Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr.

Hvordan overholder I lovgivningen?

Afgørelsen fra Datatilsynet fastslår, hvor vigtigt det er, at selskaber i deres systemer har fastlagt slettefrister for de personoplysninger, som behandles. Der skal derudover ske sletning af disse oplysninger, når det ikke længere er nødvendigt at identificere de registrerede personer, i forhold til de formål, hvortil de er blevet indsamlet og behandles. Afgørelsen fastslår også, at det er vigtigt at se på alle sine systemer, og konkret om der i ældre systemer er slettemuligheder.

Fem råd til hvordan I overholder lovgivningen

  1. Fastsæt slettefrister for jeres behandling af kundeoplysninger, der er opbevaret i alle jeres systemer.
  2. Tag stilling til om der er lovmæssige krav, som kan påvirke slettefristerne. For eksempel skal der tages højde for bogføringsloven, der har en slettefrist på fem år og markedsføringsloven, som har en slettefrist på to år for det samtykke, som kunden har afgivet i forhold til modtagelse af markedsføring.
  3. Jeres system skal kunne  slette personoplysningerne ud fra de fastsatte slettefrister.
  4. I skal kunne dokumentere de fastsatte slettefrister og en procedure for sletning af oplysningerne, samt opfølgning på, om sletningen forløber som forventet.
  5. I skal kunne dokumentere jeres procedurer for sletning af personoplysninger i forhold til jeres rekrutterings- og HR-system, da de samme regler gælder for disse oplysninger.

Sagen kort

Datatilsynet var i efteråret 2018 på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om selskabet havde fastsat frister for sletning af kundernes oplysninger, samt om fristerne blev efterlevet.

Forud for besøget havde selskabet sendt en liste med systemer, som selskabet anvendte til behandlingen af personoplysninger og oplyst, at der i tre butikker fortsat anvendes et ældre system. I dette system behandles oplysninger om cirka 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Kundens telefonnummer blev anvendt som kunde-id og de andre oplysninger blev anvendt i tilknytning til kunde-id’et. Selskabet havde ikke fastlagt frister for sletning af de personoplysninger, der blev behandlet i systemet og derfor heller ikke forholdt sig til, hvornår personoplysningerne ikke længere var nødvendige. Datatilsynet mener derfor, at IDdesign ikke har overholdt GDPR’s krav om sletning, da selskabet har behandlet personoplysningerne længere end nødvendigt og aldrig foretaget sletning af personoplysninger i systemet.

Se hele afgørelsen her.

Datatilsynet indstillede tidligere i år selskabet Taxa 4×35 for samme forseelse, nemlig manglende sletning af kundeoplysninger. Læs om nyheden her.

 Er I i tvivl om, hvorvidt I overholder GDPR?

Synchs GDPR-team står klar til at rådgive jer. Vi tilbyder en række GDPR-pakker, herunder dokumentationspakker, så I kan dokumentere overfor Datatilsynet, at I overholder lovgivningen og dermed undgår bøder.

For mere information kontakt venligst:

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel KiilDaniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
Nyheder/GDPR

Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

11/06/2019

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr. Christine Jans giver fem gode råd til, hvordan du overholder lovgivningen.

Pressemeddelelse

Synch, inQvation og TechBBQ præsenterer nyt initiativ: TalkBBQ – The Nordic Investment Culture

04/06/2019

Hvad vil det egentligt sige at have en ‘founder friendly’ startup-kultur? Synch, inQvation og TechBBQ har indgået et partnerskab, som skal være med til at svare på dette spørgsmål. Det har resulteret i tilblivelsen af et event under navnet: TalkBBQ – The Nordic Investment Culture.

Nyheder

Synch lancerer kunde efterspurgte GDPR-ydelser

24/05/2019

Den 25. maj 2019 fylder GDPR 1 år og vi har hos Synch hjulpet en lang række virksomheder med at overholde reglerne. På baggrund af ydet rådgivning, er der udviklet fire GDPR-ydelser, som kan hjælpe alt fra startup-virksomheden til tech-giganten.

Nyheder/GDPR

Facebooks datasamkørsel er misbrug af dominerende stilling

23/04/2019

Efter længere tids undersøgelse af Facebook fremlagde den tyske konkurrencemyndighed, Bundeskartellamt sin konklusion: Facebook har misbrugt sin dominerende stilling ved at sammenkæde brugerdata fra forskellige kilder.

Indsigt

GRØNT LYS TIL NYE COPYRIGHT-REGLER DER ÆNDRER ONLINE ADFÆRD

15/04/2019

Synchs Katrine Hedensted Madsen giver en kort update om EUs stærkt omdiskuterede copyright-direktiv, der har været under forhandling i flere år, men i sidste måned blev godkendt af EU Parlamentet og netop i dag også har fået grønt lys fra EU Rådet.

SynchWakeup/events

SynchWakeup: Få styr på ansættelses- og persondataret

11/04/2019

Deltag til SynchWakeup den 9. maj og få boostet din viden om ansættelsesvilkår og persondata. Fokus vil være på praktiske problemstillinger i forbindelse med medarbejderens tiltrædelse og fratrædelse, hvor vi vil gennemgå forpligtelser og faldgruber i en ansættelses- og persondataretlig belysning.