Ny GDPR-bøde på 1,5 millioner kroner: Møbelfirma havde ikke slettet gamle kundedata

Sagen kort
I efteråret 2018 var Datatilsynet, som led i deres almindelige tilsyn, på tilsynsbesøg hos møbelvirksomheden IDdesign, hvor der bl.a. blev set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet.

Forud for tilsynsbesøget havde IDdesign sendt en oversigt over de systemer, som virksomheden anvender til behandling af personoplysninger. IDdesign oplyste i den forbindelse, at der i tre selvstændige, samhandlende IDEmøbler-butikker fortsat anvendes et ældre ERP-system, som ellers er erstattet af et nyere system i de andre butikker. Det gamle system behandlede oplysninger om ca. 385.000 kunder i form af navn, adresse, telefonnummer, e-mail og købshistorik.

Har du ikke brug for persondata så slet dem
Selv om det gamle ERP system var ved at blive udfaset, fandt Datatilsynet det problematisk, at IDdesign ikke havde forholdt sig til, hvornår personoplysninger i det gamle system ikke længere var nødvendige til de formål, hvortil de behandles, og dermed ikke havde fastlagt hvilke frister, der skulle gælde for sletning af de personoplysninger, der blev behandlet i systemet.

Datatilsynet fandt derfor, at IDdesign ikke havde overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden havde behandlet personoplysningerne længere end nødvendigt.

Virksomheder skal have en slettepolitik
Det er dog ikke nok, at man bare sletter persondata og påviser, at dette er sket. Det er også vigtigt, at virksomheden kan fremvise en slettepolitik, fordi det, at tage stilling til, hvornår de indsamlede og registrerede personoplysninger ikke længere er nødvendige til de formål, hvortil de behandles, og dermed hvornår oplysningerne skal slettes fra systemerne, er det første og mest basale skridt mod at etablere korrekte og velfungerende procedurer for sletning af personoplysninger. Slettepolitikken er typisk en del af virksomhedens generelle persondatapolitik, og det er altså der, hvor de registrerede bør kunne læse, hvornår deres data slettes.

• Læs mere om sletning i vejledningen fra Datatilsynet.
• Læs mere om sagen mod IDdesign her.

Bødeniveauet i Danmark skal ikke stikke af
Som ovenfor nævnt indstiller Datatilsynet, at anklagemyndigheden skal opkræve en bøde på 1,5 mio. kr. Om domstolene følger denne indstilling vides endnu ikke. I Dansk Erhverv håber vi på, at domstolene finder et passende niveau, således at bøderne ikke stikker helt af her til lands. Efter årtiers lempelige bødepolitik, ser vi ingen grund til, at Danmark lægger sig i overhalingsbanen, hvad angår bødestørrelser. Skeler vi eksempelvis til den tyske praksis, ser tingene helt anderledes ud. Indenfor det første år efter persondataforordningens ikrafttræden, er der i det land, som almindeligvis anses for at være persondatarettens vogter, blevet idømt bøder i ca. 75 sager med en sammenlagt bødesum på kun godt 450.000€. Dette svarer til et gennemsnit på 6.000,- € pr. sag. Den højeste enkeltbøde på 80.000,- € er indtil videre tilfaldet en offentlig instans – og vel og mærke for langt grovere forhold - nemlig sløseri med sundhedsdata.