Førelse af Spærreliste for YX Danmark A/S (§ 26, stk. 1)

Publiceret 16-12-2019
Tilladelse Private virksomheder

Datatilsynet har meddelt tilladelse til YX Danmark til behandling af personoplysninger ved førelse af en spærreliste over spærrede DieselKort, DieselServiceKort, EnergiKort, 2-Kort, Partnerkort, og DKV-Kort.

1. Datatilsynet har den 19. juni 2018, 9. januar og 6. december 2019 modtaget en ændringsanmeldelse fra Bruun & Hjejle Advokatpartnerselskab på vegne af YX Danmark A/S (tidligere Hydro Texaco A/S) til Datatilsynets tilladelse af 2. januar 2001 til behand-ling af oplysninger ved førelse af en spærreliste for behandling af oplysninger ved førelse af en spærreliste for Hydro Texaco privatkort, erhvervskort, dieselservicekort og dieselkort (Datatilsynets sag j.nr. 2000-44-0018).

YX Danmark A/S har anmodet om følgende ændringer til tilladelsen af 2. januar 2001:

  • Den dataansvarliges navn og kontaktoplysninger ønskes ændret til: YX Danmark A/S, Buddingevej 195, 2860 Søborg, tlf. 70101234, cvr. nr. 33807910.
  • Behandlingens betegnelse ønskes ændret til: ”Spærreliste for YX Danmark A/S”
  • Spærrelisten ønskes ført for følgende betalingskort: DieselKort, DieselService-Kort, EnergiKort, 2-Kort, Partnerkort og DKV-Kort
  • Kategorien ”private” ønskes slettet fra kategorier af registrerede og oplysningstyper
  • Oplysningerne ønskes overført til følgende modtagere eller kategorier af modtagere:
    • Danmark: YX Danmark, Uno-X Danmark og udvalgte Shell stationer
    • Norge: YX Norge og Uno-X Stationer
    • Sverige: Preem AB tankstationer

Under henvisning til Datatilsynets brev af 21. november 2019 og YX Danmarks skriftlige bekræftelse af 6. december 2019 skal Datatilsynet hermed meddele YX Danmark

TILLADELSE

til behandling af personoplysninger ved førelse af en spærreliste over spærrede DieselKort, DieselServiceKort, EnergiKort, 2-Kort, Partnerkort, og DKV-Kort. Tilladelsen meddeles på følgende vilkår:

Behandlingsregler

1. YX Danmark må optage et betalingskort på spærrelisten, når kortet meldes stjålet, tabt eller der er risiko for, at PIN-koden er kommet til uvedkommendes kendskab, samt når kontoforholdet er opsagt, og kortet er søgt inddraget.

Endvidere kan der spærres for anvendelse af et kort, når de aftalte betingelser om købsmaksimum eller betaling ikke er overholdt, og YX Danmark – forinden spærringen finder sted – har udsendt mindst 2 skriftlige rykkere til kortindehaveren med angivelse af, at kortet skal afleveres til selskabet og vil blive spærret, hvis betingelserne ikke opfyldes.

Herudover må der ske spærring straks, hvis der foreligger særlige omstændigheder, særligt hvis der er en begrundet formodning for misbrug af kortet.

Der må kun videregives oplysninger om kortindehaverens konto- eller kortnummer. Der må ikke videregives oplysninger om årsagen til, at et betalingskort er spærret.

Oplysningspligt

2. Ved indledning af et kontraktforhold om udstedelse af et betalingskort skal det oplyses, at der i de vilkår 1 nævnte tilfælde vil kunne ske spærring af kort.

I overensstemmelse med databeskyttelsesforordningens artikel 13 og 14 skal YX Danmark i øvrigt snarest muligt og senest 4 uger efter indsamling af oplysningerne har fundet sted, give den registrerede meddelelse om følgende:

  • Navn og adresse på YX Danmark,
  • kontaktoplysninger for en eventuel databeskyttelsesrådgiver hos YX Danmark,
  • YX Danmarks formål med og retsgrundlag for behandlingen,
  • hvilke kategorier af personoplysninger, YX Danmark har indsamlet,
  • hvorfra oplysningerne stammer,
  • kategorierne af modtagere,
  • hvor længe YX Danmark vil behandle oplysningerne, eller hvis dette ikke er muligt, de kriterier, der anvendes til at fastlægge dette,
  • retten til at anmode YX Danmark om indsigt, berigtigelse, sletning, begrænsning og til at gøre indsigelse,
  • forekomsten af automatiske afgørelser, herunder profilering, som omhandlet i databeskyttelsesforordningens artikel 22, stk. 1 og 4, og i disse tilfælde som minimum meningsfulde oplysninger om logikken heri samt betydningen og de forventede konsekvenser af en sådan behandling for den registrerede og
  • adgangen til at klage til Datatilsynet.

