Jurainfo logo
LUK
Juridiske nyheder Arrangementer Find juridisk specialist Jobbørs Domme
Om Jurainfo Bliv samarbejdspartner Juridiske links Privatlivspolitik Kontakt
Artikel

Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag

Kromann Reumert
14/12/2020
Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag
Kromann Reumert logo
Datatilsynet har udtalt alvorlig kritik af, at en transportbetalingsvirksomhed har behandlet personoplysninger på baggrund af et forkert behandlingsgrundlag. Efter Datatilsynets opfattelse skal virksomheden foretage en fornyet vurdering af behandlingsgrundlaget for de omstridte behandlingsaktiviteter. Vi ser nærmere på sagen i denne nyhed.

Transportbetalingsvirksomheden har behandlet personoplysninger i strid med databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed i artikel 5, stk. 1, litra a, da virksomheden ikke burde have baseret behandlingen af personoplysninger på et samtykke, hvilket Datatilsynet baggrund af en klage har kritiseret. Datatilsynet har desuden udtalt alvorlig kritik af, at virksomheden fortsatte behandlingen af personoplysninger om klagers aftaleindgåelse og rejsedata, efter at klager trak sit samtykke tilbage. På den baggrund har Datatilsynet meddelt virksomheden påbud om at slette disse personoplysninger.


Sagens omstændigheder

Klager havde bestilt et personligt rejsekort og i den forbindelse givet sit samtykke til, at transportbetalingsvirksomheden behandlede klagers personoplysninger. Virksomheden havde oplyst, at det retlige grundlag for behandlingen af klagers personoplysninger var samtykke efter databeskyttelsesforordningens artikel 6, stk. 1, litra a.


Da klager efterfølgende trak sit samtykke tilbage, oplyste transportbetalingsvirksomheden, at klagers kundeforhold hos virksomheden var blevet afsluttet, og at klagers personoplysninger var blevet slettet. Virksomheden oplyste også, at den i medfør af bogføringsloven var forpligtet til fortsat at opbevare økonomiske data i fem år, og at den derfor fortsat opbevarede rejsedata og dokumentation for aftaleindgåelse i tre år fra kundeforholdets ophør. Klager indgav herefter en klage til Datatilsynet over virksomhedens manglende sletning af alle hendes personoplysninger.


Datatilsynets afgørelse

Datatilsynet lagde til grund, at virksomheden behandlede klagers personoplysninger på grundlag af klagers samtykke, indtil klager trak sit samtykke tilbage, og at virksomheden havde tilrettelagt sin behandling af personoplysninger således, at der skulle ske skift i behandlingsgrundlaget, hvis samtykket blev trukket tilbage. Således blev behandlingen af oplysninger vedrørende klagers aftaleindgåelse, rejsedata samt træk og indbetalinger på rejsekortet (supplerende) efterfølgende baseret på kontraktopfyldelse, opfyldelse af retlige forpligtelser (bogføringsloven) og interesseafvejningsreglen.

Datatilsynet udtalte, at transportbetalingsvirksomhedens behandling af oplysninger om klager slet ikke burde have været baseret på et samtykke. Og at virksomheden under hele aftaleforholdet med klager burde have anvendt databeskyttelsesforordningens regler om kontraktopfyldelse og opfyldelse af retlige forpligtelser som retsgrundlag.


Datatilsynet tillagde det væsentlig betydning, at en dataansvarlig som altovervejende udgangspunkt ikke bør skifte behandlingsgrundlag, efter behandlingen af personoplysninger er påbegyndt. Det er desuden særligt problematisk, når behandlingen sker på baggrund af et samtykke, da et samtykke efter databeskyttelsesforordningen er udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger behandles.


Datatilsynet udtalte derfor alvorlig kritik af, at transportbetalingsvirksomheden havde tilsidesat databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed, og at virksomheden fortsatte behandlingen af klagers rejsedata og oplysninger om aftaleindgåelsen efter, at samtykket var trukket tilbage. Datatilsynet pålagde virksomheden at fremsende skriftlig redegørelse for en fornyet vurdering af behandlingsgrundlaget samt sletning af personoplysninger, som virksomheden ikke var retlig forpligtet til at opbevare efter bogføringsloven.


Kromann Reumerts bemærkninger

Afgørelsen er i tråd med Datatilsynets vejledning om samtykke: Den dataansvarlige kan som udgangspunkt ikke skifte behandlingsgrundlag, hvis den registrerede trækker sit samtykke tilbage. Dette vil medføre, at den registrerede ikke har et reelt valg og kontrol over behandlingen af vedkommendes personoplysninger. Det følger dog af vejledningen, at den dataansvarlige kan fortsætte behandlingen, hvis der kan identificeres et andet lovligt grundlag for behandlingen end samtykke; f.eks. hvor fortsat opbevaring af oplysninger er nødvendig af hensyn til overholdelse af reglerne om bogføring. Ved overgangen til dette hjemmelsgrundlag er det dog ikke sikkert, at alle oplysninger fortsat kan opbevares, så det skal tjekkes nøje.



Datatilsynet understreger i sin afgørelse, at det vil være "forkert" at anvende samtykke som behandlingsgrundlag, hvis der kan identificeres mere passende alternative behandlingsgrundlag. Den dataansvarlige skal således nøje overveje, hvilket lovligt behandlingsgrundlag en behandling af personoplysninger skal baseres på forud for behandlingen. Den vurdering skal desuden ske under iagttagelse af databeskyttelsesforordningens grundlæggende behandlingsprincipper, herunder princippet om lovlighed, rimelighed og gennemsigtighed.


På den baggrund bør det i hvert enkelt tilfælde nøje overvejes, om samtykke er det mest hensigtsmæssige behandlingsgrundlag.


Læs Datatilsynets afgørelse.

Artiklen er forfattet af:
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte mig.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores nyhedsservice her.
Kromann Reumert logo
København
Sundkrogsgade 5
2100 København Ø
70 12 12 11
mail@kromannreumert.com
Aarhus
Rådhuspladsen 3
8000 Aarhus C
London
65 St. Paul's Churchyard
London EC4M 8AB
Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vælg selv dine interesseområder og modtag juridisk nyt fra landets førende specialister.
Tilmeld dig nu
Faglige videoer, der kunne være relevante for dig
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
Artikler, der kunne være relevante for dig
AI-forordningen og højrisikosystemerne
AI-forordningen og højrisikosystemerne
09/07/2021
Persondata, EU-ret
Hvor længe må du opbevare personoplysninger fra en rekrutteringsproces?
Hvor længe må du opbevare personoplysninger fra en rekrutteringsproces?
06/07/2021
Persondata
Logningssagen: Landsretten opretholder Logningsbekendtgørelsen med henvisning til de begrænsninger, som EU-rettens forrang opstiller
Logningssagen: Landsretten opretholder Logningsbekendtgørelsen med henvisning til de begrænsninger, som EU-rettens forrang opstiller
02/07/2021
Persondata
Forslaget til AI-forordning og forholdet til GDPR
Forslaget til AI-forordning og forholdet til GDPR
25/06/2021
Persondata
Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
Nye standardkontraktbestemmelser for tredjelandsoverførsler - hvad er ændret?
14/06/2021
Persondata
Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget
Internationale dataoverførsler – nye Standard Contractual Clauses vedtaget
09/06/2021
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske online-platform samt formidler af juridisk viden. Her finder du juridiske nyheder, kurser og arrangementer. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 77, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du hjælp til at finde en specialist?
© 2021 Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted