GDPR Case 007. The Danish Data Protection Agency proposes a DKK 1.2 million fine for Danish taxi company

日期：25 March 2019

國家：丹麥

關鍵字：目的拘束；資料最小化；儲存限制

GDPR：§5(1)(b) (purpose limitation)、§5(1)(c) (data minimization)、§5(1)(e) (storage limitation)

裁決：行政罰鍰（DKK 1,200,000）

摘要：

(1) 丹麥監管機關建議對 Taxa 4x35 公司課處 DKK 1,200,000 之行政罰鍰，因為該公司未刪除 8,873,333 筆之乘客個人資料。

備註：大多數歐洲國家的監理機關，其本身即可對控管者處以行政罰鍰，但是愛沙尼亞和丹麥則有不同的設計。在這兩個國家，監管機關在調查和評估案件後，應將案件移交警方，由警方審查是否足夠證據可對控管者提出指控，最終，仍由法院決定是否課處以及課處若干之罰鍰。

(2) 在調查過程中，Taxa 4x35 公司表示，用於預約計程車以及支付車資的個人資料，會在蒐集兩年後予以匿名化處理，因為再也沒有利用的必要。

(3) 不過，Taxa 4x35 公司的實際處理方式，只是在兩年後刪除客戶姓名，而不包括電話號碼，因此，乘客的搭車資訊（包括地址等），仍可透過電話號碼回溯至特定乘客，這些資料要等到五年後才會予以刪除。

(4) Taxa 4x35 公司表示，未將電話號碼予以刪除，原因是該號碼是整個系統資料庫的關鍵，因此，保留客戶電話號碼對該公司的產品及業務發展是必要的。

(5) 不過，監管機關認為，基於資料庫系統需求而將乘客的個人資料（電話號碼）儲存超過三年，是無法接受的，（在本案中）有大量的個人資料是在沒有客觀目的的情況下被儲存，個人資料