DA
Teknologi

Manglende overholdelse af lagringsperioder resulterede i en bøde på 1,75 millioner

logo
Juranyt
calendar 9 september 2021
globus Danmark, Sverige, Norge

Efter et tilsynsbesøg kom det franske datatilsyn frem til, at et stort forsikringsselskab opbevarede persondata i længere perioder, end de havde fastsat. Selvom virksomheden efterfølgende vedtog en række tiltag for at sikre overholdelse af databeskyttelsesreglerne, udløste virksomhedens manglende overholdelse med nogle af reglernes mest grundlæggende forpligtelser alligevel en høj bøde.

Et stort forsikringsselskab havde ifølge det franske datatilsyn opbevaret persondata i en længere periode, end de havde angivet. Selv om virksomheden efterfølgende havde vedtaget en række overholdelsesforanstaltninger, medførte dens overtrædelse af databeskyttelsesreglerne en betydelig bøde.

Ifølge det såkaldte opbevaringsbegrænsningsprincip, må persondata ikke blive opbevaret længere end nødvendigt. Det betyder blandt andet, at det er nødvendigt at overveje, hvad formålet med dataopbevaringen er. Derudover bør virksomheder udarbejde en lagringspolitik, der så vidt muligt beskriver standard lagringsperioder. I sagen fandt det franske datatilsyn, at et stort forsikringsselskab, som var en del af en koncern med omkring 15 millioner kunder, havde opbevaret persondata længere end de angivne lagringsperioder. Selv om virksomheden havde en politik herom, var den ikke blevet implementeret i deres IT-system. Virksomheden havde konsekvent opbevaret potentielle kunders data længere end den maksimale periode på tre år og havde i visse tilfælde opbevaret oplysningerne i op til fem år. Virksomheden havde opbevaret eksisterende kunders data længere end den maksimale opbevaringsperiode på fem år efter endt kontrakt. De eksisterende kunders data omfattede blandt andet følsomme helbredsoplysninger og havde i visse tilfælde været opbevaret i op til 30 år.

Udover overtrædelse af opbevaringsbegrænsningsprincippet, havde virksomheden heller ikke overholdt sine informationsforpligtelser. De to overtrædelser udgjorde til sammen et så stort brud på de gældende databeskyttelsesregler, at det resulterede i en bøde på 1,75 millioner euro.

Hvordan fastsættes passende lagringsperioder?

Selv om data bliver indsamlet og behandlet lovligt, må det ikke blive opbevaret længere end nødvendigt. Ved at sikre effektive sletninger eller anonymiseringer i overensstemmelse med opbevaringspolitikker, kan virksomheder reducere risikoen for, at oplysningerne bliver unødvendige, forældede eller forkerte.

Når passende lagringsperioder skal fastsættes, bør de gældende forældelses- og bogføringsregler blive anvendt til at fastsætte den maksimale lovlige tidsperiode. Det vil i de fleste situationer medføre, at virksomheder kan opbevare data i tre til fem år, mens andre kategorier af data, som overvågningsmateriale og jobansøgninger, kun kan blive opbevaret i meget kortere perioder. Det betyder, at lagringsperioder i stort omfang vil afhænge af hvilket lovlige grundlag, der blev anvendt til at behandle oplysningerne i første omgang.

IUNO mener

Når virksomheder udarbejder lagringspolitikker, bør virksomheder grundigt overveje formålet med at opbevare oplysningerne. Derudover bør virksomheder bruge et mere vagt sprog til at fastsætte, at data bliver opbevaret så længe, det er nødvendigt, og bruge mere detaljeret information, der systematisk definerer perioderne for sletninger eller anonymiseringer.

IUNO anbefaler, at virksomheder også overvejer formålet med indsamlingen af data i første omgang, idet det anvendte lovlige grundlag til et vist punkt kan hjælpe med at fastsætte strømlinede opbevaringsperioder. For eksempel bør data som blev behandlet på grundlag af samtykke blive slettet, når samtykket bliver trukket tilbage, medmindre et andet lovligt grundlag kan blive anvendt i stedet.

