Overtrædelse af sletningspligter vedrørende personoplysninger
Overtrædelser af databeskyttelse eller af databeskyttelsesforordningen (GDPR) kan straffes med høje bøder. Således har den Hamborgske Databeskyttelses- og Informationsfrihedskommissær (HmbBfDI) udstedt en bøde på 900.000 euro til en virksomhed i inkassobranchen, fordi den ikke slettede personoplysninger rettidigt.
Med indførelsen af databeskyttelsesforordningen (GDPR) er kravene til databeskyttelse for virksomheder steget betydeligt. Virksomhederne skal træffe passende forholdsregler for at beskytte personoplysninger under behandlingen. Desuden har de berørte personer krav på rettidig sletning af deres data. Ved overtrædelser af databeskyttelseslovgivningen eller GDPR kan virksomhederne står overfor følsomme bøder, oplyser advokatfirmaet MTR Legal, som bl.a. rådgiver inden for IT-ret.
Undersøgelse af virksomheder i inkassobranchen
Opbevaring af deres personlige data kan især medføre en enorm belastning for skyldnere, der er i restance. For deres data overføres også jævnligt til kreditoplysningsbureauer. Dette kan f.eks. gøre det væsentligt vanskeligere at indgå en kontrakt. Det er derfor af stor betydning for skyldnerne, at deres data slettes igen efter udløb af de gældende frister.
Hamborg er et vigtigt sted inden for inkassoområdet. Den Hamborgske Databeskyttelses- og Informationsfrihedskommissær (HmbBfDI) har derfor i forbindelse med en fokuseret undersøgelse taget stærke markedsaktører fra inkassobranchen under lup.
Overvejende positiv konklusion
Der blev generelt undersøgt, hvordan de personoplysninger opbevares og viderebehandles af virksomhederne. Databeskyttelseskommissæren besøgte med sit team flere virksomheder i deres forretningslokaler. Her kunne databeskyttelsesmedarbejderne drage en overvejende positiv konklusion. Især er gennemsigtigheden overfor de berørte personer blevet forbedret, oplyste databeskyttelseskommissæren i en pressemeddelelse den 12. november 2024.
Data opbevaret for længe
Der er dog også undtagelser. Således fandt inspektørerne hos en virksomhed ud af, at den stadig opbevarede datasæt, selvom sletningsfristerne længe var udløbet. Virksomheden havde således gemt datasæt med personoplysninger i sekscifrede antal uden juridisk grund. Dette udgør en overtrædelse af artikel 5, stk. 1, litra a, og artikel 6, stk. 1, GDPR. Dataene blev ganske vist ikke udleveret til tredjepart, men de var stadig opbevaret i databasen fem år efter udløb af de lovmæssige opbevaringsfrister, oplyste den Hamborgske Databeskyttelseskommissær yderligere.
For denne overtrædelse har databeskyttelseskommissæren udstedt en bøde på 900.000 euro til virksomheden. Virksomheden har accepteret bøden. At den samarbejdede med tilsynsmyndigheden under behandlingen af databeskyttelseskrænkelsen blev taget i betragtning ved fastsættelsen af bøden. Lignende overtrædelser blev også konstateret hos en anden virksomhed. Her er undersøgelserne dog endnu ikke afsluttet.
Når et kundeforhold ophører, skal de lagrede data straks eller efter udløb af opbevaringsfristerne slettes. En overtrædelse af disse sletningspligter kan blive dyrt, som eksemplet med den Hamborgske virksomhed viser. For at undgå sådan overtrædelser, bør virksomheder integrere en effektiv databeskyttelses-compliance.
Rettidig sletning af data
For at håndtere de følsomme personoplysninger lovligt, bør der også udarbejdes et systematisk sletningskoncept, så de ikke opbevares ulovligt og dermed overtræder GDPR. Allerede ved indsamling af data skulle det være klart, om og hvor længe de må opbevares og viderebehandles. Således kan bøder på grund af databeskyttelsesovertrædelser undgås, og kundernes tillid styrkes.
Det skal bemærkes, at databeskyttelse ikke kun spiller en vigtig rolle i relation til kunderne, men også internt i forhold til medarbejderne. For medarbejderne har også i henhold til GDPR en ret til at bede om oplysninger fra deres arbejdsgiver om brugen af deres personoplysninger.
MTR Legal rådgiver inden for Databeskyttelsesret og i andre spørgsmål inden for IT-ret.
Tag endelig kontakt til os!
