Manglende sletning får Datatilsynet til at hive bødeblokken frem for bogforlag
Danmarks største forlag gemte hundredtusindvis af medlemmers oplysninger i en passiv database i over et årti efter de havde udmeldt sig. Virksomheden havde hverken procedurer eller retningslinjer på plads for sletning i databasen. Det var en så grundlæggende overtrædelse af databeskyttelsesreglerne, at Datatilsynet politianmeldte virksomheden og indstillede til en bøde på 1 million kr.
På et tilsynsbesøg hos et stort bogforlag opdagede Datatilsynet, at oplysninger om cirka 685.000 udmeldte medlemmer af virksomhedens bogklubber stadig var i en database. Størstedelen af oplysningerne havde været i databasen i mere end 10 år efter, at medlemmet havde udmeldt sig af bogklubben.
Datatilsynet måtte i samme omgang konstatere, at der hverken var interne procedurer eller retningslinjer på plads for, hvordan oplysningerne skulle slettes i den passive database.
Sletning af unødvendige data er et grundlæggende princip
Oplysninger skal løbende slettes, for at der ikke sker opbevaring i længere tid end nødvendigt. For at kunne sikre det, er det nødvendigt at have faste procedurer på plads, for at oplysninger enten slettes eller anonymiseres, når der ikke længere er et grundlag for opbevaring.
Millionbøden blev af Datatilsynet derfor også opgjort efter, at virksomheden havde brudt de mest grundlæggende databehandlingsprincipper om opbevaringsbegrænsning og ansvarlighed. Samtidig blev der taget højde for, at der var tale om et meget stort antal medlemmers oplysninger. Der var heller ikke tale om en enkelt fejl men et helt grundlæggende internt problem, fordi oplysningerne blev opbevaret med vilje.
Bøden blev dog heller ikke større, da Datatilsynet samtidig tog med i sin vurdering, at virksomheden havde været samarbejdsvillig, og at kun to ansatte havde haft adgang til den passive database.
IUNO mener
Datatilsynets bøde er i den høje ende. Det stemmer dog helt overens med, at virksomhedens brud på reglerne vedrørte to helt grundlæggende behandlingsprincipper. Datatilsynets bødeindstilling bekræfter dermed også klart, hvor vigtigt det er at have sletteprocedurer på plads. Vi har tidligere skrevet om et brud på slettereglerne som udløste en bøde på 10 millioner kr., her.
IUNO anbefaler, at virksomheder løbende fører kontrol med, at slettefrister bliver overholdt og at processen for sletning bliver dokumenteret. Derudover bør medarbejdere, som behandler oplysningerne, også sættes godt ind i retningslinjerne for at sikre, at reglerne bliver overholdt som led i det daglige arbejde.
[Datatilsynets politianmeldelse af Gyldendal A/S af 22. juni 2022]
På et tilsynsbesøg hos et stort bogforlag opdagede Datatilsynet, at oplysninger om cirka 685.000 udmeldte medlemmer af virksomhedens bogklubber stadig var i en database. Størstedelen af oplysningerne havde været i databasen i mere end 10 år efter, at medlemmet havde udmeldt sig af bogklubben.
Datatilsynet måtte i samme omgang konstatere, at der hverken var interne procedurer eller retningslinjer på plads for, hvordan oplysningerne skulle slettes i den passive database.
Sletning af unødvendige data er et grundlæggende princip
Oplysninger skal løbende slettes, for at der ikke sker opbevaring i længere tid end nødvendigt. For at kunne sikre det, er det nødvendigt at have faste procedurer på plads, for at oplysninger enten slettes eller anonymiseres, når der ikke længere er et grundlag for opbevaring.
Millionbøden blev af Datatilsynet derfor også opgjort efter, at virksomheden havde brudt de mest grundlæggende databehandlingsprincipper om opbevaringsbegrænsning og ansvarlighed. Samtidig blev der taget højde for, at der var tale om et meget stort antal medlemmers oplysninger. Der var heller ikke tale om en enkelt fejl men et helt grundlæggende internt problem, fordi oplysningerne blev opbevaret med vilje.
Bøden blev dog heller ikke større, da Datatilsynet samtidig tog med i sin vurdering, at virksomheden havde været samarbejdsvillig, og at kun to ansatte havde haft adgang til den passive database.
IUNO mener
Datatilsynets bøde er i den høje ende. Det stemmer dog helt overens med, at virksomhedens brud på reglerne vedrørte to helt grundlæggende behandlingsprincipper. Datatilsynets bødeindstilling bekræfter dermed også klart, hvor vigtigt det er at have sletteprocedurer på plads. Vi har tidligere skrevet om et brud på slettereglerne som udløste en bøde på 10 millioner kr., her.
IUNO anbefaler, at virksomheder løbende fører kontrol med, at slettefrister bliver overholdt og at processen for sletning bliver dokumenteret. Derudover bør medarbejdere, som behandler oplysningerne, også sættes godt ind i retningslinjerne for at sikre, at reglerne bliver overholdt som led i det daglige arbejde.
[Datatilsynets politianmeldelse af Gyldendal A/S af 22. juni 2022]
