Det danske datatilsyn har indstillet virksomheden IDdesign til en bøde på 1,5 millioner danske kroner efter et tilsynsbesøg. Virksomheden er blevet politianmeldt for manglende sletning af oplysninger om ca. 385.000 kunder.

Endnu en gang slår Datatilsynet ned på virksomheders håndtering af reglerne for sletning af personoplysninger. Vi så det tidligere på året i sagen med et taxaselskab, der blev indstillet til en bøde på 1,2 millioner danske kroner.

Datatilsynet var i efteråret 2018 på tilsynsbesøg hos IDdesign med fokus på sletning af personoplysninger efter databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Ved tilsynet konkluderer Datatilsynet: 

  1. At virksomheden ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i system har behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.
  2. At virksomheden ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger.
  3. At virksomheden ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.
  4. At virksomheden ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

Punkt 1 er grundlaget for tilsynets indgivelse af en politianmeldelse og Datatilsynet udtaler desuden kritik af virksomheden i forhold til punkterne 2-4, som vedrører manglende fastlæggelse og dokumentation af slettefrister og -procedurer samt manglende overholdelse af fastsatte slettefrister. 

data

Bech-Bruuns kommentar
Denne sag vedrører et af de tilsyn, som Datatilsynet gennemførte i efteråret 2018, hvor tilsynet  udsendte spørgeskemaer og herefter foretog tilsynsbesøg hos en række virksomheder. 

Tilsynet har offentliggjort spørgeskemaerne, som også omtales i afgørelsen. 

Datatilsynet følger med sine konklusioner den linje, som er blevet fastlagt ved sagen om taxaselskabet. Tilsynets forventninger til virksomhedernes dokumentation, herunder slettepolitikker er høje og virksomhederne skal kunne dokumentere, at egne politikker for behandling af personoplysninger følges. 

De sager, hvor Datatilsynet har indstillet til bøde, skal behandles af domstolene, som i sidste ende afgør størrelsen af en eventuel bøde. Rigsadvokatens meddelelse fra 25. maj 2018 slår fast, at sager om overtrædelse af databeskyttelseslovgivningen ikke må afgøres med bødeforelæg, før sanktionsniveauet er tilstrækkelig afklaret i retspraksis.

Datatilsynet fortsætter sine tilsynsaktiviteter på en række områder i 2019. Her kan du se temaerne, som Datatilsynet fokuserer på i det første halvår. 

Bech-Bruun yder bistand til virksomheder i relation til Datatilsynets tilsynsbesøg og efterfølgende behandling og fastlæggelse af sanktion.

Bech-Bruuns eksperter i persondataret har bl.a. udført en række test-tilsyn, såkaldte mock tilsyn, hvor virksomheder frivilligt underkaster sig et tilsyn fra Bech-Bruun, der foregår på samme måde, som et rigtigt tilsyn fra Datatilsynet. 

Du er velkommen til at kontakte os, hvis du er interesseret i at få foretaget et mock tilsyn eller ønsker øvrig bistand.