Brudd på slettingsplikter for personopplysninger
Brudd på personvernet eller på personvernforordningen (GDPR) kan sanksjoneres med høye bøter. Datatilsynet i Hamburg har ilagt en bot på 900.000 euro mot et selskap innenfor kravhåndteringsbransjen fordi det ikke slettet personopplysninger i rett tid.
Med innføringen av personvernforordningen (GDPR) har kravene til personvern for bedrifter økt betydelig. Bedriftene må implementere passende tiltak for å beskytte personopplysninger ved behandling av disse. Videre har berørte personer krav på å få sine data slettet innen tidsfristen. Ved brudd på personvernlovene eller GDPR kan bedriftene risikere følsomme bøter, ifølge advokatfirmaet MTR Legal, som blant annet gir råd innen IT-rett.
Gjennomgang av selskaper innen kravhåndtering
Lagring av personopplysninger kan utgjøre en stor belastning for spesielt betalingsudyktige skyldnere. Dataene deres formidles også ofte til kredittopplysningsbyråer, noe som for eksempel kan gjøre det betydelig vanskeligere å inngå avtaler. Derfor er det viktig for skyldnere at dataene deres slettes etter at de relevante fristene har utløpt.
Hamburg er en betydelig lokasjon innen kravhåndtering. Datatilsynet i Hamburg gjennomførte derfor en fokusert gjennomgang av markedssterke selskaper innen denne bransjen.
Overveiende positivt resultat
Det ble generelt undersøkt hvordan personopplysninger lagres og behandles videre av bedriftene. I den forbindelse besøkte datatilsynet med sitt team flere selskaper fysisk på deres kontorer. Datavernmyndigheten kunne trekke et overveiende positivt resultat. Særlig hadde gjennomsiktigheten fra selskapene overfor de berørte personene blitt forbedret, opplyste datavernmyndigheten i en pressemelding fra 12. november 2024.
Dataene ble oppbevart for lenge
Imidlertid finnes det også unntak. Inspektørene oppdaget hos ett selskap at data fortsatt ble oppbevart, selv om slettingsfristene hadde utløpt for lenge siden. Selskapet hadde dermed oppbevart personopplysninger uten en juridisk grunn, noe som utgjør et brudd på artikkel 5 avsnitt 1 lit. a og 6 avsnitt 1 i GDPR. Selv om dataene ikke ble delt med tredjeparter, ble de oppbevart i opptil 5 år etter de lovbestemte lagringsfristene og var ikke slettet fra databasen, rapporterte datatilsynet i Hamburg.
For dette bruddet har datatilsynet ileagt en bot på 900.000 euro mot selskapet. Selskapet har godtatt boten. Det faktum at de samarbeidet med tilsynsmyndigheten ved oppfølgingen av bruddet ble tatt i betraktning ved fastsettelsen av botens størrelse. Lignende brudd ble også oppdaget hos et annet selskap. Her er undersøkelsene imidlertid ennå ikke avsluttet.
Når et kundeforhold avsluttes, skal de lagrede dataene slettes umiddelbart, eller etter utløpet av lagringsfristene. Brudd på disse slettingsforpliktelsene kan bli kostbart, som eksemplet fra Hamburg viser. For å unngå slike brudd bør selskaper integrere en effektiv personvern-etterlevelse.
Sletting av data i henhold til frister
For å håndtere sensitive personopplysninger i samsvar med loven, bør det også utarbeides en systematisk slettestrategi for å hindre urettmessig lagring og dermed brudd på GDPR. Allerede ved innsamling av data bør det være klart om, og hvor lenge, de kan lagres og viderebehandles. Slik kan bøter for brudd på personvernregler unngås, og tilliten fra kundene styrkes.
Det er viktig å merke seg at personvern ikke bare er viktig i forholdet til kundene, men også internt i forholdet til de ansatte. Arbeiderne har også i henhold til GDPR rett til innsyn fra sin arbeidsgiver angående bruken av sine personopplysninger.
MTR Legal gir råd innen personvernrett og andre spørsmål innen IT-rett.
Ikke nøl med å kontakte oss!
