Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs NYT Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag

Kromann Reumert
14/12/2020
Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag
Kromann Reumert logo
Datatilsynet har udtalt alvorlig kritik af, at en transportbetalingsvirksomhed har behandlet personoplysninger på baggrund af et forkert behandlingsgrundlag. Efter Datatilsynets opfattelse skal virksomheden foretage en fornyet vurdering af behandlingsgrundlaget for de omstridte behandlingsaktiviteter. Vi ser nærmere på sagen i denne nyhed.

Transportbetalingsvirksomheden har behandlet personoplysninger i strid med databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed i artikel 5, stk. 1, litra a, da virksomheden ikke burde have baseret behandlingen af personoplysninger på et samtykke, hvilket Datatilsynet baggrund af en klage har kritiseret. Datatilsynet har desuden udtalt alvorlig kritik af, at virksomheden fortsatte behandlingen af personoplysninger om klagers aftaleindgåelse og rejsedata, efter at klager trak sit samtykke tilbage. På den baggrund har Datatilsynet meddelt virksomheden påbud om at slette disse personoplysninger.


Sagens omstændigheder

Klager havde bestilt et personligt rejsekort og i den forbindelse givet sit samtykke til, at transportbetalingsvirksomheden behandlede klagers personoplysninger. Virksomheden havde oplyst, at det retlige grundlag for behandlingen af klagers personoplysninger var samtykke efter databeskyttelsesforordningens artikel 6, stk. 1, litra a.


Da klager efterfølgende trak sit samtykke tilbage, oplyste transportbetalingsvirksomheden, at klagers kundeforhold hos virksomheden var blevet afsluttet, og at klagers personoplysninger var blevet slettet. Virksomheden oplyste også, at den i medfør af bogføringsloven var forpligtet til fortsat at opbevare økonomiske data i fem år, og at den derfor fortsat opbevarede rejsedata og dokumentation for aftaleindgåelse i tre år fra kundeforholdets ophør. Klager indgav herefter en klage til Datatilsynet over virksomhedens manglende sletning af alle hendes personoplysninger.


Datatilsynets afgørelse

Datatilsynet lagde til grund, at virksomheden behandlede klagers personoplysninger på grundlag af klagers samtykke, indtil klager trak sit samtykke tilbage, og at virksomheden havde tilrettelagt sin behandling af personoplysninger således, at der skulle ske skift i behandlingsgrundlaget, hvis samtykket blev trukket tilbage. Således blev behandlingen af oplysninger vedrørende klagers aftaleindgåelse, rejsedata samt træk og indbetalinger på rejsekortet (supplerende) efterfølgende baseret på kontraktopfyldelse, opfyldelse af retlige forpligtelser (bogføringsloven) og interesseafvejningsreglen.

Datatilsynet udtalte, at transportbetalingsvirksomhedens behandling af oplysninger om klager slet ikke burde have været baseret på et samtykke. Og at virksomheden under hele aftaleforholdet med klager burde have anvendt databeskyttelsesforordningens regler om kontraktopfyldelse og opfyldelse af retlige forpligtelser som retsgrundlag.


Datatilsynet tillagde det væsentlig betydning, at en dataansvarlig som altovervejende udgangspunkt ikke bør skifte behandlingsgrundlag, efter behandlingen af personoplysninger er påbegyndt. Det er desuden særligt problematisk, når behandlingen sker på baggrund af et samtykke, da et samtykke efter databeskyttelsesforordningen er udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger behandles.


Datatilsynet udtalte derfor alvorlig kritik af, at transportbetalingsvirksomheden havde tilsidesat databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed, og at virksomheden fortsatte behandlingen af klagers rejsedata og oplysninger om aftaleindgåelsen efter, at samtykket var trukket tilbage. Datatilsynet pålagde virksomheden at fremsende skriftlig redegørelse for en fornyet vurdering af behandlingsgrundlaget samt sletning af personoplysninger, som virksomheden ikke var retlig forpligtet til at opbevare efter bogføringsloven.


Kromann Reumerts bemærkninger

Afgørelsen er i tråd med Datatilsynets vejledning om samtykke: Den dataansvarlige kan som udgangspunkt ikke skifte behandlingsgrundlag, hvis den registrerede trækker sit samtykke tilbage. Dette vil medføre, at den registrerede ikke har et reelt valg og kontrol over behandlingen af vedkommendes personoplysninger. Det følger dog af vejledningen, at den dataansvarlige kan fortsætte behandlingen, hvis der kan identificeres et andet lovligt grundlag for behandlingen end samtykke; f.eks. hvor fortsat opbevaring af oplysninger er nødvendig af hensyn til overholdelse af reglerne om bogføring. Ved overgangen til dette hjemmelsgrundlag er det dog ikke sikkert, at alle oplysninger fortsat kan opbevares, så det skal tjekkes nøje.



Datatilsynet understreger i sin afgørelse, at det vil være "forkert" at anvende samtykke som behandlingsgrundlag, hvis der kan identificeres mere passende alternative behandlingsgrundlag. Den dataansvarlige skal således nøje overveje, hvilket lovligt behandlingsgrundlag en behandling af personoplysninger skal baseres på forud for behandlingen. Den vurdering skal desuden ske under iagttagelse af databeskyttelsesforordningens grundlæggende behandlingsprincipper, herunder princippet om lovlighed, rimelighed og gennemsigtighed.


På den baggrund bør det i hvert enkelt tilfælde nøje overvejes, om samtykke er det mest hensigtsmæssige behandlingsgrundlag.


Læs Datatilsynets afgørelse.

Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig. Du finder kontaktoplysningerne nedenfor.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Artikler, der kunne være relevante for dig
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
Fransk domstol anvender Schrems II præmisser på vaccinationsplatform: Brugen af AWS var ikke i strid med GDPR
07/04/2021
Persondata
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
Derfor var tredjelands­overførsel i overens­stemmelse med Schrems II
31/03/2021
Persondata
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
Datatilsynet i Bayern griber ind mod brugen af Mailchimp
30/03/2021
Persondata, E-handel og markedsføring
Databeskyttelses­rådets seneste vejledninger og udtalelser
Databeskyttelses­rådets seneste vejledninger og udtalelser
30/03/2021
Persondata
Videoovervågning på arbejdspladsen
Videoovervågning på arbejdspladsen
17/03/2021
Ansættelses- og arbejdsret, Persondata
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
Medlems­staterne er blevet enige om udkastet til e-data­beskyttelses­forordningen
04/03/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted