Gyldendal indstilles til bøde

Dato: 22-06-2022
Afgørelse Private virksomheder Politianmeldelse Tilsyn / egendriftssag Grundlæggende principper

Datatilsynet anmelder Gyldendal til politiet og indstiller til en bøde på 1.000.000 kr. for at opbevare oplysninger om 685.000 bogklub-medlemmer længere tid end nødvendigt.

På baggrund af et tilsynsbesøg hos Gyldendal A/S har Datatilsynet anmeldt virksomheden til politiet og indstillet til en bøde på 1.000.000 kr. På tilsynsbesøget kom det frem, at oplysninger om ca. 685.000 udmeldte medlemmer af Gyldendals bogklubber blev opbevaret i længere tid, end der var behov for.

I stedet for at slette oplysninger om udmeldte medlemmer af bogklubberne opbevarede Gyldendal oplysningerne i en såkaldt ”passiv database”. Oplysninger om ca. 395.000 af de tidligere medlemmer var blevet opbevaret i mere end 10 år efter, de havde meldt sig ud af bogklubberne. Gyldendal havde ingen procedurer eller retningslinjer for sletning af oplysninger i den passive database.

Efter tilsynsbesøget slettede Gyldendal alle oplysningerne i den passive database og oplyste til Datatilsynet, at det efter virksomhedens vurdering fremover ville være nødvendigt at opbevare oplysninger om udmeldte medlemmer i op til seks år.

”Et af de helt grundlæggende principper er, at man ikke skal opbevare folks oplysninger længere, end det er nødvendigt. I dette tilfælde mener vi, at en bødestraf er passende, fordi det drejer sig om rigtig mange danskeres oplysninger, der er blevet opbevaret uden noget sagligt formål i meget lang tid,” forklarer Ditte Yde Amsnæs, kontorchef i Datatilsynet.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved vurderingen af, at der bør idømmes en bøde, har Datatilsynet lagt vægt på, at overtrædelsen vedrører to grundlæggende principper for behandling af personoplysninger – principperne om ”opbevaringsbegrænsning” og ”ansvarlighed” – og berører et meget stort antal registrerede. Datatilsynet har endvidere lagt vægt på, at der ikke er tale om en enkeltstående fejl, men et grundlæggende problem. Datatilsynet har endvidere i skærpende retning lagt vægt på, at overtrædelsen efter tilsynets vurdering er begået forsætligt.

I formildende retning har Datatilsynet bl.a. lagt vægt på, at Gyldendal har ageret særdeles samarbejdsvillig, og at der ifølge Gyldendal kun var to medarbejdere, der havde adgang til den passive database.

Vil du vide mere om reglerne?

Læs mere om de grundlæggende principper.

Læs mere om sletning.

Pressehenvendelser om sagen kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR