fbpx

Dansk virksomhed idømt bøde for manglende sletning af personoplysninger

Dansk virksomhed idømt bøde for manglende sletning af personoplysninger

Dansk virksomhed idømt bøde for manglende sletning af personoplysninger

Del artiklen

En møbelkæde er blevet idømt bødestraf for ulovligt at have opbevaret 350.000 kundeoplysninger. Sagen er den første af sin art, og vil som prøvesag få betydning for lignende sager fremover.

Sagen imod møbelkæden Ilva A/S blev rejst på baggrund af et tilsynsbesøg i 2018, hvor Datatilsynet fandt grundlag for at politianmelde virksomheden for ulovligt at behandle oplysninger om 350.000 kunders navn, adresse, e-mail og købshistorik.

Møbelkæden havde ikke fastlagt frister og procedurer for sletning af personoplysningerne, og de havde dermed heller ikke forholdt sig til, hvornår oplysningerne ikke længere var nødvendige at beholde til de tiltænkte formål. Dette fandt Datatilsynet i strid med GDPR-reglerne, og de indstillede møbelkæden til en bøde på kr. 1,5 millioner.

Første danske GDPR-sag ved domstolene

Retten fandt, at Ilva A/S ulovligt havde opbevaret data om 350.000 kunder. Retten fandt det dog alene bevist, at overtrædelsen var uagtsom, og at det var sket ved en forglemmelse. Derudover fandt retten, at det var formildende omstændigheder, at det var en førstegangsovertrædelse, at der var tale om almindelige personoplysninger, og at ingen af de registrerede havde lidt nogen skade.

Dette skulle ifølge retten udløse en bøde på kr. 100.000 – altså en del lavere end det beløb som Datatilsynet og anklagemyndigheden havde lagt op til.

Dommen ankes

Derfor har anklagemyndigheden nu valgt at anke dommen til landsretten. Byretten havde fastsat bødens størrelse med udgangspunkt i Ilvas omsætning, men anklagemyndigheden mener derimod, at bøden bør fastsættes ud fra omsætningen i hele Jysk-koncernen, som Ilva er en del af, og som er betydeligt større.

Anklagemyndigheden fastholder således et krav om bødestraf på kr. 1,5 millioner, imens Ilva går efter frifindelse.

Har I styr på slettefristerne?

Datatilsynet støder jævnligt på forseelser vedrørende manglende sletning.

Læs f.eks.: Manglende sletning af persondata kan koste hotelkæde dyrt og Sag om taxaselskabs manglende sletning af personoplysninger skal nu for retten.

Alle sagerne er eksempler på, hvor vigtigt det er, at virksomheder har styr på frister og procedurer for sletning af persondata.

Hør Gabriel L. Martiny fortælle mere om slettefrister i denne Spotcast:

6 gode råd om sletning

Datatilsynet har lavet en liste med gode råd om sletning af persondata:

  • Tag stilling til slettefrister for de forskellige personoplysninger, der behandles med baggrund i behandlingens formål
  • Dokumenter de fastsatte slettefrister
  • Vær opmærksom på lovmæssige krav, som kan påvirke slettefristerne – f.eks. bogføringsloven eller hvidvaskloven
  • Fastlæg og dokumenter en procedure for sletning
  • Fastlæg og dokumenter en procedure for opfølgning på, at sletning forløber som forventet
  • Tænk sletning ind i behandlingen, så behandlingen indrettes således, at eventuelle forskellige slettefrister kan opfyldes på en hensigtsmæssig måde, i forhold til det system der anvendes

Læs Datatilsynets vejledning om sletning af data her: Sletning af personoplysninger.

Hvis du har brug for hjælp til at udforme en sletteprocedure, er du naturligvis velkommen til at kontakte os.

Har du spørgsmål?

Hvis du har spørgsmål til artiklen, er du velkommen til at kontakte os via nedenstående kontaktformular.

Del artiklen

Del artiklen med dit netværk