[Afgørelse af det franske datatilsyns begrænsede komité i sag 2021-010 af 20. juli 2021]

Et stort forsikringsselskab havde ifølge det franske datatilsyn opbevaret persondata i en længere periode, end de havde angivet. Selv om virksomheden efterfølgende havde vedtaget en række overholdelsesforanstaltninger, medførte dens overtrædelse af databeskyttelsesreglerne en betydelig bøde.

Ifølge det såkaldte opbevaringsbegrænsningsprincip, må persondata ikke blive opbevaret længere end nødvendigt. Det betyder blandt andet, at det er nødvendigt at overveje, hvad formålet med dataopbevaringen er. Derudover bør virksomheder udarbejde en lagringspolitik, der så vidt muligt beskriver standard lagringsperioder. I sagen fandt det franske datatilsyn, at et stort forsikringsselskab, som var en del af en koncern med omkring 15 millioner kunder, havde opbevaret persondata længere end de angivne lagringsperioder. Selv om virksomheden havde en politik herom, var den ikke blevet implementeret i deres IT-system. Virksomheden havde konsekvent opbevaret potentielle kunders data længere end den maksimale periode på tre år og havde i visse tilfælde opbevaret oplysningerne i op til fem år. Virksomheden havde opbevaret eksisterende kunders data længere end den maksimale opbevaringsperiode på fem år efter endt kontrakt. De eksisterende kunders data omfattede blandt andet følsomme helbredsoplysninger og havde i visse tilfælde været opbevaret i op til 30 år.

Udover overtrædelse af opbevaringsbegrænsningsprincippet, havde virksomheden heller ikke overholdt sine informationsforpligtelser. De to overtrædelser udgjorde til sammen et så stort brud på de gældende databeskyttelsesregler, at det resulterede i en bøde på 1,75 millioner euro.

Hvordan fastsættes passende lagringsperioder?

Selv om data bliver indsamlet og behandlet lovligt, må det ikke blive opbevaret længere end nødvendigt. Ved at sikre effektive sletninger eller anonymiseringer i overensstemmelse med opbevaringspolitikker, kan virksomheder reducere risikoen for, at oplysningerne bliver unødvendige, forældede eller forkerte.

Når passende lagringsperioder skal fastsættes, bør de gældende forældelses- og bogføringsregler blive anvendt til at fastsætte den maksimale lovlige tidsperiode. Det vil i de fleste situationer medføre, at virksomheder kan opbevare data i tre til fem år, mens andre kategorier af data, som overvågningsmateriale og jobansøgninger, kun kan blive opbevaret i meget kortere perioder. Det betyder, at lagringsperioder i stort omfang vil afhænge af hvilket lovlige grundlag, der blev anvendt til at behandle oplysningerne i første omgang.

IUNO mener

Når virksomheder udarbejder lagringspolitikker, bør virksomheder grundigt overveje formålet med at opbevare oplysningerne. Derudover bør virksomheder bruge et mere vagt sprog til at fastsætte, at data bliver opbevaret så længe, det er nødvendigt, og bruge mere detaljeret information, der systematisk definerer perioderne for sletninger eller anonymiseringer.

IUNO anbefaler, at virksomheder også overvejer formålet med indsamlingen af data i første omgang, idet det anvendte lovlige grundlag til et vist punkt kan hjælpe med at fastsætte strømlinede opbevaringsperioder. For eksempel bør data som blev behandlet på grundlag af samtykke blive slettet, når samtykket bliver trukket tilbage, medmindre et andet lovligt grundlag kan blive anvendt i stedet.

[Afgørelse af det franske datatilsyns begrænsede komité i sag 2021-010 af 20. juli 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
HR-jura Corporate Teknologi

22. oktober 2021

Ny vejledning om whistleblowerordninger

logo
Teknologi

7. oktober 2021

Ferie ingen undskyldning for forsinket underretning om sikkerhedsbrud

logo
Teknologi

23. september 2021

Datatilsynets whistleblowerordning er på vej

logo
Teknologi

19. august 2021

Storbritannien er nu et ”sikkert tredjeland” for persondataoverførsler

logo
HR-jura Corporate Teknologi

25. juni 2021

Lov om beskyttelse af whistleblowere vedtaget

logo
HR-jura Corporate Teknologi

17. juni 2021

Hvor længe kan virksomheder opbevare oplysninger om jobansøgere?

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat