I efteråret 2018 var Datatilsynet på tilsynsbesøg hos IDdesign, hvor der bl.a. blev set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet.
Ingen slettefrister
Forud for tilsynsbesøget havde IDdesign sendt en oversigt over de systemer, som virksomheden anvender til behandling af personoplysninger. IDdesign oplyste i den forbindelse, at der i enkelte IDEmøbler-butikker fortsat anvendes et ældre system, som ellers er erstattet af et nyere system i de andre butikker, og at der i det gamle system behandles oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik. Under tilsynsbesøget oplyste IDdesign endvidere, at der ikke er fastsat slettefrister i dette system, hvorfor personoplysninger i det gamle system aldrig er blevet slettet.
Derfor indstilles der til bøde
Det fremgår af databeskyttelsesforordningen, at personoplysninger skal opbevares, så det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.
IDdesign har ikke forholdt sig til, hvornår personoplysninger i det gamle system ikke længere er nødvendige til de formål, hvortil de behandles, og har dermed ikke fastlagt hvilke frister, der skal gælde for sletning af de personoplysninger, der behandles i systemet.
Datatilsynet finder derfor, at IDdesign ikke har overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden har behandlet personoplysningerne længere end nødvendigt.
Hvis du vil vide mere
Du kan læse selve udtalelsen i sagen her.
Du kan læse Datatilsynets vejledende tekst om sletning her.
Journalister kan kontakte Datatilsynets presseansvarlige Anders Due (40 41 30 23 / ad@datatilsynet.dk)