Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Manglende overholdelse af lagringsperioder resulterede i en bøde på 1,75 millioner

IUNO
10/09/2021
Manglende overholdelse af lagringsperioder resulterede i en bøde på 1,75 millioner
IUNO logo
Europa-Kommissionen har nu godkendt Storbritannien som sikkert tredjeland at overføre persondata til. Det betyder, at virksomheder frit kan overføre persondata dertil. Vi ser i nyhedsbrevet nærmere på, hvad virksomheder skal være opmærksomme på i forbindelse med internationale dataoverførsler, uanset om overførsel sker til et sikkert tredjeland eller ej.

Et stort forsikringsselskab havde ifølge det franske datatilsyn opbevaret persondata i en længere periode, end de havde angivet. Selv om virksomheden efterfølgende havde vedtaget en række overholdelsesforanstaltninger, medførte dens overtrædelse af databeskyttelsesreglerne en betydelig bøde.


Ifølge det såkaldte opbevaringsbegrænsningsprincip, må persondata ikke blive opbevaret længere end nødvendigt. Det betyder blandt andet, at det er nødvendigt at overveje, hvad formålet med dataopbevaringen er. Derudover bør virksomheder udarbejde en lagringspolitik, der så vidt muligt beskriver standard lagringsperioder.

I sagen fandt det franske datatilsyn, at et stort forsikringsselskab, som var en del af en koncern med omkring 15 millioner kunder, havde opbevaret persondata længere end de angivne lagringsperioder. Selv om virksomheden havde en politik herom, var den ikke blevet implementeret i deres IT-system. Virksomheden havde konsekvent opbevaret potentielle kunders data længere end den maksimale periode på tre år og havde i visse tilfælde opbevaret oplysningerne i op til fem år. Virksomheden havde opbevaret eksisterende kunders data længere end den maksimale opbevaringsperiode på fem år efter endt kontrakt. De eksisterende kunders data omfattede blandt andet følsomme helbredsoplysninger og havde i visse tilfælde været opbevaret i op til 30 år.


Udover overtrædelse af opbevaringsbegrænsningsprincippet, havde virksomheden heller ikke overholdt sine informationsforpligtelser. De to overtrædelser udgjorde til sammen et så stort brud på de gældende databeskyttelsesregler, at det resulterede i en bøde på 1,75 millioner euro.


Hvordan fastsættes passende lagringsperioder?

Selv om data bliver indsamlet og behandlet lovligt, må det ikke blive opbevaret længere end nødvendigt. Ved at sikre effektive sletninger eller anonymiseringer i overensstemmelse med opbevaringspolitikker, kan virksomheder reducere risikoen for, at oplysningerne bliver unødvendige, forældede eller forkerte.


Når passende lagringsperioder skal fastsættes, bør de gældende forældelses- og bogføringsregler blive anvendt til at fastsætte den maksimale lovlige tidsperiode. Det vil i de fleste situationer medføre, at virksomheder kan opbevare data i tre til fem år, mens andre kategorier af data, som overvågningsmateriale og jobansøgninger, kun kan blive opbevaret i meget kortere perioder. Det betyder, at lagringsperioder i stort omfang vil afhænge af hvilket lovlige grundlag, der blev anvendt til at behandle oplysningerne i første omgang.


IUNO mener

Når virksomheder udarbejder lagringspolitikker, bør virksomheder grundigt overveje formålet med at opbevare oplysningerne. Derudover bør virksomheder bruge et mere vagt sprog til at fastsætte, at data bliver opbevaret så længe, det er nødvendigt, og bruge mere detaljeret information, der systematisk definerer perioderne for sletninger eller anonymiseringer.


IUNO anbefaler, at virksomheder også overvejer formålet med indsamlingen af data i første omgang, idet det anvendte lovlige grundlag til et vist punkt kan hjælpe med at fastsætte strømlinede opbevaringsperioder. For eksempel bør data som blev behandlet på grundlag af samtykke blive slettet, når samtykket bliver trukket tilbage, medmindre et andet lovligt grundlag kan blive anvendt i stedet.

Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
IUNO logo
København
Njalsgade 19C, 3
2300 København S
53 74 27 00
communication@iuno.law
Stockholm
Grev Turegatan 30
114 38 Stockholm
Oslo
Tollbugata 8
0152 Oslo
Gratis Nyhedsservice
Gå ikke glip af vigtig juridisk viden
Vær den første til at modtage relevante juridiske nyheder inden for dine interesseområder
Tilmeld dig nu
Fagligt indhold, der kunne være relevante for dig
Tredjelandsoverførsler og den nye aftale med USA
Jurainfo Exclusive logo
PODCAST
Tredjelandsoverførsler og den nye aftale med USA
Vi sætter fokus på overførsel af personoplysninger til usikre tredjelande, herunder overførsler til USA baseret på den nye aftale mellem EU og USA.
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Jurainfo logo
EXCLUSIVE
VIDEO
Hvornår må du udsende nyhedsbreve og tilbud til dine kunder?
Det kræver et markedsføringssamtykke fra dine kunder, hvis du ønsker at udsende nyhedsmail, sms'er eller på anden måde kontakte dem med gode tilbud. Advokat, Torsten Hylleberg, kommer her nærmere ind på hvad du skal være opmærksom på i forbindelse med indhentelse af markedsføringssamtykker.
4 år med GDPR
Jurainfo Exclusive logo
PODCAST
4 år med GDPR
Hvordan ligger landet 4 år efter ikrafttrædelsen af Databeskyttelsesforordningen?
Artikler, der kunne være relevante for dig
EDPB har vedtaget en vejledning om interesseafvejningsreglen
EDPB har vedtaget en vejledning om interesseafvejningsreglen
21/10/2024
Persondata
Ret til indsigt i oplysninger på utilsigtet modtager
Ret til indsigt i oplysninger på utilsigtet modtager
11/11/2024
Persondata
Meta giver brugerne flere valgmuligheder
Meta giver brugerne flere valgmuligheder
18/11/2024
Persondata
Kommune får kritik for deres sikkerhedsprocedurer
Kommune får kritik for deres sikkerhedsprocedurer
19/11/2024
Persondata, Compliance
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
Datatilsynet anmelder Lyngby-Taarbæk Kommune til politiet
29/11/2024
Persondata
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
Status på Datatilsynets spørgsmål til Rigspolitiet om brug af ansigtsgenkendelse
06/12/2024
Persondata
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted