24 jun. 2022
Ung kvinde sidder i sofa og læser i en stor bog

Millionbøde for manglende sletning af personoplysninger

Af Pernille Kristensen

Data Privacy Law, Senior Manager, Law, EY Denmark

Passioneret rådgiver med kommerciel forståelse. Indgående erfaring med databeskyttelse fra den private og offentlige sektor. Engageret og erfaren underviser.

24 jun. 2022
Relaterede emner Law

Forlag er blevet politianmeldt og indstillet til millionbøde for at opbevare oplysninger om medlemmer i længere tid end nødvendigt.

I forlængelse af et tilsynsbesøg hos et dansk forlag har Datatilsynet anmeldt virksomheden til politiet og indstillet til en bøde på 1.000.000 kr. efter, at det på tilsynsbesøget stod klart, at oplysninger om ca. 685.000 udmeldte bogklubs-medlemmer blev opbevaret i længere tid, end der var behov for.

I stedet for at slette oplysninger om udmeldte medlemmer af bogklubberne opbevarede forlaget oplysningerne i en såkaldt ”passiv database”. Oplysninger om ca. 395.000 af de tidligere medlemmer var blevet opbevaret i mere end 10 år efter, de havde meldt sig ud af bogklubberne. Forlaget havde ingen procedurer eller retningslinjer for sletning af oplysninger i den passive database.

Efter tilsynsbesøget slettede forlaget alle oplysningerne i den passive database og oplyste til Datatilsynet, at det efter virksomhedens vurdering fremover ville være nødvendigt at opbevare oplysninger om udmeldte medlemmer i op til seks år.

Datatilsynet har lagt vægt på, at overtrædelsen vedrører to grundlæggende principper for behandling af personoplysninger – principperne om ”opbevaringsbegrænsning” og ”ansvarlighed” – og berører et meget stort antal registrerede. Datatilsynet har endvidere lagt vægt på, at der ikke er tale om en enkeltstående fejl, men et grundlæggende problem. Datatilsynet har endvidere i skærpende retning lagt vægt på, at overtrædelsen efter tilsynets vurdering er begået forsætligt.

I formildende retning har Datatilsynet bl.a. lagt vægt på, at forlaget har ageret særdeles samarbejdsvillig, og at der ifølge forlaget kun var to medarbejdere, der havde adgang til den passive database.

Sammendrag

Afgørelsen viser, hvor vigtigt det er ikke alene at have styr på hvor og hvornår, man behandler persondata, men også forholder sig til, hvor længe det er nødvendigt. EY anbefaler, at man benytter lejligheden til at få lavet eller genbesøgt sin opbevarings- og sletteprocedure. 

Om denne artikel

Af Pernille Kristensen

Data Privacy Law, Senior Manager, Law, EY Denmark

Passioneret rådgiver med kommerciel forståelse. Indgående erfaring med databeskyttelse fra den private og offentlige sektor. Engageret og erfaren underviser.

Related topics Law