Tilsyn med IDdesigns behandling af personoplysninger

Dato: 03-06-2019
Afgørelse Private virksomheder Alvorlig kritik Tilsyn / egendriftssag Grundlæggende principper

Datatilsynet har politianmeldt IDdesign A/S og indstillet virksomheden til en bøde på 1,5 mio kr. for manglende sletning af oplysninger om ca. 385.000 kunder.

Journalnummer 2018-41-0015

Resume

I efteråret 2018 var Datatilsynet på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet.

Forud for tilsynsbesøget havde IDdesign sendt en oversigt over de systemer, som virksomheden anvender til behandling af personoplysninger. IDdesign oplyste i den forbindelse, at der i tre selvstændige, samhandlende IDEmøbler-butikker fortsat anvendes et ældre system, som ellers er erstattet af et nyere system i de andre butikker. IDdesign oplyste under tilsynsbesøget, at der i det gamle system behandles oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik.

IDdesign havde ikke forholdt sig til, hvornår personoplysninger i det gamle system ikke længere er nødvendige til de formål, hvortil de behandles, og har dermed ikke fastlagt hvilke frister, der skal gælde for sletning af de personoplysninger, der behandles i systemet.

Datatilsynet finder derfor, at IDdesign ikke har overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden har behandlet personoplysningerne længere end nødvendigt.

Afgørelse

IDdesign var blandt de virksomheder, som Datatilsynet i efteråret 2018 udvalgte til tilsyn efter databeskyttelsesloven[1] og databeskyttelsesforordningen[2].

Datatilsynets planlagte tilsyn med IDdesign fokuserede navnlig på sletning af personoplysninger efter databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Efter anmodning fra Datatilsynet havde IDdesign inden tilsynsbesøget udfyldt et spørgeskema for hver af de af Datatilsynet udvalgte systemer, hvori der behandles personoplysninger, og indsendt disse sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 8. oktober 2018.

På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:

  1. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.

  2. At IDdesign ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger.

  3. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.

  4. At IDdesign ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

I forhold til punkt 1 har Datatilsynet dags dato indgivet politianmeldelse af IDdesign til Østjyllands Politi. Kopi af politianmeldelsen vedlægges til orientering.

Herudover finder Datatilsynet i forhold til punkt 2-4 samlet set grundlag for at udtale alvorlig kritik af, at IDdesign ikke har efterlevet databeskyttelsesforordningens krav.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

Ad punkt 1:  Manglende sletning af personoplysninger i AX 2.5

Et af de systemer, hvori IDdesign behandler personoplysninger, er AX 2.5. Systemet er et ERP system[3], og det er forgængeren til AX 2012, som nu anvendes af virksomheden. AX 2.5 blev udfaset i perioden 21. marts til 9. juli 2015.

IDdesigns nuværende ERP-system AX 2012 var – modsat AX 2.5 – et af de 7 systemer, som Datatilsynet udvalgte til gennemgang i forbindelse med sit tilsynsbesøg. Dette skyldtes bl.a., at IDdesign havde oplyst over for Datatilsynet, at IDdesign var databehandler – og ikke dataansvarlig – for så vidt angår oplysningerne i AX 2.5.

Efter tilsynsbesøget har IDdesign dog oplyst over for Datatilsynet, at virksomheden er dataansvarlig for den behandling af personoplysninger, der finder sted i AX 2.5 i forbindelse med opslag i fakturaer udstedt til IDdesigns kunder i relation til kundesager/reklamationer samt i tilfælde af evt. spørgsmål fra SKAT.

I forbindelse med tilsynsbesøget har IDdesign over for Datatilsynet oplyst, at der i systemet AX 2.5 behandles oplysninger om kunders navn, adresse, telefonnummer, e-mail og købshistorik.

Adspurgt om AX 2.5 har IDdesign under tilsynsbesøget oplyst, at virksomheden ikke har fastlagt slettefrister for de personoplysninger, der er opbevaret i AX 2.5, og i øvrigt aldrig har foretaget sletning af personoplysninger i systemet.

Endelig har IDdesign over for Datatilsynet oplyst, at kundens telefonnummer anvendes som kunde-id, og ud over telefonnummeret opbevares kundens navn, adresse, e-mail og købshistorik.

