Deense Privacy toezichthouder wil onmiddellijke boete voor schending bewaartermijnen

De Deense toezichthouder stelt dat het taxibedrijf het door de GDPR/ AVG voorgeschreven data minimalisatie principe niet handhaaft, door telefoonnummers behorend bij 9 miljoen ritten te bewaren tot ver na de bewaartermijn. Taxa heeft weliswaar namen en adressen van klanten na 2 jaar verwijderd, maar bewaarde de telefoonnummers nog 3 jaar langer. Taxa beargumenteert dat de telefoonnummers een essentieel onderdeel zijn van hun IT database en dat ze niet gelijktijdig verwijderd kunnen worden met de andere gegevens.

De Deense Autoriteit vindt echter dat deze inbreuk op de bescherming van persoonsgegevens niet kan worden vergoelijkt door de beperkingen van een IT systeem. Bovendien was de manier waarop Taxa gegevens anonimiseerde, onvoldoende. De aanbeveling van de Deense Autoriteit kan een Europees precedent scheppen dat de beperkingen van een IT systeem geen reden mogen zijn persoonsgegevens langer te bewaren dan noodzakelijk. Organisaties die met dergelijke IT beperkingen te maken hebben, moeten technische en organisatorische maatregelen nemen, waaronder het effectief (en daarmee) onherleidbaar anonimiseren van persoonsgegevens.

Daarnaast toont de hoogte van de voorgestelde boete, die 2,8% bedraagt van de jaarlijkse omzet van Taxa, aan dat Autoriteiten bereid zijn om dichter bij de maximale AVG boete van 4% van de jaarlijkse omzet te komen. Alhoewel de Autoriteit zelf geen boetes kan opleggen, wordt hun advisering vaak wel gevolgd door de bevoegde autoriteiten. Organisaties doen er goed aan dit soort Europese ontwikkelingen nauwlettend in de gaten te houden en hun bewaartermijnen aan te passen aan het veranderende privacy landschap.