Endnu en GDPR-sag rammer det danske erhvervsliv. Denne gang er det møbelvirksomheden IDdesign, som er politianmeldt og som står til en bøde på 1,5 mio. kr. for manglende retningslinjer i forhold til slette ældre kundedata. IDdesign er hovedselskabet bag kæderne ILVA, IDEmøbler og IDdesign, og i flere af de butikker anvender man fortsat et ældre system til at håndtere persondata på 385.000 kunder. Hvad værre er, så har virksomheden ikke fastlagt og dokumenteret frister for sletning af personoplysninger. Samtidig har IDdesign haft de mange persondata til rådighed i længere tid end nødvendigt.
Ifølge Ida Nynne Daarbak Jensen, jurist hos AutoBranchen Danmark, viser sagen på ny, at det er yderst vigtigt, at man læser Datatilsynets vejledning for sletning af personoplysninger godt igennem. For en tilsvarende sag kan sagtens ramme en autovirksomhed.
“Vi skal ikke længere tilbage end til april for at finde en lignende sag med manglende sletning af persondata. Her blev taxiselskabet 4×35 indstillet til en bøde på 1,2 mio. kr. Og nu har et kontrolbesøg i efteråret 2018 så udløst en bøde til IDdesign. Der findes masser af bilforhandlere og værksteder, som ligger inde med persondata. Det er meget vigtigt, at man har styr på reglerne for at slette data. Ellers bliver det her ikke den sidste sag”, fortæller Ida Nynne Daarbak Jensen fra AutoBranchen Danmark.
Udpeg dataansvarlig og tjek op på frister
Hvis man ikke allerede har udpeget en dataansvarlig, der som udgangspunkt er indehaveren af eksempelvis en autoforhandler, skal man straks gøre det. Den dataansvarlige har på virksomhedens vegne pligt til at opstille helt klare slettefrister for, hvornår persondata ikke længere er nødvendige på virksomhedens servere eller i fysisk format.
“I den konkrete sag med IDdesign er der også sket det, at firmaet automatisk har regnet med, at blot fordi man skifter et gammel it-system ud med et nyt, så slettes personoplysninger – eller undtages for GDPR. Det er nok de færreste, der får ryddet ordentligt op eller er opmærksom på det”, siger Ida Nynne Daarbak Jensen og fortsætter:
“Og får man ikke ryddet op, vil Datatilsynet også gøre virksomheden ansvarlig for de ældre persondata i forhold til regler for slettefrister”.
Usikker på sletning af persondata? Se her:
- Tag klar stilling til slettefrister for forskellige personoplysninger, som behandles i bilhuset eller på værkstedet.
- Sørg for at dokumentere de fastsatte slettefrister, så Datatilsynet ved kontrol ikke er i tvivl eller går forgæves.
- Læs op på andre lovmæssige krav, som kan påvirke slettefristerne. Eksempelvis bogføringsloven eller hvidvaskloven.
- Den dataansvarlige (typisk indehaver eller udpeget medarbejder) har ansvaret for at fastlægge en klar procedure for sletning.
Er din virksomhed medlem af AutoBranchen Danmark, kan vi hjælpe dig med at overholde alle gældende regler på området, så din virksomhed bøder som taxiselskabet og IDdesign har fået. Du og din virksomhed kan også finde flere god råd og mere vejledning om sletning af persondata på Datatilsynets hjemmeside.