IDdesign har tillige oplyst, at der på tidspunktet for tilsynsbesøget blev opbevaret 823.178 ”kunde-id’er” i AX 2.5, og at de ældste personoplysninger stammer fra den 1. april 2010. Ifølge IDdesign er det kundens telefonnummer, der anvendes som kunde-id, og ud over telefonnummeret opbevares kundens navn, adresse, e-mail og købshistorik i tilknytning til kunde-id’et.

Endvidere har IDdesign efterfølgende redegjort for de pågældende kunde-id’er i AX 2.5. Heraf fremgår det, at 430.100 kunde-id’er fortsat behandles som følge af den retlige forpligtelse i henhold til bogføringslovens § 10, og at 448 øvrige kunde-id’er stadig behandles, da kunderne fortsat har et mellemværende med IDdesign.

Endelig har IDdesign oplyst, at de resterende 392.630 kunde-id’er er blevet slettet fra AX 2.5 i perioden fra 12. december 2018 til 31. januar 2019.

Da det er kundens telefonnummer, der anvendes som kunde-id, har IDdesign gjort opmærksom på, at der kan forekomme dubletter, hvorfor det reelle antal registrerede vil være en smule lavere.

Idet sletning af de 392.630 kunde-id’er allerede var foretaget, da Datatilsynet adspurgte herom, kunne IDdesign ikke oplyse det præcise antal dubletter. Dog kunne virksomheden oplyse, at der blandt de 430.548 tilbageværende kunde-id’er var 1,48% dubletter, hvilket betyder, at der fortsat behandles oplysninger om 424.192 registrerede i AX 2.5.

Datatilsynet lægger herefter til grund, at der blandt de 392.630 slettede kunde-id’er procentuelt var samme antal dubletter, altså 1,48%, og tilsynet konkluderer derfor, at IDdesign opbevarede oplysninger om cirka 385.000 tidligere kunders navn, adresse, telefonnummer, e-mail og købshistorik, som er informationer om en identificerbar fysisk person, jf. databeskyttelsesforordningens art. 4, stk. 1, nr. 1.                      

Det er Datatilsynets opfattelse, at IDdesigns behandling af kunders personoplysninger i forbindelse med de cirka 385.000 tidligere kunde-id’er ikke er i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvoraf det fremgår, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Det bemærkes i den forbindelse, at IDdesign selv har vurderet, at oplysningerne skulle slettes fra systemet.

Ad punkt 2:  Manglende stillingstagen til- og dokumentation af slettefrister i AX 2.5

Af databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, følger det, at den dataansvarlige skal kunne påvise, at det ikke har været muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Som nævnt har IDdesign oplyst, at virksomheden ikke har fastlagt frister for sletning af personoplysninger i AX 2.5, og i øvrigt aldrig har foretaget sletning af personoplysninger i systemet.

At tage stilling til hvornår de indsamlede og registrerede personoplysninger ikke længere er nødvendige til de formål, hvortil de behandles, og dermed hvornår oplysningerne skal slettes fra systemerne, er det første og mest basale skridt mod at etablere korrekte og velfungerende procedurer for sletning af personoplysninger.

Det er derfor Datatilsynets opfattelse, at IDdesign ikke har levet op til kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet IDdesign ikke har fastlagt og dokumenteret frister for sletning af personoplysninger i AX 2.5.

Ad punkt 3:  Manglende sletning af personoplysninger i AX 2012

Forud for tilsynsbesøget fremsendte IDdesign et udfyldt spørgeskema vedrørende virksomhedens behandling af personoplysninger i AX 2012, det nye ERP system, som IDdesign i perioden 21. marts til 9. juli 2015 implementerede som erstatning til AX 2.5.

Af spørgeskemaet fremgår det, at personoplysninger i AX 2012 slettes afhængig af hvilken kategori, de er inddelt i. For så vidt angår kategorien ’Kunder’ har IDdesign oplyst, at der behandles oplysninger om de kunder, der har handlet hos virksomheden i form af deres salgsordre, hvor der også fremgår deres kundedata.

