/ Nyheder / Manglende sletning af persondata medførte millionbøde

Manglende sletning af persondata medførte millionbøde

I efteråret 2018 var Datatilsynet på tilsynsbesøg hos IDdesign, hvor der blandt andet blev set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet. Datatilsynet politianmeldte efterfølgende IDdesign og indstillede virksomheden til en bøde på 1,5 mio. kr. for manglende sletning af personoplysninger om ca. 385.000 kunder.

Af

Foto: Unsplash, Sebastian Pichler

Afgørelsen blev truffet på baggrund af et tilsynsbesøg, hvor Datatilsynet kontrollerede, hvorvidt IDdesign A/S havde fastsat frister for sletning af personoplysninger om deres kunder. 

Forud for tilsynet oplyste IDdesign A/S hvilke systemer, selskabet anvendte til behandling af personoplysninger. I forbindelse hermed kom det frem, at IDdesign A/S i enkelte butikker fortsat benyttede et ældre system. Samtidig blev det oplyst, at de ældste kundeoplysninger var fra den 1. april 2010.

Det ældre system opbevarede personoplysninger om ca. 385.000 kunder, og der var tale om oplysninger om kundernes navn, adresse, telefonnummer, e-mail og købshistorik.

Efter databeskyttelsesforordningens artikel 5, stk. 1, litra e må personhenførbare oplysninger ikke opbevares i længere tid end nødvendigt under hensyntagen til de formål, hvortil oplysningerne behandles. Den dataansvarlige skulle desuden kunne påvise, at reglerne i databeskyttelsesforordningens artikel 5, stk. 1 blev overholdt, jf. artikel 5, stk. 2.

Under tilsynet kunne Datatilsynet konstatere, at IDdesign A/S ikke overholdt databeskyttelsesforordningens krav om opbevaring af personoplysninger. IDdesign A/S havde desuden ikke forholdt sig til, hvornår de pågældende personoplysninger ikke længere var nødvendige, og havde dermed heller ikke fastlagt frister for sletning af disse.

Datatilsynet fandt derfor grundlag for at udtale alvorlig kritik af, at IDdesign A/S ikke havde efterlevet databeskyttelsesforordningens krav.

På den baggrund indgav Datatilsynet en politianmeldelse til Østjyllands Politi og indstillede virksomheden til en bøde på 1,5 mio. kr.

Datatilsynets afgørelse

IDdesign var blandt de virksomheder, som Datatilsynet i efteråret 2018 udvalgte til tilsyn efter databeskyttelsesloven og databeskyttelsesforordningen.

Datatilsynets planlagte tilsyn med IDdesign fokuserede navnlig på sletning af personoplysninger efter databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Efter anmodning fra Datatilsynet havde IDdesign inden tilsynsbesøget udfyldt et spørgeskema for hver af de af Datatilsynet udvalgte systemer, hvori der behandles personoplysninger, og indsendt disse sammen med yderligere materiale til tilsynet. Selve tilsynsbesøget fandt sted den 8. oktober 2018.

På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:

  1. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.

  2. At IDdesign ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger.

  3. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.

  4. At IDdesign ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

I forhold til punkt 1 har Datatilsynet dags dato indgivet politianmeldelse af IDdesign til Østjyllands Politi. Kopi af politianmeldelsen vedlægges til orientering.

Herudover finder Datatilsynet i forhold til punkt 2-4 samlet set grundlag for at udtale alvorlig kritik af, at IDdesign ikke har efterlevet databeskyttelsesforordningens krav.

En nærmere gennemgang af Datatilsynets konklusioner følger nedenfor.

Ad punkt 1:  Manglende sletning af personoplysninger i AX 2.5

Et af de systemer, hvori IDdesign behandler personoplysninger, er AX 2.5. Systemet er et ERP system, og det er forgængeren til AX 2012, som nu anvendes af virksomheden. AX 2.5 blev udfaset i perioden 21. marts til 9. juli 2015.

IDdesigns nuværende ERP-system AX 2012 var – modsat AX 2.5 – et af de 7 systemer, som Datatilsynet udvalgte til gennemgang i forbindelse med sit tilsynsbesøg. Dette skyldtes bl.a., at IDdesign havde oplyst over for Datatilsynet, at IDdesign var databehandler – og ikke dataansvarlig – for så vidt angår oplysningerne i AX 2.5.

Efter tilsynsbesøget har IDdesign dog oplyst over for Datatilsynet, at virksomheden er dataansvarlig for den behandling af personoplysninger, der finder sted i AX 2.5 i forbindelse med opslag i fakturaer udstedt til IDdesigns kunder i relation til kundesager/reklamationer samt i tilfælde af evt. spørgsmål fra SKAT.

I forbindelse med tilsynsbesøget har IDdesign over for Datatilsynet oplyst, at der i systemet AX 2.5 behandles oplysninger om kunders navn, adresse, telefonnummer, e-mail og købshistorik.

Adspurgt om AX 2.5 har IDdesign under tilsynsbesøget oplyst, at virksomheden ikke har fastlagt slettefrister for de personoplysninger, der er opbevaret i AX 2.5, og i øvrigt aldrig har foretaget sletning af personoplysninger i systemet.

Endelig har IDdesign over for Datatilsynet oplyst, at kundens telefonnummer anvendes som kunde-id, og ud over telefonnummeret opbevares kundens navn, adresse, e-mail og købshistorik.

IDdesign har tillige oplyst, at der på tidspunktet for tilsynsbesøget blev opbevaret 823.178 ”kunde-id’er” i AX 2.5, og at de ældste personoplysninger stammer fra den 1. april 2010. Ifølge IDdesign er det kundens telefonnummer, der anvendes som kunde-id, og ud over telefonnummeret opbevares kundens navn, adresse, e-mail og købshistorik i tilknytning til kunde-id’et.

Endvidere har IDdesign efterfølgende redegjort for de pågældende kunde-id’er i AX 2.5. Heraf fremgår det, at 430.100 kunde-id’er fortsat behandles som følge af den retlige forpligtelse i henhold til bogføringslovens § 10, og at 448 øvrige kunde-id’er stadig behandles, da kunderne fortsat har et mellemværende med IDdesign.

Endelig har IDdesign oplyst, at de resterende 392.630 kunde-id’er er blevet slettet fra AX 2.5 i perioden fra 12. december 2018 til 31. januar 2019.

Da det er kundens telefonnummer, der anvendes som kunde-id, har IDdesign gjort opmærksom på, at der kan forekomme dubletter, hvorfor det reelle antal registrerede vil være en smule lavere.

Idet sletning af de 392.630 kunde-id’er allerede var foretaget, da Datatilsynet adspurgte herom, kunne IDdesign ikke oplyse det præcise antal dubletter. Dog kunne virksomheden oplyse, at der blandt de 430.548 tilbageværende kunde-id’er var 1,48% dubletter, hvilket betyder, at der fortsat behandles oplysninger om 424.192 registrerede i AX 2.5.

Datatilsynet lægger herefter til grund, at der blandt de 392.630 slettede kunde-id’er procentuelt var samme antal dubletter, altså 1,48%, og tilsynet konkluderer derfor, at IDdesign opbevarede oplysninger om cirka 385.000 tidligere kunders navn, adresse, telefonnummer, e-mail og købshistorik, som er informationer om en identificerbar fysisk person, jf. databeskyttelsesforordningens art. 4, stk. 1, nr. 1.                      

Det er Datatilsynets opfattelse, at IDdesigns behandling af kunders personoplysninger i forbindelse med de cirka 385.000 tidligere kunde-id’er ikke er i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvoraf det fremgår, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Det bemærkes i den forbindelse, at IDdesign selv har vurderet, at oplysningerne skulle slettes fra systemet.

Ad punkt 2:  Manglende stillingstagen til- og dokumentation af slettefrister i AX 2.5

Af databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, følger det, at den dataansvarlige skal kunne påvise, at det ikke har været muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Som nævnt har IDdesign oplyst, at virksomheden ikke har fastlagt frister for sletning af personoplysninger i AX 2.5, og i øvrigt aldrig har foretaget sletning af personoplysninger i systemet.

At tage stilling til hvornår de indsamlede og registrerede personoplysninger ikke længere er nødvendige til de formål, hvortil de behandles, og dermed hvornår oplysningerne skal slettes fra systemerne, er det første og mest basale skridt mod at etablere korrekte og velfungerende procedurer for sletning af personoplysninger.

Det er derfor Datatilsynets opfattelse, at IDdesign ikke har levet op til kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet IDdesign ikke har fastlagt og dokumenteret frister for sletning af personoplysninger i AX 2.5.

Ad punkt 3:  Manglende sletning af personoplysninger i AX 2012

Forud for tilsynsbesøget fremsendte IDdesign et udfyldt spørgeskema vedrørende virksomhedens behandling af personoplysninger i AX 2012, det nye ERP system, som IDdesign i perioden 21. marts til 9. juli 2015 implementerede som erstatning til AX 2.5.

Af spørgeskemaet fremgår det, at personoplysninger i AX 2012 slettes afhængig af hvilken kategori, de er inddelt i. For så vidt angår kategorien ’Kunder’ har IDdesign oplyst, at der behandles oplysninger om de kunder, der har handlet hos virksomheden i form af deres salgsordre, hvor der også fremgår deres kundedata.

IDdesign har oplyst, at personoplysninger i kategorien ’Kunder’ anonymiseres efter 912 dage, svarende til reklamationsretten på 2½ år. IDdesign har desuden bemærket, at der tilbydes ½ års udvidet reklamation i forhold til købeloven, og at der er 25 års garanti på nogle produkter, men at fristen er fastlagt på 2½ år af hensyn til begrænsning af de behandlede personoplysninger.

Adspurgt herom har IDdesign i spørgeskemaet forud for tilsynsbesøget oplyst, at sletning af personoplysninger i AX 2012, efter de fastlagte slettefrister, foregår automatisk i systemet via batch jobs, der afvikles månedligt.

Under tilsynsbesøget ønskede Datatilsynet at undersøge, om slettefristerne var overholdt i forhold til behandling af oplysninger om kunder i AX 2012. Hertil oplyste IDdesign, at sletteprocedurerne endnu ikke var implementeret på tidspunktet for tilsynsbesøget, men ville blive det i de følgende dage, hvorfor der ville findes oplysninger om kunder i AX 2012, som havde overskredet fristen for sletning på 912 dage.

IDdesign har efterfølgende oplyst, at den automatiserede sletteprocedure blev implementeret få dage efter tilsynsbesøget.

Det er Datatilsynets opfattelse, at IDdesign – idet virksomheden ikke har efterlevet de frister for sletning af personoplysninger om kunder, som virksomheden selv har fastlagt – ikke har levet op til kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, hvoraf det fremgår, at personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.

Datatilsynet har i sin vurdering lagt vægt på, at der – med udgangspunkt i, at personoplysninger er indført i AX 2012 fra senest den 9. juli 2015 – er tale om en forholdsvis kort periode på maksimalt 275 dage, hvor de pågældende oplysninger – på tidspunktet for tilsynsbesøget den 8. oktober 2018 – havde overskredet slettefristen på 912 dage.

Ad punkt 4:  Manglende dokumentation af procedurer for opfølgning på sletning i systemerne YoungCRM og Timeplan

Datatilsynet har i forbindelse med tilsynsbesøget hos IDdesign bl.a. gennemgået procedurer for sletning af personoplysninger i virksomhedens rekrutteringssystem YoungCRM og virksomhedens HR system Timeplan.

IDdesign har forud for tilsynsbesøget oplyst, at sletning i de to systemer foretages manuelt ud fra de fastlagte slettefrister.

Datatilsynet har under tilsynsbesøget spurgt IDdesign, hvordan virksomheden følger op på, at de sletninger, der foretages i systemerne, er udført korrekt og som forventet.

For så vidt angår YoungCRM har IDdesign oplyst, at der foretages et månedligt dobbelttjek af, at der ikke findes oplysninger, som burde have været slettet.

For så vidt angår Timeplan har IDdesign oplyst, at der udføres et tilsvarende dobbelttjek, når der er blevet foretaget sletninger i systemet.

Adspurgt herom, har IDdesign i forhold til både YoungCRM og Timeplan oplyst, at der ikke findes nedskrevne procedurer for opfølgning på sletning af personoplysninger, men at der er tale om faste processer, som skal indskrives i de eksisterende procedurer.

For at leve op til sine forpligtelser efter databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, skal den dataansvarlige fastlægge og dokumentere procedurer for opfølgning på, at sletning af personoplysninger er foretaget korrekt og som forventet.

Det er derfor Datatilsynets opfattelse, at IDdesign ikke har levet op til kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet IDdesign ikke har dokumenteret virksomhedens procedurer for opfølgning på sletning af personoplysninger i YoungCRM og Timeplan.

Konklusion

På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:

  1. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om op i mod 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.

  2. At IDdesign ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i har fastlagt og dokumenteret frister for sletning af personoplysninger.

  3. At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.

  4. At IDdesign ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

I forhold til punkt 1 har Datatilsynet dags dato indgivet politianmeldelse af IDdesign til Østjyllands Politi.

Herudover finder Datatilsynet i forhold til punkt 2-4 samlet set grundlag for at udtale alvorlig kritik af, at IDdesign ikke har efterlevet databeskyttelsesforordningens krav.

Persondata

Læs mere her