I det informationssamhälle som vi lever i idag är det självklart att spara information och i många fall är det viktigt för att informationen ska kunna användas för ändamål som forskning, bevarande av historia eller brottsbekämpning. Med den omfattande strömningen av information i samhället behövs reglering för hur viss information får användas och lagras och möjliggöra för enskilda att ta kontroll över vilka uppgifter som finns i digitala kanaler.

Trots detta finns det fortfarande exempel idag på uppgifter som är svåra att få bort när de en gång spridits och det finns mycket kvar att göra för att upprätthålla den grundläggande friheten om rätten att bli glömd och skapa ett tryggt informationssamhälle. För de som behandlar personuppgifter föreligger enligt GDPR en skyldighet att ha rutiner och system i sin organisation för att kunna identifiera och ta bort personuppgifter.

Att inte ha ordning kring dessa rutiner kan bli kostsamt, den danska datainspektionen har anmält ett taxiföretag till polisen till följd av detta och anfört att sanktionen för överträdelsen av GDPR bör uppgå till motsvarande ca. 1,7 miljoner svenska kronor. Företaget hade endast kortfattade rutiner och tillvägagångssätt som inte säkerställde efterföljande av kraven om lagring och borttagning i enlighet med GDPR. Delvis berodde detta på att företaget sade sig ha rutiner om anonymisering av personuppgifter som skedde efter två år genom att namn raderades. Därtill raderades telefonnummer efter fem år.

Det framkom i den danska myndighetens utredning att företaget hade information om nästan nio miljoner taxiresor som lagrats mer än två år. Det fanns uppgifter som till exempel namn, telefonuppgifter, GPS-koordinater, adresser och tidsangivelser. Myndigheten menar att det inte är tillräckligt att ta bort namn, eftersom det inte säkerställer att det inte går att koppla övrig information till en identifierbar person. Vidare uppgav företaget att syftet med att spara telefonnumren i fem år var att dessa behövde användas som referens i företagets IT-system, vilket myndigheten inte ansåg legitimt eftersom det likväl kan implementeras unika referensnummer i systemet som ersätter telefonnummer i anonymiseringen. Kostnaden för att införa sådana referensnummer har inte ansetts vara anledning att fortsatt använda telefonnummer som referens.
Företaget får kritik för att det inte kan säkerställa effektiv borttagning och att det är möjlig att identifiera personer utöver vad som är nödvändigt i enlighet med ändamålet med behandlingen, samt att företaget inte kunnat visa lämpliga åtgärder för att efterleva detta. I Danmark kan inte dataskyddsmyndigheten utfärda sanktioner som i de flesta andra europeiska länder, utan de måste vända sig till polismyndigheten som sedan utreder om det finns grund för anklagelserna. Beloppet för sanktionen kommer dock att fastställas av domstol.

Sammanfattningsvis krävs det att bolagen har en aktiv och genomarbetad process med att hantera personuppgifter inom bolaget.
GDPR har av många upplevts som snårigt och när man arbetar med GDPR märker man tämligen snabbt att det inte är ett område som lämpar sig för genvägar. Efter aktivt arbete visar det sig därtill att rätt hantering av personuppgifter och processer i bolaget skapar ett helt annat värde och andra möjligheter.

 

Tidigare publicerat i Affärsstaden 06 – 2019

Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB

Jessica Tornberg

Tillbaka till krönikor