IDDesign A/S snuppede en morfar & er nu indstillet til en bøde på 1,5 mio. kr.

Møbelvirksomheden er med baggrund i manglende sletning af ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik blevet indstillet til en bøde i millionklassen af Datatilsynet efter en kontrolbesøg d. 8. oktober 2018.

Her er endnu en sag der understreger vigtigheden i af have en slettepolitik og evt. systemmæssige begrænsninger ikke er valide årsager til denne ikke overholdes. I denne sag har IDDesign oplyst at visse af deres butikker fortsat benytter et ældre system, der er udskiftet med et nyere i de øvrige butikker – og i det ældre system behandles de ca. 385.000 kunders persondata, hvor man ikke har fastsat slettefrister og derfor forbliver kundernes persondata i dette system.

Der er med baggrund i denne manglede slettepolitik i det ældre system at Datatilsynet har indgivet politianmeldelse til Østjyllands Politi og indstillet virksomheden til en bøde på 1,5 mio. kr.

IDDesign var blandt de virksomheder Datatilsynet udvalgte til kontrol i efteråret 2018, hvor man på sit planlagte tilsyn fokuserede på personoplysninger efter databeskyttelsesforordningens artikel 5, stk. 1, litra e. Virksomheden havde på tilsynets anmodning inden tilsynsbesøget udfyldt et spørgeskema, for hver af de af Datatilsynet udvalgte systemer, hvori der behandles personoplysninger – disse besvarelser og yderligere materiale blev indsendt til tilsynet af IDDesign.

Med udgangspunkt i besvarelserne, det øvrige materiale og selve tilsynsbesøget er Datatilsynet nået til følgende konklusion:

  1. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.
  2. At IDdesign ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger.
  3. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.
  4. At IDdesign ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

Det er med udgangspunkt i punk 1, at Datatilsynet d. 3. juni 2019 har indgivet deres politianmeldelse og tilsynet har i forhold til punkt 2-4 set grundlag for at udtale alvorlig kritik af, at IDDesign ikke har efterlevet kravene i databeskyttelsesforordningen.

Du kan læse hele udtalelse i sagen her og blive klogere på hvorfor du ikke bør tage en morfar når det kommer til persondataforordningen.

Kilde: Datatilsynet