Politianmeldelse af IDdesign A/S og indstilling til millionbøde efter GDPR

Datatilsynet har politianmeldt IDdesign A/S og indstillet virksomheden til en bøde på 1,5 mio. kr. for manglende sletning af personoplysninger om ca. 385.000 kunder.
Nyhed
IT og Teknologi

I efteråret 2018 var Datatilsynet på tilsynsbesøg hos IDdesign, hvor Datatilsynet bl.a. undersøgte, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet. IDdesign A/S er hovedselskab for møbelkæderne ILVA, IDEmøbler og IDdesign.

Hovedårsager til bødeindstilling

Datatilsynet har nu offentliggjort sin afgørelse, hvor Datatilsynet udtaler alvorlig kritik af IDdesign og indstiller virksomheden til en bøde på 1,5 mio. kr. for ikke at have overholdt databeskyttelsesforordningens krav om opbevaringsbegrænsning og sletning ved at have behandlet personoplysninger længere end nødvendigt.

Datatilsynet har derfor politianmeldt til Østjyllands politi, og derfra iværksættes den almindelige straffeproces.

Hovedårsager til Datatilsynets bødeindstilling og alvorlig kritik er:

  • Manglende sletning af personoplysninger – virksomheden har ifølge Datatilsynet behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet
  • Manglende stillingtagen til- og dokumentation af slettefrister
  • Manglende dokumentation af procedurer for opfølgning på sletning

Lund Elmer Sandagers kommentarer

Datatilsynets afgørelse viser, i tråd med Datatilsynets tidligere afgørelser, at det er centralt, at virksomheder forholder sig til opbevaringsperioder og slettefrister for personoplysninger – og at virksomhederne efterlever slettefristerne.

Det er også værd at notere sig, at et særskilt kritikpunkt i afgørelsen er den manglende (dokumenterede) stillingtagen til, hvornår personoplysninger i et givent system skal slettes. Det bekræfter vigtigheden af, at virksomhederne løbende forholder sig til de opbevaringsperioder og slettefrister, som virksomhederne opstiller, og at virksomhederne dokumenterer de vurderinger, som foretages undervejs.

En anden vigtig ”læring” fra afgørelsen er, at man ikke nødvendigvis kan regne med, at personoplysninger lagret i et gammelt system, som en virksomhed udfaser eller udskifter, slettes samtidig med udfasningen af det gamle system. Der er formentlig mange virksomheder, der har personoplysninger lagret i ældre systemer, som virksomhederne kun i meget begrænset omfang, eller måske slet ikke, bruger længere. Ikke desto mindre bliver man altså holdt ansvarlig for, at personoplysninger lagret i disse systemer slettes i overensstemmelse med virksomhedens opstillede slettefrister.

Sletning af personoplysninger bør derfor være et særskilt opmærksomhedspunkt i forbindelse med ”sunsetting” af IT-systemer, overgang fra ét IT-system til et andet mv.  

Læs mere om Datatilsynets indstilling her.

Læs mere om vores rådgivning om GDPR og persondataret her.

Ønsker du rådgivning om GDPR og persondataret og har brug for hjælp til at sikre, at du overholder reglerne, er du altid velkommen til at kontakte Lund Elmer Sandagers erfarne GDPR specialister Torsten Hylleberg på 33 300 252 / thy@les.dk eller Anders Linde Reislev på 33 300 296 / alr@les.dk, der rådgiver om alle aspekter af persondatalovgivningen.