Politianmeldelse af IDdesign A/S og indstilling til millionbøde efter GDPR

Datatilsynet har politianmeldt IDdesign A/S og indstillet virksomheden til en bøde på 1,5 mio. kr. for manglende sletning af personoplysninger om ca. 385.000 kunder.
Nyhed
IT og Teknologi

I efteråret 2018 var Datatilsynet på tilsynsbesøg hos IDdesign, hvor Datatilsynet bl.a. undersøgte, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet. IDdesign A/S er hovedselskab for møbelkæderne ILVA, IDEmøbler og IDdesign.

Hovedårsager til bødeindstilling

Datatilsynet har nu offentliggjort sin afgørelse, hvor Datatilsynet udtaler alvorlig kritik af IDdesign og indstiller virksomheden til en bøde på 1,5 mio. kr. for ikke at have overholdt databeskyttelsesforordningens krav om opbevaringsbegrænsning og sletning ved at have behandlet personoplysninger længere end nødvendigt.

Datatilsynet har derfor politianmeldt til Østjyllands politi, og derfra iværksættes den almindelige straffeproces.

Hovedårsager til Datatilsynets bødeindstilling og alvorlig kritik er:

  • Manglende sletning af personoplysninger – virksomheden har ifølge Datatilsynet behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet
  • Manglende stillingtagen til- og dokumentation af slettefrister
  • Manglende dokumentation af procedurer for opfølgning på sletning

Lund Elmer Sandagers kommentarer

Datatilsynets afgørelse viser, i tråd med Datatilsynets tidligere afgørelser, at det er centralt, at virksomheder forholder sig til opbevaringsperioder og slettefrister for personoplysninger – og at virksomhederne efterlever slettefristerne.

Det er også værd at notere sig, at et særskilt kritikpunkt i afgørelsen er den manglende (dokumenterede) stillingtagen til, hvornår personoplysninger i et givent system skal slettes. Det bekræfter vigtigheden af, at virksomhederne løbende forholder sig til de opbevaringsperioder og slettefrister, som virksomhederne opstiller, og at virksomhederne dokumenterer de vurderinger, som foretages undervejs.

En anden vigtig ”læring” fra afgørelsen er, at man ikke nødvendigvis kan regne med, at personoplysninger lagret i et gammelt system, som en virksomhed udfaser eller udskifter, slettes samtidig med udfasningen af det gamle system. Der er formentlig mange virksomheder, der har personoplysninger lagret i ældre systemer, som virksomhederne kun i meget begrænset omfang, eller måske slet ikke, bruger længere. Ikke desto mindre bliver man altså holdt ansvarlig for, at personoplysninger lagret i disse systemer slettes i overensstemmelse med virksomhedens opstillede slettefrister.

Sletning af personoplysninger bør derfor være et særskilt opmærksomhedspunkt i forbindelse med ”sunsetting” af IT-systemer, overgang fra ét IT-system til et andet mv.  

Læs mere om Datatilsynets indstilling her.

Læs mere om vores rådgivning om GDPR og persondataret her.

Ønsker du rådgivning om GDPR og persondataret og har brug for hjælp til at sikre, at du overholder reglerne, er du altid velkommen til at kontakte Lund Elmer Sandagers erfarne GDPR specialister Torsten Hylleberg på 33 300 252 / thy@les.dk eller Anders Linde Reislev på 33 300 296 / alr@les.dk, der rådgiver om alle aspekter af persondatalovgivningen.

Kontakt
Torsten Hylleberg
partner
advokat

Relaterede medarbejdere

Torsten er certificeret IT-advokat og højt specialiseret inden for persondataret, markedsføringsret og IT-ret.

Torsten Hylleberg

partner
advokat
Daniel er advokatfuldmægtig i vores afdeling for Corporate Commercial.

Daniel Benjamin Pedersen

advokatfuldmægtig

Relaterede nyheder

Se alle nyheder
Nyhed

AI-ekspert: “AI er en trussel for dem, der sidder på deres hænder.”

Hvordan kan du som leder bruge AI til at skabe vækst og innovation i din virksomhed? Det har vi spurgt AI-ekspert Thomas Terney om. Han mener, at generativ AI er en teknologi, der kommer til at ændre den måde, vi kommunikerer og arbejder på. Han kommer også med gode råd til, hvordan du som ledelse skal sikre succesfuld implementering af AI-værktøjer, som er en vital forudsætning for at forblive konkurrencedygtig i en verden, hvor udbredelse af AI sker i et hidtil uset tempo.
IT og Teknologi
Nyhed

Kan lovgivningen følge med AI?

Udbredelsen af AI-baserede tjenester som ChatGPT buldrer af sted, og det er nemt at se fordele ved den nye teknologi. Men kunstig intelligens rejser også mange nye juridiske udfordringer, som lovgivningen nu skal forholde sig til. Få et indblik i nogle af de aktuelle problematikker, og bliv klogere på EU's digitale strategi på området.
IT og Teknologi
Nyhed

Ny vejledning fra Da­ta­til­sy­net om direkte mar­keds­fø­ring

Datatilsynet har udgivet en ny vejledning om direkte markedsføring, som trådte i kraft den 30. juni 2023. Vejledningen er særligt for private virksomheder, der optræder som dataansvarlige. Nedenfor finder du en kort opsummering af den nye vejledning.
IT og Teknologi
Nyhed

Lund Elmer Sandager bidrager til International Comprative Legal Guide – Data Protection 2023

Lund Elmer Sandager har bidraget med et oplysende kapitel om GDPR (General Data Protection Regulation), der giver opdaterede indsigter i de danske juridiske regler om GDPR i denne prestigefyldte internationale vejledning.
IT og Teknologi
Nyhed

Europæiske virk­som­he­der kan igen overføre persondata sikkert til USA

EU-Kommissionen har den 10. juli 2023 besluttet, at EU-U.S. Data Protection Framework nu kan bruges til sikkert at overføre personoplysninger fra EU til USA. Sådanne overførsler kan derfor ske uden ekstra sikkerheds- eller beskyttelsesforanstaltninger ved brug af EU-U.S. Data Protection Framework.
IT og Teknologi
Nyhed

Hvordan indgår og frigør virksomheder sig af overenskomster?

Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat.
IT og Teknologi