Datatilsynet har fastslået, at Digitaliseringsstyrelsen overtræder GDPRs princip om dataminimering ved at opbevare kørekortoplysninger om borgere, der ikke har tilmeldt sig det digitale kørekort. Afgørelsen ledsages af alvorlig kritik og et forbud mod den unødvendige behandling.
Alvorlig kritik og forbud
Styrelsen har lagret kopier af data fra kørekortregisteret for alle med gyldigt kørekort, selv om kun en del af borgerne har valgt at bruge appen. Datatilsynet vurderer, at dette går videre end nødvendigt for formålet, og at behandlingen derfor strider mod dataminimering efter GDPR art. 5.
Digitaliseringsstyrelsen må fortsat drive den digitale løsning, men fremover kun behandle personoplysninger om de borgere, der faktisk har tilmeldt sig ordningen. Oplysningernes karakter og sikker opbevaring ændrer ikke vurderingen; det er selve nødvendigheden, der er afgørende.
Tekniske hensyn fritager ikke
Digitaliseringsstyrelsen henviste til tekniske begrænsninger i et ældre register og behovet for hurtig tilmelding. Datatilsynet understreger, at administrative eller tekniske byrder ikke kan begrunde behandling af oplysninger, der ikke er nødvendige for formålet.
Myndigheden har fire uger til at efterkomme afgørelsen, herunder at indrette databehandlingen, så kun tilmeldte brugeres oplysninger behandles. Sagen illustrerer kravet om, at offentlige digitale løsninger designes efter GDPRs grundprincipper fra start.
