Lovguiden Logo

Command Palette

Search for a command to run...

Alvorlig kritik til IDdesign for manglende overholdelse af databeskyttelsesforordningens krav om sletning af personoplysninger

Dato

3. juni 2019

Eksterne links

Læs hele sagen

Kategorier

AfgørelsePrivate virksomhederAlvorlig kritikTilsyn / egendriftssagGrundlæggende principper

Lovreferencer

Databeskyttelsesloven § 5, stk. 1Forvaltningsloven § 9a

I efteråret 2018 foretog Datatilsynet et tilsynsbesøg hos IDdesign for at undersøge, om virksomheden overholdt reglerne for sletning af personoplysninger, herunder om der var fastsat og overholdt frister for sletning af kundernes oplysninger.

Baggrund for tilsynet

  • IDdesign havde forud for tilsynsbesøget oplyst, at et ældre system (AX 2.5) stadig blev anvendt i tre af virksomhedens butikker. Dette system indeholdt oplysninger om ca. 385.000 kunder, herunder navn, adresse, telefonnummer, e-mail og købshistorik.
  • IDdesign havde ikke fastlagt slettefrister for personoplysninger i det gamle system.

Datatilsynets konstatering

  • Datatilsynet konstaterede, at IDdesign ikke havde fastlagt slettefrister for personoplysninger i AX 2.5, og at virksomheden dermed behandlede personoplysninger længere end nødvendigt, hvilket er i strid med databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Datatilsynet har truffet afgørelse i sagen om IDdesigns behandling af personoplysninger og er kommet frem til følgende:

Konklusion

Datatilsynet udtaler alvorlig kritik af IDdesign for ikke at overholde databeskyttelsesforordningens krav om sletning af personoplysninger. Dette omfatter:

  • Manglende overholdelse af Databeskyttelsesforordningen § 5, stk. 1, litra e, ved at behandle personoplysninger om ca. 385.000 kunder i systemet AX 2.5 i en længere periode end nødvendigt.
  • Manglende overholdelse af Databeskyttelsesforordningen § 5, stk. 2 jf. Databeskyttelsesforordningen § 5, stk. 1, litra e, ved ikke at have fastlagt og dokumenteret slettefrister for personoplysninger i AX 2.5.
  • Manglende overholdelse af Databeskyttelsesforordningen § 5, stk. 1, litra e, ved fortsat at behandle personoplysninger i systemet AX 2012 efter overskridelse af virksomhedens egen fastsatte slettefrist.
  • Manglende overholdelse af Databeskyttelsesforordningen § 5, stk. 2 jf. Databeskyttelsesforordningen § 5, stk. 1, litra e, ved ikke i tilstrækkelig grad at have dokumenteret procedurer for sletning af personoplysninger i virksomhedens rekrutteringssystem og HR-system.

Datatilsynet har desuden politianmeldt IDdesign til Østjyllands Politi i forhold til punkt 1.

Lignende afgørelser