Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag

Kromann Reumert
14/12/2020
Datatilsynet udtaler alvorlig kritik af virksomheds brug af forkert behandlings­grundlag
Datatilsynet har udtalt alvorlig kritik af, at en transportbetalingsvirksomhed har behandlet personoplysninger på baggrund af et forkert behandlingsgrundlag. Efter Datatilsynets opfattelse skal virksomheden foretage en fornyet vurdering af behandlingsgrundlaget for de omstridte behandlingsaktiviteter. Vi ser nærmere på sagen i denne nyhed.

Transportbetalingsvirksomheden har behandlet personoplysninger i strid med databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed i artikel 5, stk. 1, litra a, da virksomheden ikke burde have baseret behandlingen af personoplysninger på et samtykke, hvilket Datatilsynet baggrund af en klage har kritiseret. Datatilsynet har desuden udtalt alvorlig kritik af, at virksomheden fortsatte behandlingen af personoplysninger om klagers aftaleindgåelse og rejsedata, efter at klager trak sit samtykke tilbage. På den baggrund har Datatilsynet meddelt virksomheden påbud om at slette disse personoplysninger.


Sagens omstændigheder

Klager havde bestilt et personligt rejsekort og i den forbindelse givet sit samtykke til, at transportbetalingsvirksomheden behandlede klagers personoplysninger. Virksomheden havde oplyst, at det retlige grundlag for behandlingen af klagers personoplysninger var samtykke efter databeskyttelsesforordningens artikel 6, stk. 1, litra a.


Da klager efterfølgende trak sit samtykke tilbage, oplyste transportbetalingsvirksomheden, at klagers kundeforhold hos virksomheden var blevet afsluttet, og at klagers personoplysninger var blevet slettet. Virksomheden oplyste også, at den i medfør af bogføringsloven var forpligtet til fortsat at opbevare økonomiske data i fem år, og at den derfor fortsat opbevarede rejsedata og dokumentation for aftaleindgåelse i tre år fra kundeforholdets ophør. Klager indgav herefter en klage til Datatilsynet over virksomhedens manglende sletning af alle hendes personoplysninger.


Datatilsynets afgørelse

Datatilsynet lagde til grund, at virksomheden behandlede klagers personoplysninger på grundlag af klagers samtykke, indtil klager trak sit samtykke tilbage, og at virksomheden havde tilrettelagt sin behandling af personoplysninger således, at der skulle ske skift i behandlingsgrundlaget, hvis samtykket blev trukket tilbage. Således blev behandlingen af oplysninger vedrørende klagers aftaleindgåelse, rejsedata samt træk og indbetalinger på rejsekortet (supplerende) efterfølgende baseret på kontraktopfyldelse, opfyldelse af retlige forpligtelser (bogføringsloven) og interesseafvejningsreglen.

Datatilsynet udtalte, at transportbetalingsvirksomhedens behandling af oplysninger om klager slet ikke burde have været baseret på et samtykke. Og at virksomheden under hele aftaleforholdet med klager burde have anvendt databeskyttelsesforordningens regler om kontraktopfyldelse og opfyldelse af retlige forpligtelser som retsgrundlag.


Datatilsynet tillagde det væsentlig betydning, at en dataansvarlig som altovervejende udgangspunkt ikke bør skifte behandlingsgrundlag, efter behandlingen af personoplysninger er påbegyndt. Det er desuden særligt problematisk, når behandlingen sker på baggrund af et samtykke, da et samtykke efter databeskyttelsesforordningen er udtryk for, at de registrerede gives et reelt valg og kontrol over, hvordan deres oplysninger behandles.


Datatilsynet udtalte derfor alvorlig kritik af, at transportbetalingsvirksomheden havde tilsidesat databeskyttelsesforordningens princip om lovlighed, rimelighed og gennemsigtighed, og at virksomheden fortsatte behandlingen af klagers rejsedata og oplysninger om aftaleindgåelsen efter, at samtykket var trukket tilbage. Datatilsynet pålagde virksomheden at fremsende skriftlig redegørelse for en fornyet vurdering af behandlingsgrundlaget samt sletning af personoplysninger, som virksomheden ikke var retlig forpligtet til at opbevare efter bogføringsloven.


Kromann Reumerts bemærkninger

Afgørelsen er i tråd med Datatilsynets vejledning om samtykke: Den dataansvarlige kan som udgangspunkt ikke skifte behandlingsgrundlag, hvis den registrerede trækker sit samtykke tilbage. Dette vil medføre, at den registrerede ikke har et reelt valg og kontrol over behandlingen af vedkommendes personoplysninger. Det følger dog af vejledningen, at den dataansvarlige kan fortsætte behandlingen, hvis der kan identificeres et andet lovligt grundlag for behandlingen end samtykke; f.eks. hvor fortsat opbevaring af oplysninger er nødvendig af hensyn til overholdelse af reglerne om bogføring. Ved overgangen til dette hjemmelsgrundlag er det dog ikke sikkert, at alle oplysninger fortsat kan opbevares, så det skal tjekkes nøje.



Datatilsynet understreger i sin afgørelse, at det vil være "forkert" at anvende samtykke som behandlingsgrundlag, hvis der kan identificeres mere passende alternative behandlingsgrundlag. Den dataansvarlige skal således nøje overveje, hvilket lovligt behandlingsgrundlag en behandling af personoplysninger skal baseres på forud for behandlingen. Den vurdering skal desuden ske under iagttagelse af databeskyttelsesforordningens grundlæggende behandlingsprincipper, herunder princippet om lovlighed, rimelighed og gennemsigtighed.


På den baggrund bør det i hvert enkelt tilfælde nøje overvejes, om samtykke er det mest hensigtsmæssige behandlingsgrundlag.


Læs Datatilsynets afgørelse.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted