デンマーク監督機関がGDPR5条違反でタクシー会社に制裁金を勧告


デンマーク監督機関がGDPR5条違反でタクシー会社に制裁金を勧告

2019年3月18日に発行された捜査評価報告書にて、デンマークのデータ保護監督機関は、タクシー会社Taxa 4×35 がデータ最小化の原則に違反したとの理由で120万DKK(2,000万円程度)の制裁金に相当するとの報告書を警察に送付した。

GDPR第5条には個人データ取り扱いの基本原則が記述されている。そのうち、1項(c)には「その個人データが取扱われる目的との関係において、十分であり、関連性があり、かつ、必要のあるものに限定されなければならない(データの最小化)」、1項(e)には「その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである(後略)(記録保存の制限)」と規定されている。

今回、Taxa 4×35社は、収集した情報のうち、氏名を2年間の保存後に消去しており、これで十分としていた。ところが、電話番号については、5年間の保存期限としていた。この理由として「Taxa 4×35社が使っている情報システムのデータベースにて、電話番号がキーとして用いられていた」ということが挙げられている。すなわち、Taxa 4×35社のサービス開発において必要なデータが、電話番号を消去すると使えなくなってしまうという事情だったのである。

これに対するデータ保護当局の見解は「会社の情報システムの仕様を理由として、必要より3年も長く、データ消去期日を設定することは出来ない」としている。なお、Taxa 4×35社には、保存期間が2年より長いデータが8,873,333件保存されていたとのことである。

デンマークでは、他国と異なり、データ保護監督機関が制裁金を決定することができない。警察に送付された報告書では、120万DKK(2,000万円程度)の制裁金が勧告されているが、最終的には裁判所にて判決が下されることになる。

データ保護監督機関の捜査評価報告書
https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/mar/tilsyn-med-taxa-4x35s-behandling-af-personoplysninger/
関連するニュース
https://gorrissenfederspiel.com/viden/nyheder/recommended-fine-of-dkk-12-million-to-taxa-4×35-for-violation-of-the-gdpr

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト