DA
Teknologi

Manglende sletning får Datatilsynet til at hive bødeblokken frem for bogforlag

logo
Juranyt
calendar 18. august 2022
globus Danmark

Danmarks største forlag gemte hundredtusindvis af medlemmers oplysninger i en passiv database i over et årti efter de havde udmeldt sig. Virksomheden havde hverken procedurer eller retningslinjer på plads for sletning i databasen. Det var en så grundlæggende overtrædelse af databeskyttelsesreglerne, at Datatilsynet politianmeldte virksomheden og indstillede til en bøde på 1 million kr.

På et tilsynsbesøg hos et stort bogforlag opdagede Datatilsynet, at oplysninger om cirka 685.000 udmeldte medlemmer af virksomhedens bogklubber stadig var i en database. Størstedelen af oplysningerne havde været i databasen i mere end 10 år efter, at medlemmet havde udmeldt sig af bogklubben.

Datatilsynet måtte i samme omgang konstatere, at der hverken var interne procedurer eller retningslinjer på plads for, hvordan oplysningerne skulle slettes i den passive database.

Sletning af unødvendige data er et grundlæggende princip

Oplysninger skal løbende slettes, for at der ikke sker opbevaring i længere tid end nødvendigt. For at kunne sikre det, er det nødvendigt at have faste procedurer på plads, for at oplysninger enten slettes eller anonymiseres, når der ikke længere er et grundlag for opbevaring.

Millionbøden blev af Datatilsynet derfor også opgjort efter, at virksomheden havde brudt de mest grundlæggende databehandlingsprincipper om opbevaringsbegrænsning og ansvarlighed. Samtidig blev der taget højde for, at der var tale om et meget stort antal medlemmers oplysninger. Der var heller ikke tale om en enkelt fejl men et helt grundlæggende internt problem, fordi oplysningerne blev opbevaret med vilje.

Bøden blev dog heller ikke større, da Datatilsynet samtidig tog med i sin vurdering, at virksomheden havde været samarbejdsvillig, og at kun to ansatte havde haft adgang til den passive database.

IUNO mener

Datatilsynets bøde er i den høje ende. Det stemmer dog helt overens med, at virksomhedens brud på reglerne vedrørte to helt grundlæggende behandlingsprincipper. Datatilsynets bødeindstilling bekræfter dermed også klart, hvor vigtigt det er at have sletteprocedurer på plads. Vi har tidligere skrevet om et brud på slettereglerne som udløste en bøde på 10 millioner kr., her.

IUNO anbefaler, at virksomheder løbende fører kontrol med, at slettefrister bliver overholdt og at processen for sletning bliver dokumenteret. Derudover bør medarbejdere, som behandler oplysningerne, også sættes godt ind i retningslinjerne for at sikre, at reglerne bliver overholdt som led i det daglige arbejde.

[Datatilsynets politianmeldelse af Gyldendal A/S af 22. juni 2022]

På et tilsynsbesøg hos et stort bogforlag opdagede Datatilsynet, at oplysninger om cirka 685.000 udmeldte medlemmer af virksomhedens bogklubber stadig var i en database. Størstedelen af oplysningerne havde været i databasen i mere end 10 år efter, at medlemmet havde udmeldt sig af bogklubben.

Datatilsynet måtte i samme omgang konstatere, at der hverken var interne procedurer eller retningslinjer på plads for, hvordan oplysningerne skulle slettes i den passive database.

Sletning af unødvendige data er et grundlæggende princip

Oplysninger skal løbende slettes, for at der ikke sker opbevaring i længere tid end nødvendigt. For at kunne sikre det, er det nødvendigt at have faste procedurer på plads, for at oplysninger enten slettes eller anonymiseres, når der ikke længere er et grundlag for opbevaring.

Millionbøden blev af Datatilsynet derfor også opgjort efter, at virksomheden havde brudt de mest grundlæggende databehandlingsprincipper om opbevaringsbegrænsning og ansvarlighed. Samtidig blev der taget højde for, at der var tale om et meget stort antal medlemmers oplysninger. Der var heller ikke tale om en enkelt fejl men et helt grundlæggende internt problem, fordi oplysningerne blev opbevaret med vilje.

Bøden blev dog heller ikke større, da Datatilsynet samtidig tog med i sin vurdering, at virksomheden havde været samarbejdsvillig, og at kun to ansatte havde haft adgang til den passive database.

IUNO mener

Datatilsynets bøde er i den høje ende. Det stemmer dog helt overens med, at virksomhedens brud på reglerne vedrørte to helt grundlæggende behandlingsprincipper. Datatilsynets bødeindstilling bekræfter dermed også klart, hvor vigtigt det er at have sletteprocedurer på plads. Vi har tidligere skrevet om et brud på slettereglerne som udløste en bøde på 10 millioner kr., her.

IUNO anbefaler, at virksomheder løbende fører kontrol med, at slettefrister bliver overholdt og at processen for sletning bliver dokumenteret. Derudover bør medarbejdere, som behandler oplysningerne, også sættes godt ind i retningslinjerne for at sikre, at reglerne bliver overholdt som led i det daglige arbejde.

[Datatilsynets politianmeldelse af Gyldendal A/S af 22. juni 2022]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat

Lignende

logo
Teknologi

22. september 2022

Datatilsynet tester virksomheders brug af cloud-løsninger

logo
Teknologi

8. september 2022

Hackerangreb bliver dyrt for advokatfirma

logo
Teknologi

16. juni 2022

Uheldig softwareopdatering gav tusinder af ansatte adgang til jobansøgninger

logo
Teknologi

2. juni 2022

Tilsidesat oplysningspligt over for aktionær var brud på databeskyttelsesreglerne

logo
Teknologi

19. maj 2022

Fratrådt medarbejders overdrevne indsigtsanmodning kunne godt afvises

logo
Teknologi

5. maj 2022

Datatilsynet har indstillet bank til bøde på 10 millioner kr. for brud på sletteregler

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokat