Skrevet af
Husk passende behandlingsgrundlag fra start!
Datatilsynet udtalte alvorlig kritik af en virksomhed, der fortsatte med at behandle personoplysninger om en tidligere kunde, efter hun havde trukket sit samtykke til behandlingen tilbage.
Det fremgår af databeskyttelsesforordningen, at en registreret har ret til at trække et samtykke tilbage. Spørgsmålet i denne sag var, om en dataansvarlig, der behandlede personoplysninger om en tidligere kunde, kunne fortsætte med at opbevare oplysningerne under henvisning til andre behandlingsgrundlag, efter at den tidligere kunde trak sit samtykke til behandlingen tilbage.
Sagen handlede om en person, der havde indgået en aftale med en virksomhed som led i oprettelsen af et kundeforhold. Ved aftaleindgåelsen blev det oplyst, at grundlaget for behandlingen af hendes personoplysninger som led i kundeforholdet var hendes samtykke.
Efter ca. 4 år ophævede kvinden kundeforholdet og trak sit samtykke tilbage. Virksomheden oplyste i den anledning, at den i medfør af bogføringsloven var forpligtet til at gemme økonomiske data i 5 år, og at den endvidere gemte rejsedata og dokumentation for aftaleindgåelsen indtil udløbet af forældelsesfristen, dvs. i 3 år fra ophøret af kundeforholdet, for at kunne forsvare sig mod eventuelle retskrav. Det var den tidligere kunde ikke tilfreds med, og hun klagede derfor til Datatilsynet.
Behandlingsgrundlaget skal være klart fra begyndelsen
Datatilsynet understregede indledningsvis, at en dataansvarlig altid skal gøre sig klart, hvilket behandlingsgrundlag der er passende, før behandlingen påbegyndes, også hvis flere end et behandlingsgrundlag gør sig gældende.
Herefter understregede Datatilsynet, at fordi virksomheden hele tiden kunne have behandlet de konkrete personoplysninger under henvisning til de bestemmelser i databeskyttelsesforordningen, som virksomheden påberåbte sig, efter at samtykket var trukket tilbage, og fordi disse behandlingsgrundlag var mere retvisende i forhold til formålet med behandlingen, havde samtykke aldrig været et passende behandlingsgrundlag. Datatilsynet henviste i den forbindelse særligt til princippet om lovlighed, rimelighed og gennemsigtighed.
Datatilsynet udtalte desuden, at: ”… en dataansvarlig som altovervejende udgangspunkt ikke bør skifte behandlingsgrundlag, efter behandlingen af personoplysninger er påbegyndt.” Datatilsynet bemærkede, at et skift i behandlingsgrundlag er særligt problematisk, når det indledningsvise behandlingsgrundlag er samtykke, fordi det skaber en forventning hos den registrerede om, at vedkommende har en kontrol over sine personoplysninger og kan stoppe den dataansvarliges behandling af disse.
Datatilsynet udtalte samlet set alvorlig kritik af virksomheden. Datatilsynet fandt dog, at virksomheden fortsat kunne behandle de økonomiske data, idet formålet og hensynet bag behandlingen – overholdelse af de retlige forpligtelser i bogføringsloven – var rimeligt i forhold til hensynet til den registrerede. Herefter gav Datatilsynet virksomheden påbud om at slette alle rejseoplysninger og dokumentation for aftaleindgåelsen.
Norrbom Vinding bemærker
- at Datatilsynet med sin afgørelse påpeger, at anvendelsen af samtykke som behandlingsgrundlag kan være i strid med databeskyttelsesforordningen, hvis der findes et andet behandlingsgrundlag, der er mere passende, og
- at afgørelsen derfor også er værd at være opmærksom på i HR-sammenhæng, i det omfang samtykke benyttes som behandlingsgrundlag.
Indholdet i ovenstående nyhedstekst er ikke og kan ikke erstatte juridisk rådgivning.