Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr.

Hvordan overholder I lovgivningen?

Afgørelsen fra Datatilsynet fastslår, hvor vigtigt det er, at selskaber i deres systemer har fastlagt slettefrister for de personoplysninger, som behandles. Der skal derudover ske sletning af disse oplysninger, når det ikke længere er nødvendigt at identificere de registrerede personer, i forhold til de formål, hvortil de er blevet indsamlet og behandles. Afgørelsen fastslår også, at det er vigtigt at se på alle sine systemer, og konkret om der i ældre systemer er slettemuligheder.

Fem råd til hvordan I overholder lovgivningen

  1. Fastsæt slettefrister for jeres behandling af kundeoplysninger, der er opbevaret i alle jeres systemer.
  2. Tag stilling til om der er lovmæssige krav, som kan påvirke slettefristerne. For eksempel skal der tages højde for bogføringsloven, der har en slettefrist på fem år og markedsføringsloven, som har en slettefrist på to år for det samtykke, som kunden har afgivet i forhold til modtagelse af markedsføring.
  3. Jeres system skal kunne  slette personoplysningerne ud fra de fastsatte slettefrister.
  4. I skal kunne dokumentere de fastsatte slettefrister og en procedure for sletning af oplysningerne, samt opfølgning på, om sletningen forløber som forventet.
  5. I skal kunne dokumentere jeres procedurer for sletning af personoplysninger i forhold til jeres rekrutterings- og HR-system, da de samme regler gælder for disse oplysninger.

Sagen kort

Datatilsynet var i efteråret 2018 på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om selskabet havde fastsat frister for sletning af kundernes oplysninger, samt om fristerne blev efterlevet.

Forud for besøget havde selskabet sendt en liste med systemer, som selskabet anvendte til behandlingen af personoplysninger og oplyst, at der i tre butikker fortsat anvendes et ældre system. I dette system behandles oplysninger om cirka 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Kundens telefonnummer blev anvendt som kunde-id og de andre oplysninger blev anvendt i tilknytning til kunde-id’et. Selskabet havde ikke fastlagt frister for sletning af de personoplysninger, der blev behandlet i systemet og derfor heller ikke forholdt sig til, hvornår personoplysningerne ikke længere var nødvendige. Datatilsynet mener derfor, at IDdesign ikke har overholdt GDPR’s krav om sletning, da selskabet har behandlet personoplysningerne længere end nødvendigt og aldrig foretaget sletning af personoplysninger i systemet.

Se hele afgørelsen her.

Datatilsynet indstillede tidligere i år selskabet Taxa 4×35 for samme forseelse, nemlig manglende sletning af kundeoplysninger. Læs om nyheden her.

Er I i tvivl om, hvorvidt I overholder GDPR?

Synchs GDPR-team står klar til at rådgive jer. Vi tilbyder en række GDPR-pakker, herunder dokumentationspakker, så I kan dokumentere overfor Datatilsynet, at I overholder lovgivningen og dermed undgår bøder.

For mere information kontakt venligst:

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel KiilDaniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
Pressemeddelelse

Synch København og Integra fusionerer

23/01/2020

Synch og Integra Advokater i København fusionerer med virkning fra 1. januar. Med fusionen udbygger det fusionerede selskab sin position som specialiseret tech-advokatfirma med lokal forankring i Norden.

Nyheder

Nye matchinglån fra Vækstfonden

07/05/2020

Vækstfonden tilbyder ny en række nye favorable matchinglån, som giver virksomheder mulighed for at låne op til 3 gange et investeret beløb. Læs i denne nyhed om vilkårene for lånene

Pressemeddelelse

Synch spins-off legal tech business through the creation of Maigon

05/05/2020

Synch has decided to spin-off parts of its legal tech development, which to date has been conducted within SynchLab. A separate new entity has been formed and has taken over and will offer the following solutions; Maigon DPA, Maigon PPC and Maigon Automation. Synch has several times been noted for and also been nominated by […]

Nyheder

Synch er en del af Öresundseksperterna

24/04/2020

Synch, som et af de få advokatfirmaer, har en tilstedeværelse på begge sider af Øresund; i Skåne og i København. Vi sætter en ære i at yde smidig rådgivning på tværs af Øresund og er derfor stolte af at være udvalgt til at ingå i Øresundseksperterne der er en del af Øresunddirekt. Synchs eksperter er […]

Blogindlæg Insights

Gode juridiske råd i forbindelse med COVID-19

12/03/2020

I dette blog-indlæg fortæller Synchs danske advokater om de juridiske udfordringer, som COVID-19 har afstedkommet for danske virksomheder.

Nyheder

Regler om samtykke til markedsføring ændres – hvad betyder det for din virksomhed?

03/12/2019

Den 17. januar 2020 træder de nye ændringer i kraft, men hvad betyder det for dig, og hvad skal du særligt være opmærksom på? Bliv klogere på dette i denne nyhed. Markedsføringsloven opdateres, og det betyder, at der kommer nye regler for samtykke til markedsføring, dvs. den ”aftale”, som indgås for at den erhvervsdrivende får […]