Møbelfirma politianmeldt for manglende sletning

Møbelfirma politianmeldt for manglende sletning

Et møbelfirma fik i efteråret 2018 besøg af Datatilsynet. Virksomheden har ifølge Datatilsynet ulovligt behandlet oplysninger om 385.000 kunder. Møbelfirmaet er blevet anmeldt til politiet, og Datatilsynet har indstillet en bøde på 1,5 millioner kroner.

Men hvad kan du egentlig bruge det til? Improvento har læst afgørelsen og giver dig de vigtigste pointer.

Baggrund for anmeldelsen

I efteråret 2018 var Datatilsynet på tilsynsbesøg hos et møbelfirma. Datatilsynet genemgik bl.a. syv IT-systemer med henblik på, om der var fastsat slettefrister for behandlinger af personoplysninger, og om der var beskrevet procedurer for sletning.

Herunder blev der set på et gammelt system, hvor der blev behandlet personoplysninger på 385.000 kunder, bl.a. navn, adresse, telefonnummer, e-mail og købshistorik. Virksomheden havde ikke forholdt sig til, hvornår personoplysningerne ikke længere er relevante, i forhold til det formål hvortil de pågældende oplysninger blev behandlet. Der var altså ikke fastsat slettefrister i det pågældende system, og derfor blev personoplysninger aldrig slettet. Virksomheden har altså ikke overholdt databeskyttelsesforordningens krav om sletning, idet personoplysningerne blev behandlet længere end nødvendigt.

Opsummering

Datatilsynet har indgivet politianmeldelse fordi:

  • Virksomheden har behandlet personoplysninger i en længere periode end nødvendigt.

Datatilsynet har udtalt alvorlig kritik fordi:

  • Virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger.
  • Virksomheden fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.
  • Virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

Dette er uddybet yderligere nedenfor.

Punkt 1 – Manglende sletning

Datatilsynet gennemgik virksomhedens ERP-system, bl.a. fordi virksomheden indledningsvis havde oplyst sig som databehandler, ikke dataansvarlig. Dette rettede virksomheden efter tilsynsbesøget.

På tidspunktet for tilsynsbesøget blev der opbevaret 823.178 kunde-ID’er. I forhold til personoplysningerne i ERP-systemet var der ikke fastsat slettefrister, og derfor var der aldrig foretaget sletning i systemet, hvilket strider imod databeskyttelsesforordningen. Derudover havde virksomheden selv vurderet, at oplysningerne skulle slettes fra systemet.

Punkt 2 – Manglende stillingtagen til- og dokumentation af slettefrister

Virksomheden havde ikke taget stilling til, hvornår de registrerede personoplysninger ikke længere er nødvendige til det formål, hvortil de behandles. Dermed var der heller ikke taget stilling til, hvornår oplysningerne skulle slettes fra systemerne. Virksomheden havde derfor ikke levet op til databeskyttelsesforordningens krav, idet der ikke var nogen fastlagte frister for sletning af persondata, og der heller ikke var dokumentation af slettefrister.

Punkt 3 – Behandling efter nået slettefrist

Virksomheden behandlede personoplysninger vedrørende kunder. Disse blev anonymiseret efter 912 dage, hvilket svarer til reklamationsretten på 2½ år for at begrænse de behandlede personoplysninger. Sletning i systemet foregår automatisk på månedsbasis. På tidspunktet for tilsynsbesøget var sletteprocedurerne endnu ikke implementeret, men ville blive det i de følgende dage. Derfor var der på tidspunktet for tilsynsbesøget stadig personoplysninger på kunder, som havde overskredet fristen for sletning på 912 dage. Datatilsynet vurderede på denne baggrund, at virksomheden ikke havde overholdt databeskyttelsesforordningen, da slettefristerne ikke var blevet overholdt. Slettefristerne var dog kun blevet overskredet med en relativt kort periode på maksimalt 275 dage.

Punkt 4 – Manglende dokumentation af procedurer for opfølgning på sletning

Datatilsynet har ligeledes gennemgået procedurer for sletning i virksomhedens HR-system og rekrutteringssystem. Forud for besøget havde virksomheden oplyst, at sletning foretages manuelt ud fra fastlagte slettefrister. Til besøget spurgte Datatilsynet ind til sletteproceduren, hvordan det sikres, at sletning foretages korrekt og som forventet. Virksomheden foretog månedligt dobbelttjek af, at der ikke findes oplysninger, som bør være blevet slettet. Der fandtes dog ingen nedskrevne procedurer for opfølgning og sletning, der var blot tale om faste processer, som ikke var dokumenteret. Der var således ikke blevet dokumenteret procedurer for opfølgning og sletning af personoplysninger.

Vigtig læring

  • Ifølge databeskyttelsesforordningen skal personoplysninger opbevares, så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.
  • For at leve op til forpligtelserne skal de dataansvarlige fastlægge og dokumentere procedurer for opfølgning på, at sletning af personoplysninger er foretages korrekt og som forventet.

Konklusion

  • Du skal sikre dig, at personoplysninger ikke behandles i længere tid end nødvendigt.
  • Tag stilling til, hvornår personoplysninger skal slettes.
  • Dokumentér slettefrister og implementer sletteprocedurer.
  • Dokumentér procedurer for sletning.
  • Dokumentér procedurer for opfølgning på, om persondata er blevet slettet.
2019-06-26T13:17:34+01:00 June 26th, 2019|