Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr.

Hvordan overholder I lovgivningen?

Afgørelsen fra Datatilsynet fastslår, hvor vigtigt det er, at selskaber i deres systemer har fastlagt slettefrister for de personoplysninger, som behandles. Der skal derudover ske sletning af disse oplysninger, når det ikke længere er nødvendigt at identificere de registrerede personer, i forhold til de formål, hvortil de er blevet indsamlet og behandles. Afgørelsen fastslår også, at det er vigtigt at se på alle sine systemer, og konkret om der i ældre systemer er slettemuligheder.

Fem råd til hvordan I overholder lovgivningen

  1. Fastsæt slettefrister for jeres behandling af kundeoplysninger, der er opbevaret i alle jeres systemer.
  2. Tag stilling til om der er lovmæssige krav, som kan påvirke slettefristerne. For eksempel skal der tages højde for bogføringsloven, der har en slettefrist på fem år og markedsføringsloven, som har en slettefrist på to år for det samtykke, som kunden har afgivet i forhold til modtagelse af markedsføring.
  3. Jeres system skal kunne  slette personoplysningerne ud fra de fastsatte slettefrister.
  4. I skal kunne dokumentere de fastsatte slettefrister og en procedure for sletning af oplysningerne, samt opfølgning på, om sletningen forløber som forventet.
  5. I skal kunne dokumentere jeres procedurer for sletning af personoplysninger i forhold til jeres rekrutterings- og HR-system, da de samme regler gælder for disse oplysninger.

Sagen kort

Datatilsynet var i efteråret 2018 på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om selskabet havde fastsat frister for sletning af kundernes oplysninger, samt om fristerne blev efterlevet.

Forud for besøget havde selskabet sendt en liste med systemer, som selskabet anvendte til behandlingen af personoplysninger og oplyst, at der i tre butikker fortsat anvendes et ældre system. I dette system behandles oplysninger om cirka 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Kundens telefonnummer blev anvendt som kunde-id og de andre oplysninger blev anvendt i tilknytning til kunde-id’et. Selskabet havde ikke fastlagt frister for sletning af de personoplysninger, der blev behandlet i systemet og derfor heller ikke forholdt sig til, hvornår personoplysningerne ikke længere var nødvendige. Datatilsynet mener derfor, at IDdesign ikke har overholdt GDPR’s krav om sletning, da selskabet har behandlet personoplysningerne længere end nødvendigt og aldrig foretaget sletning af personoplysninger i systemet.

Se hele afgørelsen her.

Datatilsynet indstillede tidligere i år selskabet Taxa 4×35 for samme forseelse, nemlig manglende sletning af kundeoplysninger. Læs om nyheden her.

Er I i tvivl om, hvorvidt I overholder GDPR?

Synchs GDPR-team står klar til at rådgive jer. Vi tilbyder en række GDPR-pakker, herunder dokumentationspakker, så I kan dokumentere overfor Datatilsynet, at I overholder lovgivningen og dermed undgår bøder.

For mere information kontakt venligst:

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel KiilDaniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
SynchWakeup/events

SYNCHWAKEUP: PRAKTISK DATABESKYTTELSE – HVAD ER STATUS SIDEN 25. MAJ 2018?

3 hours ago

SynchWakeup: Praktisk databeskyttelse – Hvad er status siden 25. maj 2018 afholdes den 17. september fra kl. 9:00-12:00.

Nyheder

Stærk profil har tilsluttet sig Synch – Velkommen til Liv Palmelund Osborg

15/08/2019

Vi kan glædeligt meddele, at advokat Liv Palmelund Osborg har tilsluttet sig Synch teamet i København. Liv er specialiseret inden for persondata, regulatoriske forhold, compliance, selskabsret og kontrakter.

Nyheder/GDPR

Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

11/06/2019

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr. Christine Jans giver fem gode råd til, hvordan du overholder lovgivningen.

Pressemeddelelse

Synch, inQvation og TechBBQ præsenterer nyt initiativ: TalkBBQ – The Nordic Investment Culture

04/06/2019

Hvad vil det egentligt sige at have en ‘founder friendly’ startup-kultur? Synch, inQvation og TechBBQ har indgået et partnerskab, som skal være med til at svare på dette spørgsmål. Det har resulteret i tilblivelsen af et event under navnet: TalkBBQ – The Nordic Investment Culture.

Nyheder

Synch lancerer kunde efterspurgte GDPR-ydelser

24/05/2019

Den 25. maj 2019 fylder GDPR 1 år og vi har hos Synch hjulpet en lang række virksomheder med at overholde reglerne. På baggrund af ydet rådgivning, er der udviklet fire GDPR-ydelser, som kan hjælpe alt fra startup-virksomheden til tech-giganten.

Nyheder/GDPR

Facebooks datasamkørsel er misbrug af dominerende stilling

23/04/2019

Efter længere tids undersøgelse af Facebook fremlagde den tyske konkurrencemyndighed, Bundeskartellamt sin konklusion: Facebook har misbrugt sin dominerende stilling ved at sammenkæde brugerdata fra forskellige kilder.