Millionbøde for manglende sletning af personoplysninger

I forlængelse af et tilsynsbesøg hos et dansk forlag har Datatilsynet anmeldt virksomheden til politiet og indstillet til en bøde på 1.000.000 kr. efter, at det på tilsynsbesøget stod klart, at oplysninger om ca. 685.000 udmeldte bogklubs-medlemmer blev opbevaret i længere tid, end der var behov for.

I stedet for at slette oplysninger om udmeldte medlemmer af bogklubberne opbevarede forlaget oplysningerne i en såkaldt ”passiv database”. Oplysninger om ca. 395.000 af de tidligere medlemmer var blevet opbevaret i mere end 10 år efter, de havde meldt sig ud af bogklubberne. Forlaget havde ingen procedurer eller retningslinjer for sletning af oplysninger i den passive database.

Efter tilsynsbesøget slettede forlaget alle oplysningerne i den passive database og oplyste til Datatilsynet, at det efter virksomhedens vurdering fremover ville være nødvendigt at opbevare oplysninger om udmeldte medlemmer i op til seks år.

Datatilsynet har lagt vægt på, at overtrædelsen vedrører to grundlæggende principper for behandling af personoplysninger – principperne om ”opbevaringsbegrænsning” og ”ansvarlighed” – og berører et meget stort antal registrerede. Datatilsynet har endvidere lagt vægt på, at der ikke er tale om en enkeltstående fejl, men et grundlæggende problem. Datatilsynet har endvidere i skærpende retning lagt vægt på, at overtrædelsen efter tilsynets vurdering er begået forsætligt.

I formildende retning har Datatilsynet bl.a. lagt vægt på, at forlaget har ageret særdeles samarbejdsvillig, og at der ifølge forlaget kun var to medarbejdere, der havde adgang til den passive database.