredes personoplysninger, jf. databeskyttelsesforordningens artikel 13, stk. 2, litra b.

Det fremgår af databeskyttelsesforordningens artikel 13, stk. 2, at den dataansvarlige konkret skal vurdere, om den registrerede skal gives yderligere oplysninger – bl.a. retten til begrænsning af den registreredes personoplysninger. En sådan vurdering vil ofte føre til, at den dataansvarlige vil være forpligtet til at give den registrerede yderligere oplysninger.

Det er Datatilsynets opfattelse, at Fynbus’ kunder ikke er afskåret fra at anvende retten til begrænsning af behandling, jf. artikel 18, hvorfor det er nødvendigt, for at sikre en rimelig og gennemsigtig behandling, at de registrerede bliver gjort bekendt med denne ret.

Tilsynet vurderer således, at Fynbus i privatlivspolitikken skal oplyse om retten til begrænsning af behandling.

Datatilsynet finder herefter sammenfattende, at der er grundlag for at udtale kritik af, at privatlivspolitikken på fynbus.dk ikke er i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 13, stk. 2, litra a, b og c.

3.2.2. Privatlivspolitikken på Fynbus Mobilbillet

Datatilsynet finder, at Fynbus’ privatlivspolitik som vist i Fynbus Mobilbillet før varslingen af tilsyn den 14. november 2019 ikke opfylder kravene i databeskyttelsesforordningens artikel 13, idet privatlivspolitikken ikke indeholder en række af de oplysninger, der er påkrævet i medfør af databeskyttelsesforordningens artikel 13, stk. 1, litra b og c, og stk. 2, litra a og b. Privatlivspolitikken henviser endvidere til den nu ophævede persondatalov frem for den gældende databeskyttelsesforordning.

Den opdaterede privatlivspolitik opfylder ligeledes ikke kravene, idet den ikke indeholder de oplysninger der er påkrævet i medfør af databeskyttelsesforordningens artikel 13, stk. 1, litra c, g stk. 2, litra a og b.

Datatilsynet bemærker, at den opdaterede privatlivspolitik indledningsvis henviser til ” Fynbus’ yderligere politikker” og herefter linker til Fynbus’ cookiepolitik. Tilsynet finder imidlertid ikke, at dette link reparerer på den mangelfulde information, dels fordi det ikke fremgår klart, at der via linket findes oplysninger om behandling af personoplysninger, og dels fordi også denne privatlivspolitik er mangelfuld. Der henvises til pkt. 3.2.1. ovenfor.

Datatilsynet finder samlet set, at der er grundlag for at udtale alvorlig kritik af, at Fynbus’ behandling af personoplysninger ikke er sket i overensstemmelse med reglerne i databeskyttelsesforordningens artikel 13.

Datatilsynet har i graden af kritik navnlig lagt vægt på omfanget af de mangelfulde oplysninger i den privatlivspolitik, der var gældende på tidspunktet for varslingen af tilsynet, og at politikken henviser til den tidligere persondatalov, hvilket giver indtryk af, at Fynbus ikke har opdateret privatlivspolitikken i app’en Fynbus Mobilbillet på trods af, at databeskyttelsesforordningens har fundet anvendelse siden den 25. maj 2018.

Tilsynet har endvidere lagt vægt på, at heller ikke den opdaterede privatlivspolitik opfylder kravene i databeskyttelsesforordningens artikel 13, og at oplysning af retsgrundlaget for behandling af personoplysninger er særligt vigtig i forhold til gennemsigtighed for den registrerede.

3.2.3. Privatlivspolitikken på fynbus.flextrafik.dk med tilhørende app

Fynbus har i relation til såvel fynbus.flextrafik.dk som den tilhørende app oplyst, at privatlivspolitikken findes på fynbus.flextrafik.dk. Datatilsynet lægger herefter til grund, at den privatlivspolitik, som ligger tilgængelig på fynbus.flextrafik.dk er den samme som den, man som bruger bliver præsenteret for i app’en.

