Endnu en millionbøde for manglende efterlevelse af GDPR

GDPR: Datatilsynet har politianmeldt IDdesign A/S og indstillet til en bøde på 1,5 mio. kr.

Datatilsynet har i juni offentliggjort endnu en afgørelse om overtrædelse af databeskyttelsesreglerne. Denne gang er det virksomheden IDdesign A/S, der på baggrund af et tilsynsbesøg er blevet politianmeldt og indstillet til en bøde på 1,5 mio. kr. for manglende sletning af oplysninger om ca. 385.000 kunder.

Det er blot anden gang efter databeskyttelsesreglernes (GDPR) ikrafttrædelse 25. maj sidste år, at Datatilsynet indstiller en dansk virksomhed til en bøde i millionklassen for manglende overholdelse af et af de grundlæggende databeskyttelsesprincipper, nemlig sletteforpligtelsen.

Med den seneste politianmeldelse og bødeindstilling bliver det endnu engang fastslået, at princippet om opbevaringsbegrænsning (sletteforpligtelsen) omfatter alle personoplysninger, som den dataansvarlige behandler – også oplysninger man har opbevaret i ældre systemer.

Datatilsynet udtalte samtidig en alvorlig kritik over, at virksomheden ikke havde dokumenterede procedurer, der forholdte sig til reelle slettefrister.

Den seneste afgørelse med politianmeldelse kommer i kølvandet på en lignende sag, hvor selskabet Taxa 4×35 i marts måned ligeledes blev politianmeldt og indstillet til en bøde på 1,2 mio. kr. ligeledes for manglende overholdelse af det grundlæggende databeskyttelsesprincip om opbevaringsbegrænsning (sletning).

Det fremgår meget klart af de to sager, at Datatilsynet i tråd med deres udmeldte tilsynsstrategi har haft særligt fokus på virksomhedernes efterlevelse af princippet om opbevaringsbegrænsning.

Datatilsynet afgørelse kan læses her

Behandler I personoplysninger i jeres virksomhed, og har I brug for hjælp til at fastsætte konkrete slettefrister, så kan vi hos Kielberg Advokater hjælpe jer med at få et overblik over, hvilke personoplysninger I behandler, og hvor længe I lovligt kan behandle dem.

Om Forfatteren

Nis Stemann Knudsen
Marie-Louise Uglebjerg Hansen