Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr.

Hvordan overholder I lovgivningen?

Afgørelsen fra Datatilsynet fastslår, hvor vigtigt det er, at selskaber i deres systemer har fastlagt slettefrister for de personoplysninger, som behandles. Der skal derudover ske sletning af disse oplysninger, når det ikke længere er nødvendigt at identificere de registrerede personer, i forhold til de formål, hvortil de er blevet indsamlet og behandles. Afgørelsen fastslår også, at det er vigtigt at se på alle sine systemer, og konkret om der i ældre systemer er slettemuligheder.

Fem råd til hvordan I overholder lovgivningen

  1. Fastsæt slettefrister for jeres behandling af kundeoplysninger, der er opbevaret i alle jeres systemer.
  2. Tag stilling til om der er lovmæssige krav, som kan påvirke slettefristerne. For eksempel skal der tages højde for bogføringsloven, der har en slettefrist på fem år og markedsføringsloven, som har en slettefrist på to år for det samtykke, som kunden har afgivet i forhold til modtagelse af markedsføring.
  3. Jeres system skal kunne  slette personoplysningerne ud fra de fastsatte slettefrister.
  4. I skal kunne dokumentere de fastsatte slettefrister og en procedure for sletning af oplysningerne, samt opfølgning på, om sletningen forløber som forventet.
  5. I skal kunne dokumentere jeres procedurer for sletning af personoplysninger i forhold til jeres rekrutterings- og HR-system, da de samme regler gælder for disse oplysninger.

Sagen kort

Datatilsynet var i efteråret 2018 på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om selskabet havde fastsat frister for sletning af kundernes oplysninger, samt om fristerne blev efterlevet.

Forud for besøget havde selskabet sendt en liste med systemer, som selskabet anvendte til behandlingen af personoplysninger og oplyst, at der i tre butikker fortsat anvendes et ældre system. I dette system behandles oplysninger om cirka 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Kundens telefonnummer blev anvendt som kunde-id og de andre oplysninger blev anvendt i tilknytning til kunde-id’et. Selskabet havde ikke fastlagt frister for sletning af de personoplysninger, der blev behandlet i systemet og derfor heller ikke forholdt sig til, hvornår personoplysningerne ikke længere var nødvendige. Datatilsynet mener derfor, at IDdesign ikke har overholdt GDPR’s krav om sletning, da selskabet har behandlet personoplysningerne længere end nødvendigt og aldrig foretaget sletning af personoplysninger i systemet.

Se hele afgørelsen her.

Datatilsynet indstillede tidligere i år selskabet Taxa 4×35 for samme forseelse, nemlig manglende sletning af kundeoplysninger. Læs om nyheden her.

Er I i tvivl om, hvorvidt I overholder GDPR?

Synchs GDPR-team står klar til at rådgive jer. Vi tilbyder en række GDPR-pakker, herunder dokumentationspakker, så I kan dokumentere overfor Datatilsynet, at I overholder lovgivningen og dermed undgår bøder.

For mere information kontakt venligst:

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel KiilDaniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
Pressemeddelelse

Synch og FDIH har samarbejdet om at udvikle et digitalt værktøj, der forsimpler udarbejdelse og tilretning af handelsbetingelser

9 hours ago

Synch har udviklet et digitalt værktøj til FDIH (Forening for Dansk Internethandel). Det giver e-handlerne mulighed for effektivt at udarbejde handelsbetingelser, der lever op til lovgivningen.

Nyheder/GDPR

EU-domstolen fastslår: Anvendelse af cookies kræver aktivt samtykke

04/10/2019

EU-domstolen har den 1. oktober 2019 fastslået, at et samtykke, der indhentes ved et forudafkrydset felt, ikke er gyldigt, da der kræves en aktiv handling fra brugeren.

SynchWakeup/events

SYNCHWAKEUP: PRAKTISK DATABESKYTTELSE – HVAD ER STATUS SIDEN 25. MAJ 2018?

03/10/2019

SynchWakeup: Praktisk databeskyttelse – Hvad er status siden 25. maj 2018 afholdes den 29. oktober fra kl. 9:00-12:00.

Pressemeddelelse

Synch har indgået et partnerskab TechBBQ, som bygger videre på konceptet TalkBBQ

13/09/2019

Synch kan meddele, at vi er partnere til TechBBQ 2019, som afholdes den 18. til 19. september i Øksnehallen i København.

Nyheder

Mandeep Singh Rathour medvirker i podcasten ‘Magtens Tredeling’

12/09/2019

Mandeep Singh Rathour medvirker i podcasten, Magtens Tredeling, hos K-News. I podcasten sættes der fokus på, hvordan det finansielle statsregulerede institioner forholder sig til Facebooks kommende kryptoprojekt Libra.

Nyheder

Michael Brandt: “Vi har behov for, at universiteterne uddanner jurister med den fornødne indsigt i forretning og teknologi”

10/09/2019

Michael Brandt udtaler sig til AdvokatWatch om, at advokatfirmaer efterlyser jurister med forretningsforståelse og teknologisk viden.