IDdesign har oplyst, at personoplysninger i kategorien ’Kunder’ anonymiseres efter 912 dage, svarende til reklamationsretten på 2½ år. IDdesign har desuden bemærket, at der tilbydes ½ års udvidet reklamation i forhold til købeloven, og at der er 25 års garanti på nogle produkter, men at fristen er fastlagt på 2½ år af hensyn til begrænsning af de behandlede personoplysninger.

Adspurgt herom har IDdesign i spørgeskemaet forud for tilsynsbesøget oplyst, at sletning af personoplysninger i AX 2012, efter de fastlagte slettefrister, foregår automatisk i systemet via batch jobs, der afvikles månedligt.

Under tilsynsbesøget ønskede Datatilsynet at undersøge, om slettefristerne var overholdt i forhold til behandling af oplysninger om kunder i AX 2012. Hertil oplyste IDdesign, at sletteprocedurerne endnu ikke var implementeret på tidspunktet for tilsynsbesøget, men ville blive det i de følgende dage, hvorfor der ville findes oplysninger om kunder i AX 2012, som havde overskredet fristen for sletning på 912 dage.

IDdesign har efterfølgende oplyst, at den automatiserede sletteprocedure blev implementeret få dage efter tilsynsbesøget.

Det er Datatilsynets opfattelse, at IDdesign – idet virksomheden ikke har efterlevet de frister for sletning af personoplysninger om kunder, som virksomheden selv har fastlagt – ikke har levet op til kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvoraf det fremgår, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Datatilsynet har i sin vurdering lagt vægt på, at der – med udgangspunkt i, at personoplysninger er indført i AX 2012 fra senest den 9. juli 2015 – er tale om en forholdsvis kort periode på maksimalt 275 dage, hvor de pågældende oplysninger – på tidspunktet for tilsynsbesøget den 8. oktober 2018 – havde overskredet slettefristen på 912 dage.

Ad punkt 4:  Manglende dokumentation af procedurer for opfølgning på sletning i systemerne YoungCRM og Timeplan

Datatilsynet har i forbindelse med tilsynsbesøget hos IDdesign bl.a. gennemgået procedurer for sletning af personoplysninger i virksomhedens rekrutteringssystem YoungCRM og virksomhedens HR system Timeplan.

IDdesign har forud for tilsynsbesøget oplyst, at sletning i de to systemer foretages manuelt ud fra de fastlagte slettefrister.

Datatilsynet har under tilsynsbesøget spurgt IDdesign, hvordan virksomheden følger op på, at de sletninger, der foretages i systemerne, er udført korrekt og som forventet.

For så vidt angår YoungCRM har IDdesign oplyst, at der foretages et månedligt dobbelttjek af, at der ikke findes oplysninger, som burde have været slettet.

For så vidt angår Timeplan har IDdesign oplyst, at der udføres et tilsvarende dobbelttjek, når der er blevet foretaget sletninger i systemet.

Adspurgt herom, har IDdesign i forhold til både YoungCRM og Timeplan oplyst, at der ikke findes nedskrevne procedurer for opfølgning på sletning af personoplysninger, men at der er tale om faste processer, som skal indskrives i de eksisterende procedurer.

For at leve op til sine forpligtelser efter databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, skal den dataansvarlige fastlægge og dokumentere procedurer for opfølgning på, at sletning af personoplysninger er foretaget korrekt og som forventet.

Det er derfor Datatilsynets opfattelse, at IDdesign ikke har levet op til kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet IDdesign ikke har dokumenteret virksomhedens procedurer for opfølgning på sletning af personoplysninger i YoungCRM og Timeplan.

Konklusion

På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:

  1. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om op i mod 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.

  2. At IDdesign ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i har fastlagt og dokumenteret frister for sletning af personoplysninger.

  3. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.

  4. At IDdesign ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

I forhold til punkt 1 har Datatilsynet dags dato indgivet politianmeldelse af IDdesign til Østjyllands Politi.

Herudover finder Datatilsynet i forhold til punkt 2-4 samlet set grundlag for at udtale alvorlig kritik af, at IDdesign ikke har efterlevet databeskyttelsesforordningens krav.

 

[1] Lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til forordning om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesloven).

[2] Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse).

[3] Et ERP (Enterprise Ressource Planning) system er et system, der samler forskellige processer som f.eks. indkøb og lagerstyring.