Fremdrift

Indtast dit søgeord

Endnu en millionbøde i Danmark for overtrædelse af GDPR

Julie Gerdes
25. oktober, 2019

    Sociale medier

Siden den nye databeskyttelsesforordning (GDPR) trådte kraft den 25. maj 2018 har vi i Danmark ventet på afgørelser fra det danske Datatilsyn, som kunne give nogle retningslinjer for, om vi i Danmark også kan forvente de samme millionbøder som vi har set i udlandet det seneste år.

I skrivende stund har Datatilsynet nu indstillet to virksomheder til millionbøder på henholdsvis 1,2 mio. kr. og 1,5 mio. kr.:

  • I marts 2019 politianmeldte Datatilsynet Taxa 4×35 og indstillede selskabet til en bøde på 1,2 mio. kr. for en overtrædelse af GDPR-reglerne.
  • Nu har Datatilsynet politianmeldt endnu en virksomhed IDdesign A/S og indstillet virksomheden til en bøde på 1,5 mio. kr.

 

Millionbøder i resten af EU

De danske bøder er i tråd med millionbøderne, der allerede er givet i resten af EU for brud på GDPR-reglerne, og det er forventeligt, at Datatilsynet nu holder den linje.

Det er hele essensen i GDPR-reglerne, at forordningen skal have en effektiv og afskrækkende virkning. Derfor er det heller ikke nogen overraskelse, at bødeniveauet kommer til at ligge højere end hidtil. Sagerne viser med al tydelighed, at alle, der behandler personoplysninger, virkelig skal tage de her regler alvorligt.

Taxa sagen kort

Datatilsynet valgte at indstille Taxa 4×35 til en millionbøde for manglende sletning af kundernes oplysninger. Efter Datatilsynets vurdering blev knap 9 mio. personhenførbare taxature gemt uden et sagligt formål.

Sagen udsprang af, at Datatilsynet i efteråret 2018 var på et tilsynsbesøg hos Taxa 4×35, hvor der bl.a. blev set på, om taxaselskabet havde fastsat frister for sletning af kundernes oplysninger – og om fristerne blev efterlevet.

Telefonnummer først slettet efter 5 år

Kundens navn blev slettet efter to år – men ikke kundens telefonnummer. Oplysninger om kundens taxature (herunder opsamlings- og afleveringsadresser) kunne derfor fortsat henføres til en fysisk person via telefonnummeret, som først blev slettet efter fem år.

På tidspunktet for tilsynsbesøget var der registreret oplysninger om 8.873.333 personhenførbare taxature, som var ældre end to år.

Grunden til, at telefonnummeret ikke blev slettet var ifølge taxaselskabet, at nummeret er nøglen til systemets database og derfor er nødvendigt i forhold til virksomhedens produkt- og forretningsudvikling.

Datatilsynet udtalte imidlertid, at man ikke kan fastsætte en slettefrist, som er tre år længere end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne i databeskyttelsesforordningen.

Datatilsynets direktør Cristina Angela Gulisano udtalte i forbindelse med afgørelsen, at baggrunden for bøden til Taxa 4×35 var, at ”der er tale om meget store mængder personoplysninger, der er blevet gemt uden et sagligt formål. Ét af grund-principperne på databeskyttelsesområdet er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes med det samme.”

IDdesign sagen kort

ERP-systemet hos IDdesign A/S blev i 2015 udskiftet fra AX 2.5 til AX2012, men tre selvstændige butikker anvendte fortsat AX 2.5, hvor kundens navn, telefon-nummer, adresse, e-mail og købshistorik blev opbevaret.

IDdesign A/S havde ikke fastlagt slettefrister og havde i øvrigt aldrig foretaget sletning af personoplysninger i AX 2.5. Dermed var der i systemet samlet oplysninger om ca. 823.000 personer, hvoraf de ældste stammede fra 2010.

Datatilsynet udtalte, at ca. 385.000 personoplysninger var blevet behandlet i en længere periode end nødvendigt til de formål, som oplysningerne oprindeligt var indsamlet og behandlet til. På den baggrund indstillede Datatilsynet selskabet til en bøde på 1,5 mio. kr. for manglende sletning af personoplysninger.

Dokumentation for kontrol skal sikres

Sagerne viser, at det er meget afgørende, at man som organisation kan fremlægge nødvendig dokumentation af de GDPR-relaterede indsatser. Man skal kunne fremvise organisationens defence-file, når et brud sker. På den måde vil man bedre kunne tale bødens størrelse ned.

Det er særlig den dokumentation, som volder aktørerne massive problemer. Det er for eksempel ikke nok, at der ligger en data-behandleraftale i skuffen. Man skal derimod aktivt sikre sig samt føre kontrol med, at de databehandlere, der behandler data på ens vegne, gør det på en sikkerhedsmæssig forsvarlig måde – og det skal man kunne dokumentere.

Personda-taforordningen kræver således, at man selv fører kontrol med sin organisation regelmæssigt, så det bliver en årligt tilbagevendende begivenhed på linje med en revision.

Andre relevante artikler

Kontakt

Er du interesseret i vores ydelser? Vil du lave en forespørgsel? Kontakt os via nedenstående formular og vi vender tilbage så snart vi kan. Du kan også kontakte et lokalt kontor.

Abonner på EY's nyhedsbreve

EY udgiver en række nyhedsbreve, der er relevante for små og mellemstore virksomheder. Nyhedsbrevene er gratis og indeholder korte artikler, der beskriver aktuelle lovkrav og udfordringer, samt fakta og inspiration til virksomhedsejere, direktører, økonomichefer m.fl. Du tilmelder dig via nedenstående link.

Få nyheder fra EY

Vil du have hjælp?

Hvordan kan du udvikle din virksomhed?

Vi har lang erfaring med de udfordringer, som du og din virksomhed står overfor - uanset om der er tale om revision, regnskab, skat eller anden rådgivning.