Endnu en virksomhed risikerer millionbøde for ikke at slette oplysninger
Datatilsynet besøgte møbelkædens hovedkontor i efteråret 2018. Møbelvirksomheden anvendte et ældre it-system i enkelte af sine butikker, og i det system blev der gemt oplysninger om ca. 385.000 kunder – heriblandt købshistorik, navn, adresse, telefonnummer og emailadresse. Oplysningerne burde have været slettet efter en vis tidsfrist, men sådan en frist fandtes ikke i det ældre it-system.
I databeskyttelsesforordningen fremgår det, at personoplysninger skal opbevares, så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil oplysningerne behandles.
Derfor har Datatilsynet altså valgt at indstille virksomheden til en bøde.
”Det er anden gang inden for få måneder, vi ser Datatilsynet indstille en virksomhed til en millionbøde for netop at undlade at slette oplysninger om kunder. Det er begge tydelige eksempler på Datatilsynets væsentlige skærpelse af sanktionsniveauet efter den nye forordnings ikrafttræden. Grakom opfordrer derfor alle medlemsvirksomheder til at have fokus på at få slettet personoplysninger, når det ikke længere er nødvendigt at opbevare oplysningerne,” siger Grakoms advokat, Peter Balle.
Store bøder
Han hæfter sig ved, at den indstillede bøde er på hele 1,5 millioner kroner – væsentligt højere, end man har set i tilsvarende sager fra før, EU's dataforordning trådte i kraft.
”GDPR har hævet bødeniveauet betragteligt i forhold til tidligere, uden tvivl for at sende et signal om, at virksomhederne skal tage databeskyttelse dybt seriøst. Det, vi ser nu, er, at Datatilsynet har taget forordningens høje bødeniveau til sig. Virksomheder, der ikke overholder forordningen, løber altså en stor økonomisk risiko.”
