Fem gode råd til hvordan I undgår en bøde på 1,5 millioner kroner fra Datatilsynet

IDdesign A/S, som er detailhandler indenfor møbler og boligindretning, er blevet politianmeldt af Datatilsynet, som på baggrund af manglende sletning af ca. 385.000 kunders oplysninger, har indstillet selskabet til en bøde på 1,5 mio. kr.

Hvordan overholder I lovgivningen?

Afgørelsen fra Datatilsynet fastslår, hvor vigtigt det er, at selskaber i deres systemer har fastlagt slettefrister for de personoplysninger, som behandles. Der skal derudover ske sletning af disse oplysninger, når det ikke længere er nødvendigt at identificere de registrerede personer, i forhold til de formål, hvortil de er blevet indsamlet og behandles. Afgørelsen fastslår også, at det er vigtigt at se på alle sine systemer, og konkret om der i ældre systemer er slettemuligheder.

Fem råd til hvordan I overholder lovgivningen

  1. Fastsæt slettefrister for jeres behandling af kundeoplysninger, der er opbevaret i alle jeres systemer.
  2. Tag stilling til om der er lovmæssige krav, som kan påvirke slettefristerne. For eksempel skal der tages højde for bogføringsloven, der har en slettefrist på fem år og markedsføringsloven, som har en slettefrist på to år for det samtykke, som kunden har afgivet i forhold til modtagelse af markedsføring.
  3. Jeres system skal kunne  slette personoplysningerne ud fra de fastsatte slettefrister.
  4. I skal kunne dokumentere de fastsatte slettefrister og en procedure for sletning af oplysningerne, samt opfølgning på, om sletningen forløber som forventet.
  5. I skal kunne dokumentere jeres procedurer for sletning af personoplysninger i forhold til jeres rekrutterings- og HR-system, da de samme regler gælder for disse oplysninger.

Sagen kort

Datatilsynet var i efteråret 2018 på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om selskabet havde fastsat frister for sletning af kundernes oplysninger, samt om fristerne blev efterlevet.

Forud for besøget havde selskabet sendt en liste med systemer, som selskabet anvendte til behandlingen af personoplysninger og oplyst, at der i tre butikker fortsat anvendes et ældre system. I dette system behandles oplysninger om cirka 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Kundens telefonnummer blev anvendt som kunde-id og de andre oplysninger blev anvendt i tilknytning til kunde-id’et. Selskabet havde ikke fastlagt frister for sletning af de personoplysninger, der blev behandlet i systemet og derfor heller ikke forholdt sig til, hvornår personoplysningerne ikke længere var nødvendige. Datatilsynet mener derfor, at IDdesign ikke har overholdt GDPR’s krav om sletning, da selskabet har behandlet personoplysningerne længere end nødvendigt og aldrig foretaget sletning af personoplysninger i systemet.

Se hele afgørelsen her.

Datatilsynet indstillede tidligere i år selskabet Taxa 4×35 for samme forseelse, nemlig manglende sletning af kundeoplysninger. Læs om nyheden her.

Er I i tvivl om, hvorvidt I overholder GDPR?

Synchs GDPR-team står klar til at rådgive jer. Vi tilbyder en række GDPR-pakker, herunder dokumentationspakker, så I kan dokumentere overfor Datatilsynet, at I overholder lovgivningen og dermed undgår bøder.

For mere information kontakt venligst:

Niels Dahl-Nielsen,niels.dahl-nielsen@synchlaw.dk, +45 4030 9749

Christine Janschristine.jans@synchlaw.dk, +45 6058 8862

Daniel KiilDaniel.kiil@synchlaw.dk, +45 5190 8339

Nyheder og indsigt
Nyheder

Regler om samtykke til markedsføring ændres – hvad betyder det for din virksomhed?

03/12/2019

Den 17. januar 2020 træder de nye ændringer i kraft, men hvad betyder det for dig, og hvad skal du særligt være opmærksom på? Bliv klogere på dette i denne nyhed. Markedsføringsloven opdateres, og det betyder, at der kommer nye regler for samtykke til markedsføring, dvs. den ”aftale”, som indgås for at den erhvervsdrivende får […]

Pressemeddelelse

SYNCH HAR YDET JURIDISK RÅDGIVNING TIL SKALL STUDIO I FORBINDELSE MED TRANSAKTION

22/10/2019

Synch har assisteret SKALL STUDIO i forbindelse med transaktion. Tobias Kisum har ledet transaktionen.

MEMORANDUM THE CLOUD ACT
Nyheder

Mandeep Singh Rathour interviewet af K-News

17/10/2019

K-News sætter fokus på, at advokatbranchen er præget af en traditionel tilgang og en manglende evne til at omstille forretningsgangene til en ny digital virksomhed tilpasset den yngre generations behov. I denne forbindelse er Mandeep Singh Rathour interviewet om advokatbranchen og bl.a. hvordan Synch har fokus på digital forretning.

Pressemeddelelse

Synch og FDIH har samarbejdet om at udvikle et digitalt værktøj, der forsimpler udarbejdelse og tilretning af handelsbetingelser

16/10/2019

Synch har udviklet et digitalt værktøj til FDIH (Forening for Dansk Internethandel). Det giver e-handlerne mulighed for effektivt at udarbejde handelsbetingelser, der lever op til lovgivningen.

Nyheder/GDPR

EU-domstolen fastslår: Anvendelse af cookies kræver aktivt samtykke

04/10/2019

EU-domstolen har den 1. oktober 2019 fastslået, at et samtykke, der indhentes ved et forudafkrydset felt, ikke er gyldigt, da der kræves en aktiv handling fra brugeren.

SynchWakeup/events

SYNCHWAKEUP: PRAKTISK DATABESKYTTELSE – HVAD ER STATUS SIDEN 25. MAJ 2018?

03/10/2019

SynchWakeup: Praktisk databeskyttelse – Hvad er status siden 25. maj 2018 afholdes den 29. oktober fra kl. 9:00-12:00.