Denne side forklarer, hvorfor lokationsbaserede rejseregistreringer er inkluderet i denne kategori, og hvorfor opbevaringen af disse skal håndteres omhyggeligt.
Tak fordi De søger afklaring på, hvorfor rejseinformation – såsom rejseplaner og flydetaljer – markeres af vores system som data, der kræver GDPR-overholdelse. Mange klienter antager indledningsvist, at kun åbenlyst følsomme data (såsom helbredsoplysninger eller finansielle registreringer) er omfattet af GDPR. Under forordningen er enhver information, der direkte eller indirekte kan identificere en person, imidlertid betragtet som personoplysninger.
1. GDPR's definition af personoplysninger
Databeskyttelsesforordningen (GDPR) definerer i artikel 4, stk. 1, personoplysninger som:
"enhver form for information om en identificeret eller identificerbar fysisk person ('den registrerede')."
Dette omfatter identifikatorer såsom navn, identifikationsnummer, lokaliseringsdata eller et eller flere elementer, der er særlige for den pågældende persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.
2. Hvorfor rejseinformation opfylder definitionen
Rejseplaner og flydetaljer klassificeres som personoplysninger, fordi de indeholder lokaliseringsdata relateret til et specifikt tidspunkt og en specifik person:
Lokalisationssporing: En flybillet eller en rejseplan dokumenterer eksplicit hvor en navngiven person befandt sig (afgangslufthavn) og hvor vedkommende var på vej hen (ankomstlufthavn) på specifikke datoer og tidspunkter.
Identificerbarhed: Disse detaljerede oplysninger om en persons bevægelser og tidsplan muliggør identifikation, lokalisering eller oprettelse af en profil baseret på vedkommendes rejsehistorik.
Selvom der ikke er tale om "følsomme oplysninger" (som omfatter helbred, politiske holdninger eller religion), klassificeres de stadig som personoplysninger, der skal beskyttes.
3. Retspræcedens: Det danske eksempel
Denne klassificering understøttes af retspræcedens etableret i Den Europæiske Union.
📰 Eksempel på sag: Kort efter GDPR's ikrafttræden rejste Datatilsynet med succes en sag mod et taxaselskab. Selskabet blev fundet i strid med reglerne, fordi de havde opbevaret kunders taxabookingdata (som sporer en persons rejse fra punkt A til punkt B på et bestemt tidspunkt) for længe uden et legitimt formål.
Kilde: Datatilsynet indstiller taxaselskab til bøde på 1.2 mio. kr. (En specifik reference til denne sag kan findes på Datatilsynets hjemmeside, marts 2019).
Denne afgørelse bekræftede, at lokaliserings- og bevægelsesregistreringer, som dem der findes i rejseplaner, er underlagt strenge GDPR-opbevaringsregler.
4. Vores krav om overholdelse
De har angivet, at vores system forventedes udelukkende at opfange følsomme og fortrolige data. Selv om systemet bestemt håndterer dette, er dets kernefunktion at sikre overholdelse af GDPR's princip om opbevaringsbegrænsning (artikel 5, stk. 1, litra e):
Personoplysninger må opbevares i en form, der giver mulighed for at identificere de registrerede, i ikke længere tid end det er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.
Vi markerer derfor rejseplaner, fordi:
De udgør personoplysninger (lokaliserings-/bevægelsessporing).
Når rejsen er afsluttet, er det oprindelige behandlingsformål (f.eks. booking, fakturering) typisk udtømt.
Uden et nyt, dokumenteret og legitimt formål for opbevaringen (f.eks. et specifikt lovkrav i forbindelse med skatterevision) skal disse data slettes sikkert.
Vores system hjælper Dem med at opfylde denne forpligtelse ved at identificere disse registreringer, når opbevaringsformålet er udløbet.