Pokuta za porušenie GDPR pre dánsku taxislužbu

Dánsky Úrad pre ochranu osobných údajov navrhol pre taxi službu so sídlom v Copenhagene pokutu, pretože uchovávala osobné údaje zákazníkov príliš dlho. Úrad zistil, že spoločnosť Taxa 4×35 uchovávala údaje o zákazníkoch päť rokov bez toho, aby na to mala legitímny dôvod. 

V Dánsku zatiaľ Úrad pre ochranu osobných údajov nemôže priamo ukladať pokuty, preto prípad postúpil kodanskej polícii s odporúčaním, aby vyrúbila pokutu vo výške 1,2 milióna dánských korún (160 754 EUR). Polícia môže pokutu vymáhať prostredníctvom súdov.

Údaje spracúvané bez účelu

Spoločnosť namietala, že informácie o zákazníkoch anonymizuje po dvoch rokoch, ale úrad zistil, že zo systému vymaže len mená, pričom telefónne čísla uchováva ešte ďalšie tri roky. Na to prevádzkovateľ taxislužby uviedol, že telefónne čísla uchováva, pretože sú neoddeliteľnou súčasťou jej databázy. Vyšetrovateľ tento argument neprijal a povedal, že nie je možné vymazávať telefónne čísla o tri roky neskôr len preto, že systém prevádzkovateľa je nastavený tak, že sťažuje, resp. znemožňuje dodržanie zákona.

Dánska inšpektorka pre ochranu osobných údajov, Cristina Angela Gulisano, vo svojom vyhlásení uviedla, že regulátor odporučil pokutu, pretože „existuje veľké množstvo osobných údajov, ktoré boli uložené bez faktického účelu“.

„Jedným zo základných princípov ochrany osobných údajov je, že musíte spracovať iba údaje, ktoré potrebujete – a keď ich už nepotrebujete, musia byť okamžite vymazané,“ povedala.

Zlyhala anonymizácia údajov

Kontrolný orgán tiež povedal, že pokusy spoločnosti Taxa o anonymizáciu boli nedostatočné. Anonymizácia je stav, keď prevádzkovateľ znemožní, aby sa dali prepojiť informácie spojené s dotknutou osobou. Napriek tomu, že Taxa mená zákazníkov vymazala, stále môžu byť dostupné iné údaje, ktoré budú odkazovať na konkrétnu osobu prostredníctvom telefónneho čísla a ďalších podrobností.

Marianne Albersová z Gorrissen Federspiel v Kodani povedala pre portál GDR, že navrhovaná pokuta – ktorá na základe finančných správ predstavuje približne 2,8% obratu spoločnosti – bola pravdepodobne čiastočne navrhnutá na základe veľkého množstva spracúvaných osobných údajov.  Úrad uviedol, že údaje, ktoré spoločnosť uchovávala príliš dlho, sa týkali takmer deviatich miliónov ciest, resp. objednávok.

Hoci pokuta je len odporúčaním, Albersová uviedla, že súdy „vo všeobecnosti majú tendenciu akceptovať navrhované sankcie regulačných orgánov. V budúcnosti sa už ale súdy týmito kauzami zaoberať nebudú, pretože Úrad pre ochranu osobných údajov bude schopný vydávať pokuty sám. 

Spoločnosť Taxa 4×35 na žiadosť o vyjadrenie nereagovala.

Zdroj: Voľne preložené na základe článku na Global Data Review