Datatilsynet finder, at der ikke er grundlag for at udtale kritik af Fynbus’ privatlivspolitik på fynbus.flextrafik.dk og i den tilhørende app.

Datatilsynet har imidlertid noteret sig, at den registrerede gennem privatlivspolitikken oplyses om, at retsgrundlaget for behandlingen af den registreredes personoplysninger er samtykke. Der er imidlertid ingen henvisning til artikel 6, stk. 1, litra a, eller databeskyttelsesforordningen i øvrigt. Det er Datatilsynets vurdering, at kravet om at oplysning om retsgrundlaget for en behandling indebærer en angivelse af den relevante bestemmelse i databeskyttelsesforordningen eller anden lovgivning, behandlingen baseres på.

Datatilsynet skal endvidere bemærke, at såfremt der behandles personoplysninger, som er omfattet af databeskyttelsesforordningens artikel 9, stk. 1, bør dette ligeledes fremgå. 

4. Konklusion

Efter en gennemgang af sagen finder Datatilsynet anledning til sammenfattende at konkludere:

  1. At Fynbus’ procedure for iagttagelse af oplysningspligten i forbindelse med tjenesterne webshop.fynbus.dk, fynbus.flextrafik.dk og fynbusbestilling.dk ikke lever op til kravene i databeskyttelsesforordningens artikel 13 og artikel 12, stk. 1, idet oplysningerne ikke er ”givet” til kunderne, men at kunderne derimod selv skal opsøge oplysningerne.
  2. At Fynbus’ procedure for iagttagelse af oplysningspligten i forbindelse med tjenesterne Fynbus Mobilbillet og app’en Flextrafik sker i overensstemmelse med databeskyttelsesforordningens artikel 13.
  3. At Fynbus’ efterlevelse af oplysningspligten gennem privatlivspolitikken tilknyttet tjenesterne webshop.fynbus.dk og fynbusbestilling.dk ikke sker i overensstemmelse med databeskyttelsesforordningens artikel 13, idet privatlivspolitikken ikke indeholder tilstrækkelig information.
  4. At Fynbus’ efterlevelse af oplysningspligten gennem privatlivspolitikken i app’en Fynbus Mobilbillet, som den så ud forud for Datatilsynets varslling af tilsyn, ikke sker i overensstemmelse med databeskyttelsesforordningens artikel 13, idet privatlivspolitikken henviser til persondatalovens bestemmelser og i henhold til databeskyttelsesforordningens artikel 13 er særdeles mangelfuld, ligesom også den opdaterede privatlivspolitik er mangelfuld.
  5. At Fynbus’ efterlevelse af oplysningspligten gennem privatlivspolitikkerne tilknyttet tjenesterne fynbus.flextrafik.dk og den tilhørende app Flextrafik sker i overensstemmelse med databeskyttelsesforordningens artikel 13.

Datatilsynet finder i forhold til pkt. 1 og 3 grundlag for at udtale kritik af, at Fynbus’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13 og artikel 12, stk. 1.

Datatilsynet finder endvidere i forhold til pkt. 4 grundlag for at udtale alvorlig kritik af, at Fynbus’ behandling af personoplysninger ikke er sket i overensstemmelse med databeskyttelsesforordningens artikel 13.

5. Afsluttende bemærkninger

Datatilsynets afgørelse kan indbringes for domstolene, jf. grundlovens § 63.

Datatilsynet skal for god ordens skyld bemærke, at tilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside om en uge.

Datatilsynet kan endelig henvise til, at der på tilsynets hjemmeside kan findes diverse materiale om iagttagelse af oplysningspligten, herunder vejledningen om Registreredes rettigheder, en skabelon til iagttagelse af oplysningspligten, samt en podcast om persondatapolitikker.

Bilag: Retsgrundlag

Uddrag af Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

Artikel 6. Behandling er kun lovlig, hvis og i det omfang mindst ét af følgende forhold gør sig gældende:

a)     Den registrerede har givet samtykke til behandling af sine personoplysninger til et eller flere specifikke formål.

b)     Behandling er nødvendig af hensyn til opfyldelse af en kontrakt, som den registrerede er part i, eller af hensyn til gennemførelse af foranstaltninger, der træffes på den registreredes anmodning forud for indgåelse af en kontrakt.

c)     Behandling er nødvendig for at overholde en retlig forpligtelse, som påhviler den dataansvarlige.

d)     Behandling er nødvendig for at beskytte den registreredes eller en anden fysisk persons vitale interesser.

e)     Behandling er nødvendig af hensyn til udførelse af en opgave i samfundets interesse eller som henhører under offentlig myndighedsudøvelse, som den dataansvarlige har fået pålagt.

f)      Behandling er nødvendig for, at den dataansvarlige eller en tredjemand kan forfølge en legitim interesse, medmindre den registreredes interesser eller grundlæggende rettigheder og frihedsrettigheder, der kræver beskyttelse af personoplysninger, går forud herfor, navnlig hvis den registrerede er et barn.

Første afsnit, litra f), gælder ikke for behandling, som offentlige myndigheder foretager som led i udførelsen af deres opgaver.

Artikel 13. Hvis personoplysninger om en registreret indsamles hos den registrerede, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede alle følgende oplysninger:

a)     identitet på og kontaktoplysninger for den dataansvarlige og dennes eventuelle repræsentant

b)     kontaktoplysninger for en eventuel databeskyttelsesrådgiver

c)     formålene med den behandling, som personoplysningerne skal bruges til, og retsgrundlaget for behandlingen

d)     de legitime interesser, som forfølges af den dataansvarlige eller en tredjemand, hvis behandlingen er baseret på artikel 6, stk. 1, litra f)

e)     eventuelle modtagere eller kategorier af modtagere af personoplysningerne

f)      hvor det er relevant, at den dataansvarlige agter at overføre personoplysninger til et tredjeland eller en international organisation, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h), henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

Stk. 2. Ud over de oplysninger, der er omhandlet i stk. 1, giver den dataansvarlige på det tidspunkt, hvor personoplysningerne indsamles, den registrerede følgende yderligere oplysninger, der er nødvendige for at sikre en rimelig og gennemsigtig behandling:

a)     det tidsrum, hvor personoplysningerne vil blive opbevaret, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette tidsrum

b)     retten til at anmode den dataansvarlige om indsigt i og berigtigelse eller sletning af personoplysninger eller begrænsning af behandling vedrørende den registrerede eller til at gøre indsigelse mod behandling samt retten til dataportabilitet

c)     når behandling er baseret på artikel 6, stk. 1, litra a), eller artikel 9, stk. 2, litra a), retten til at trække samtykke tilbage på ethvert tidspunkt, uden at dette berører lovligheden af behandling, der er baseret på samtykke, inden tilbagetrækning heraf

d)     retten til at indgive en klage til en tilsynsmyndighed

e)     om meddelelse af personoplysninger er lovpligtigt eller et krav i henhold til en kontrakt eller et krav, der skal være opfyldt for at indgå en kontrakt, samt om den registrerede har pligt til at give personoplysningerne og de eventuelle konsekvenser af ikke at give sådanne oplysninger

f)      forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede.

Stk. 3. Hvis den dataansvarlige agter at viderebehandle personoplysningerne til et andet formål end det, hvortil de er indsamlet, giver den dataansvarlige forud for denne viderebehandling den registrerede oplysninger om dette andet formål og andre relevante yderligere oplysninger, jf. stk. 2.

Stk. 4. Stk. 1, 2 og 3 finder ikke anvendelse, hvis og i det omfang den registrerede allerede er bekendt med oplysningerne.


[1] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).
[2] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).