Brott mot raderingsskyldigheter för personuppgifter
Brott mot dataskydd eller mot dataskyddsförordningen (GDPR) kan medföra höga böter. Så har den Hamburgska kommissionären för dataskydd och informationsfrihet (HmbBfDI) utdömt ett bötesbelopp på 900.000 euro mot ett företag inom inkassobranschen, eftersom det inte raderade personuppgifter i tid.
Med införandet av den allmänna dataskyddsförordningen (GDPR) har kraven på dataskydd för företag avsevärt ökat. Så måste företagen vidta lämpliga åtgärder för att skydda personuppgifter vid behandling av dem. Dessutom har de berörda personerna rätt till en tidsenlig radering av sina data. Vid brott mot dataskyddslagen eller mot GDPR hotas företag av kännbara böter, enligt affärsjuridiska byrån MTR Legal Rechtsanwälte, som bl.a. ger råd inom IT-rätt.
Granskning av företag inom inkassohantering
Lagringen av deras personliga data kan särskilt för gäldenärer som är i dröjsmål utgöra en enorm belastning. Eftersom deras uppgifter regelbundet överlämnas till kreditupplysningsföretag kan det t.ex. göra det avsevärt svårare att ingå ett avtal. Därför är det av stor betydelse för gäldenärerna att deras uppgifter raderas efter utgången av de relevanta tidsfristerna.
Hamburg är en viktig plats inom inkassohantering. Den Hamburgska kommissionären för dataskydd och informationsfrihet (HmbBfDI) lät därför i en temainriktad granskning undersöka marknadsstarka företag inom inkassohantering.
Övervägande positiv slutsats
Vid detta tillfälle undersöktes i grunden hur personuppgifter lagras och vidarebehandlas hos företagen. Dataskyddsombudet besökte med sitt team vissa företag på plats i deras affärslokaler. Dataskyddsexperterna kunde dra en övervägande positiv slutsats. Särskilt hade företagens transparens gentemot de berörda personerna förbättrats, delade dataskyddsombudet i ett pressmeddelande den 12 november 2024.
Data sparades för länge
Det finns dock också undantag. Granskarna upptäckte att ett företag fortsatt lagrade dataset, trots att raderingstidsramarna länge hade löpt ut. Företaget hade därmed sparat dataset med personuppgifter i sexsiffrigt antal utan rättslig grund. Därmed föreligger ett brott mot artikel 5 punkt 1 lit. a, 6 punkt 1 GDPR. Uppgifterna delades inte med tredje part, men de var delvis fortfarande sparade 5 år efter att lagringstidsramarna hade löpt ut och inte raderats ur databasen, meddelade den Hamburgska dataskyddsombudet.
För detta brott har dataskyddsombudet utdömt en bötessumma på 900.000 euro mot företaget. Företaget har accepterat böterna. Att det samarbetade med tillsynsmyndigheten vid upparbetningen av dataskyddsbrottet beaktades vid bötesberäkningen. Liknande brott upptäcktes också vid ett annat företag. Här är undersökningarna dock ännu inte avslutade.
När en kundrelation avslutas, ska de sparade uppgifterna raderas omedelbart eller efter utgången av lagringstidsramarna. Ett brott mot dessa raderingsskyldigheter kan bli kostsamt, vilket exemplet från företaget i Hamburg visar. För att undvika sådana brott bör företag integrera en effektiv dataskyddskompliance.
Tidsenlig radering av data
För att hantera de känsliga personuppgifterna lagligt, bör även ett systematiskt raderingskoncept utarbetas så att de inte sparas olagligt och därmed utgör ett brott mot GDPR. Redan vid insamlingen av uppgifterna bör det vara klart om och hur länge de får sparas och vidarebehandlas. Så kan böter för dataskyddsbrott undvikas och kundernas förtroende stärkas.
Det bör beaktas att dataskyddet spelar en viktig roll inte bara i relationerna till kunderna utan även internt i relationerna till de anställda. Även medarbetarna har enligt GDPR rätt till insyn hos sin arbetsgivare angående användandet av deras personuppgifter.
MTR Legal Rechtsanwälte ger råd i dataskyddsrätt och i ytterligare frågor om IT-rätt.
Ta gärna kontakt med oss!