Hvis YX Danmark agter at overføre personoplysninger til en modtager i et tredjeland eller en international organisation, skal den registrerede oplyses herom, og om hvorvidt Kommissionen har truffet afgørelse om tilstrækkeligheden af beskyttelsesniveauet, eller i tilfælde af overførsler i henhold til databeskyttelsesforordningens artikel 46 eller 47 eller artikel 49, stk. 1, andet afsnit, litra h, henvisning til de fornødne eller passende garantier, og hvordan der kan fås en kopi heraf, eller hvor de er blevet gjort tilgængelige.

Urigtige/vildledende oplysninger

3. Oplysninger, der viser sig urigtige elle vildledende, skal straks slettes eller berigtiges.

Det påhviler YX Danmark at godtgøre behandlingens berettigelse, hvis en registreret rejser tvivl om dens rigtighed.

De enkelte betalingsmodtagere skal straks give meddelelse til YX Danmark, hvis det konstateres, at registrering er sket på et urigtigt grundlag.

Videregivne oplysninger, der viser sig urigtige eller vildledende, eller som er vidderegivet i strid med disse vilkår, skal af kortudsteder straks berigtiges skriftligt over for de betalingsmodtagere, der har modtaget oplysningen.

Endvidere skal den registrerede orienteres om berigtigelsen, herunder oplyses om, hvilke betalingsmodtagere der har modtaget berigtigelsen, og hvorfra oplysningerne stammer.

Ajourføring og sletning af oplysninger

4. Oplysningerne på spærrelisten skal ajourføres løbende. Straks efter modtagelse af ajourførte oplysninger skal betalingsmodtageren slette evt. tidligere modtagne lister el. lign., hvilket skal angives af YX Danmark i forbindelse med udsendelse af lister el. lign.

Oplysninger om kortnummeret på et spærret betalingskort skal slettes senest ved kortets udløbsdato.

Oplysninger om kortnummeret skal dog slettes straks, når kortet er blevet inddraget, eller på anden måde er kommet i YX Danmarks besiddelse.

Anmodninger fra en registreret

5. YX Danmark skal uden unødig forsinkelse og i alle tilfælde senest efter en måned besvare en anmodning fra en registreret om sletning, berigtigelse, indsigt mv.

Hvis anmodningen er kompliceret, kan svarfristen dog forlænges med yderligere to måneder. I disse tilfælde skal YX Danmark senest en måned efter, at YX Danmark har modtaget anmodningen, gøre den registrerede opmærksom på den forlængede sagsbehandlingstid og give en begrundelsen herfor.

Nægter YX Danmark at imødekomme en anmodning fra den registrerede, kan den registrerede indbringe spørgsmålet for Datatilsynet, hvilket skal oplyses over for den registrerede.

Sikkerhed

6. Der skal hos YX Danmark træffes passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til den risiko, der er for den registreredes rettigheder, herunder at oplysninger, som kortudsteder behandler, ikke misbruges eller kommer til uvedkommendes kendskab.

Fremsendelse af fortrolige oplysninger over netværk, som YX Danmark ikke har fuld kontrol over, må alene ske i forsvarlig krypteret form.

YX Danmark skal sikre sig, at alene medarbejdere, som det af hensyn til de pågældendes arbejdsområde er relevant for, har adgang til oplysninger om spærring, og at medarbejdere kun får adgang til den del af oplysningerne, der er relevant for disses arbejdsområde.

Ændringer/ophør

7. Forinden iværksættelse af væsentlige ændringer i de oplysninger/behandlinger, der er meddelt Datatilsynet i forbindelse med udstedelsen af tilladelse, skal Datatilsynets tilladelse indhentes. Ændringer af mindre væsentlig betydning skal dog kun anmeldes. Anmeldelse kan ske efterfølgende, dog senest 4 uger efter iværksættelsen.

Ophør af førelsen af spærrelisten skal straks meddeles til Datatilsynet.

De ovenstående vilkår er gældende indtil videre. Datatilsynet forbeholder sig senere at tage vilkårene op til revision, hvis der viser sig behov for det.

Datatilsynet skal henlede opmærksomheden på, at vilkårene omhandler spærring af kort. Automatisk afvisning af køb, når kreditmaksimum overskrides, uden at kortet derved spærres, kan derfor ske uafhængigt af, om betingelserne for spærring er opfyldt.

Vilkårene er supplerende i forhold til reglerne i databeskyttelsesforordningen og databeskyttelsesloven og er i visse tilfælde udtryk for en præcisering af disse regler. Det skal derfor understreges, at reglerne i databeskyttelsesforordningen og databeskyttelsesloven finder anvendelse i det omfang, at der er tale om forhold, der ikke er reguleret i vilkårene.