Gyldendal indstilles til bøde

Dato: 22-06-2022

Datatilsynet anmelder Gyldendal til politiet og indstiller til en bøde på 1.000.000 kr. for at opbevare oplysninger om 685.000 bogklub-medlemmer længere tid end nødvendigt.

På baggrund af et tilsynsbesøg hos Gyldendal A/S har Datatilsynet anmeldt virksomheden til politiet og indstillet til en bøde på 1.000.000 kr. På tilsynsbesøget kom det frem, at oplysninger om ca. 685.000 udmeldte medlemmer af Gyldendals bogklubber blev opbevaret i længere tid, end der var behov for.

I stedet for at slette oplysninger om udmeldte medlemmer af bogklubberne opbevarede Gyldendal oplysningerne i en såkaldt ”passiv database”. Oplysninger om ca. 395.000 af de tidligere medlemmer var blevet opbevaret i mere end 10 år efter, de havde meldt sig ud af bogklubberne. Gyldendal havde ingen procedurer eller retningslinjer for sletning af oplysninger i den passive database.

Efter tilsynsbesøget slettede Gyldendal alle oplysningerne i den passive database og oplyste til Datatilsynet, at det efter virksomhedens vurdering fremover ville være nødvendigt at opbevare oplysninger om udmeldte medlemmer i op til seks år.

”Et af de helt grundlæggende principper er, at man ikke skal opbevare folks oplysninger længere, end det er nødvendigt. I dette tilfælde mener vi, at en bødestraf er passende, fordi det drejer sig om rigtig mange danskeres oplysninger, der er blevet opbevaret uden noget sagligt formål i meget lang tid,” forklarer Ditte Yde Amsnæs, kontorchef i Datatilsynet.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved vurderingen af, at der bør idømmes en bøde, har Datatilsynet lagt vægt på, at overtrædelsen vedrører to grundlæggende principper for behandling af personoplysninger – principperne om ”opbevaringsbegrænsning” og ”ansvarlighed” – og berører et meget stort antal registrerede. Datatilsynet har endvidere lagt vægt på, at der ikke er tale om en enkeltstående fejl, men et grundlæggende problem. Datatilsynet har endvidere i skærpende retning lagt vægt på, at overtrædelsen efter tilsynets vurdering er begået forsætligt.

I formildende retning har Datatilsynet bl.a. lagt vægt på, at Gyldendal har ageret særdeles samarbejdsvillig, og at der ifølge Gyldendal kun var to medarbejdere, der havde adgang til den passive database.

Vil du vide mere om reglerne?

Læs mere om de grundlæggende principper.

Læs mere om sletning.

Pressehenvendelser om sagen kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Fakta

Bødestraffe for brud på GDPR

Det fremgår af GDPR, at tilsynsmyndighederne skal kunne give bøder ved brud på databeskyttelsesreglerne. En bøde skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

I de fleste europæiske lande kan de nationale datatilsyn selv udstede administrative bøder, men reglerne er anderledes i bl.a. Danmark. Her fungerer det på den måde, at Datatilsynet efter at have belyst og vurderet sagen politianmelder den dataansvarlige. Herefter undersøger politiet, om der er grundlag for at rejse en sigtelse mv., og endelig vil en eventuel bødestraf blive afgjort ved en domstol.

Offentlige myndigheder

Det er nationalt reguleret, om det skal være muligt at give bøder til offentlige myndigheder. I Danmark har man fastsat i databeskyttelsesloven, at offentlige myndigheder skal kunne straffes på samme måde som private aktører. Bødelofterne for alle offentlige myndigheder er dog lavere end dem, der gælder private virksomheder.

Se oversigt over GDPR-bøder her.