GDPR bøde på 1,2 millioner

Hvad er der sket?

Datatilsynet kan ikke selv give bøder i Danmark, men de har for første gang (18. marts 2019) meldt en dansk virksomhed til politiet for brud på GDPR. Anmeldelsen er et resultat af stikprøvekontroller, som blev foretaget i oktober og november sidste år.

Hvem er blevet meldt til politiet og bødens størrelse?

Det er taxaselskaben 4x35 som i denne omgang er blevet meldt til politiet. Datatilsynet har indstillet selskabet til en bøde på 1,2 millioner kr.

Hvorfor er de meldt?

Bøden gives fordi kunders oplysninger er blevet gemt uden et sagligt formål. Taxaselskabet havde en procedure med at slette data efter 2 år om kunderne, men telefonnummer blev ikke slettet, da det i deres system blev brugt som reference/nøgle. Det betyder at taxature mv. efter 2 år stadig kan kobles sammen med personlige oplysninger. 
Datatilsynet kommenterer grunden med at det bruges som nøgle i databasen med følgende:
“Efter Datatilsynets opfattelse kan man imidlertid ikke fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen”

Mere om sagen

Du kan læse mere om sagen på linket herunder der går til datatilsynets webside.

Se Datatilsynets afgørelse om 4X35