En møbelkæde er blevet idømt bødestraf for ulovligt at have opbevaret 350.000 kundeoplysninger. Sagen er den første af sin art, og vil som prøvesag få betydning for lignende sager fremover.
Sagen imod møbelkæden Ilva A/S blev rejst på baggrund af et tilsynsbesøg i 2018, hvor Datatilsynet fandt grundlag for at politianmelde virksomheden for ulovligt at behandle oplysninger om 350.000 kunders navn, adresse, e-mail og købshistorik.
Møbelkæden havde ikke fastlagt frister og procedurer for sletning af personoplysningerne, og de havde dermed heller ikke forholdt sig til, hvornår oplysningerne ikke længere var nødvendige at beholde til de tiltænkte formål. Dette fandt Datatilsynet i strid med GDPR-reglerne, og de indstillede møbelkæden til en bøde på 1,5 millioner kr.
Første danske GDPR-sag ved domstolene
Retten fandt, at Ilva A/S ulovligt havde opbevaret data om 350.000 kunder. Retten fandt det dog alene bevist, at overtrædelsen var uagtsom, og at det var sket ved en forglemmelse. Derudover fandt retten, at det var formildende omstændigheder, at det var en førstegangsovertrædelse, at der var tale om almindelige personoplysninger, og at ingen af de registrerede havde lidt nogen skade.
Dette skulle ifølge retten udløse en bøde på 100.000 kr. – altså en del lavere end det beløb som Datatilsynet havde lagt op til.
Sagen vil danne grundlag for lignende sager
Sagen er en prøvesag, der kommer til at danne grundlag for lignende sager i fremtiden. Hos WTC advokaterne har vi en stærk forventning om, at dommen vil blive anket til landsretten, fordi størrelsen på bøden er så lav sammenlignet med det beløb, som Datatilsynet har indstillet.
Har I styr på slettefristerne?
Datatilsynet støder jævnligt på forseelser vedrørende manglende sletning, hvilket vi også har skrevet om tidligere: Manglende sletning af persondata kan koste hotelkæde dyrt og Sag om taxaselskabs manglende sletning af personoplysninger skal nu for retten.
Alle sagerne er eksempler på, hvor vigtigt det er, at virksomheder har styr på frister og procedurer for sletning af persondata.
6 gode råd om sletning
Datatilsynet har lavet en liste med gode råd om sletning af persondata:
- Tag stilling til slettefrister for de forskellige personoplysninger, der behandles med baggrund i behandlingens formål
- Dokumenter de fastsatte slettefrister
- Vær opmærksom på lovmæssige krav, som kan påvirke slettefristerne – f.eks. bogføringsloven eller hvidvaskloven
- Fastlæg og dokumenter en procedure for sletning
- Fastlæg og dokumenter en procedure for opfølgning på, at sletning forløber som forventet
- Tænk sletning ind i behandlingen, så behandlingen indrettes således, at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde, i forhold til det system der anvendes
Læs Datatilsynets vejledning om sletning af data her: Sletning af personoplysninger.
Hvis du har brug for hjælp til at udforme en sletteprocedure, er du naturligvis velkommen til at kontakte os.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at
kontakte mig.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
