Møbelfirma indstillet til bøde

Dato: 11-06-2019

Datatilsynet har politianmeldt IDdesign A/S og indstillet virksomheden til en bøde på 1,5 mio kr. for manglende sletning af oplysninger om ca. 385.000 kunder.

I efteråret 2018 var Datatilsynet på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet.

Ingen slettefrister

Forud for tilsynsbesøget havde IDdesign sendt en oversigt over de systemer, som virksomheden anvender til behandling af personoplysninger. IDdesign oplyste i den forbindelse, at der i enkelte IDEmøbler-butikker fortsat anvendes et ældre system, som ellers er erstattet af et nyere system i de andre butikker, og at der i det gamle system behandles oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Under tilsynsbesøget oplyste IDdesign endvidere, at der ikke er fastsat slettefrister i dette system, hvorfor personoplysninger i det gamle system aldrig er blevet slettet.

Derfor indstilles der til bøde

Det fremgår af databeskyttelsesforordningen, at personoplysninger skal opbevares, så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

IDdesign har ikke forholdt sig til, hvornår personoplysninger i det gamle system ikke længere er nødvendige til de formål, hvortil de behandles, og har dermed ikke fastlagt hvilke frister, der skal gælde for sletning af de personoplysninger, der behandles i systemet.

Datatilsynet finder derfor, at IDdesign ikke har overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden har behandlet personoplysningerne længere end nødvendigt.

Hvis du vil vide mere

Du kan læse selve udtalelsen i sagen her.

Du kan læse Datatilsynets vejledende tekst om sletning her.

Journalister kan kontakte Datatilsynets presseansvarlige Anders Due (40 41 30 23 / ad@datatilsynet.dk)

Opdatering

Sådan er det gået med sagen

Virksomheden blev dømt for forholdet ved byretten, men blev idømt en lavere bøde end indstillet. Dommen er nu anket til landsretten, og afventer en præjudiciel forelæggelse for EU-domstolen.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR