10 oktober 2024
Udfyld formularen eller ring til os 7572 4100
Som en del af et tilsyn med et taxaselskabs efterlevelse af kravene til sletning af personoplysninger konstaterede datatilsynet, at taxaselskabets dokumentationen for sletteprocedurer i alle de udvalgte systemer har været af overfladisk karakter og generelt mangelfuld.
Efter Datatilsynets vurdering gemte taxaselskabet derfor knap 9 mio. personhenførbare taxature uden et sagligt formål i strid med databeskyttelsesreglerne, hvorfor Datatilsynet politianmeldte taxaselskabet, og indstillede til en bøde på 1,2 mio. kr. for manglende sletning af kundernes personoplysninger.
I forbindelse med sagen udtalte Datatilsynet, at politianmeldelse bl.a. skyldtes de store mængder af personoplysninger, som uberettiget blev behandlet og gemt i den konkrete sag.
På et tilsynsbesøg hos et møbelfirma kunne det konstateres, at virksomheden ikke havde fastsat frister for sletning af kundernes oplysninger, herunder ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik.
Datatilsynet politianmeldte derfor møbelfirmaet, og indstillede til en bøde på 1,5 mio. kr. for manglende sletning af kundernes oplysninger. I forhold til afgørelsen om taxaselskabet lagde datatilsynet vægt på, at møbelformaet ikke havde fastlagt hvilke frister, der skal gælde for sletning personoplysningerne.
Herudover har det været fremme i medierne, at Nordens største online terapiportal har haft et brud på sikkerheden, som har medført, at større mængder af følsomme oplysninger har været tilgængelig for andre brugere. Datatilsynet har politianmeldt onlineportalen for at få efterforsket sagen.
Codex Advokater følger sagen, herunder om Datatilsynet på baggrund af efterforskningen indstiller til onlineportalen til en bøde.
I ovennævnte sager er det afgørende for Datatilsynets valg om at indstille til en bøde, fremfor at udtale kritik og udstede et påbud, at der er tale om en tilsidesættelse af et grundlæggende krav om sletning sammenholdt med mængden af personoplysninger. I sagen om Møbelfirmaet var det en skærpende omstændighed, at virksomheden ikke havde foretaget sig noget aktivt for at sikre, at personoplysningerne blev slettet efter, at formålet med deres behandling var ophørt.
Selvom domstolene ikke har haft lejlighed til at vurdere bødestørrelserne, har Datatilsynet omvendt fastlagt et bødeniveau, som bør få virksomhederne til at tage databeskyttelse alvorligt.
Er du i tvivl, om din virksomhed er klar til et tilsynsbesøg fra datatilsynet – se her https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2018/okt/hvad-spoerger-datatilsynet-om-paa-tilsyn/, hvad Datatilsynet kan finde på at spørge om.