Datatilsynet indstiller møbelfirma til millionbøde for manglende sletning af data på 385.000 kunder

Illustration: Datatilsynet
Virksomheden IDdesign A/S er blevet politianmeldt af Datatilsynet efter et tilsynsbesøg i efteråret 2018. Her konkluderede myndigheden, at der var problemer med flere af møbelvirksomhedens ERP-systemer.

Møbelvirksomheden IDdesign er blevet politianmeldt og indstillet til en bøde på 1,5 millioner kroner af Datatilsynet, efter at myndigheden har konkluderet, at virksomheden har handlet i strid med databeskyttelsesforordningen.

Politianmeldelsen og bødekravet kommer efter, at Datatilsynet i efteråret var på tilsynsbesøg i møbelvirksomheden, som ejes af erhvervsmanden Lars Larsen.

I forbindelse med tilsynsbesøget kom det frem, at IDdesign ulovligt har undladt at slette oplysninger om navn, adresse, telefonnummer, e-mail og købshistorik på 385.000 kunder i deres ERP-systemer. Derudover manglede virksomheden at fastsætte og dokumentere frister for sletning af personoplysninger.

Læs også: Datatilsynet politianmelder og indstiller til første GDPR-bøde - mod et taxiselskab

Udover en politianmeldelse og et bødekrav har den manglende sletning af persondata fået Datatilsynet til at udtale »alvorlig kritik« af virksomheden.

»Datatilsynet finder derfor, at IDdesign ikke har overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden har behandlet personoplysningerne længere end nødvendigt,« skriver myndigheden i sin afgørelse til sagen.

Oplysninger gemt siden 2010

Den ulovlige behandling og opbevaring af kundeoplysninger er blandt andet foregået i et gammelt system til behandling af kundeoplysninger, som bruges i tre IDE-møbler-butikker, der hører under IDdesign-koncernen.

I systemet, der kaldes AX 2.5, er oplysningerne om virksomhedens kunder blevet registreret og koblet til såkaldte identifikationsnumre for hver kunde.

Men møbelvirksomheden har ikke taget stilling til, hvornår disse kundeoplysninger i det gamle system ikke længere var nødvendige at opbevare, og derfor er der ikke blevet fastsat regler for, hvornår der skulle være sletningsfrister for de oplysninger, der blev behandlet i systemet.

Derudover har IDdesign oplyst til Datatilsynet, at der indtil tilsynsbesøget aldrig er blevet foretaget sletning af personoplysninger i de gamle systemer.

Overfor Datatilsynet har IDdesign oplyst, at der i alt har været opbevaret 823.178 kunde-identifikationsnumre i det gamle system. Dog var de 385.000 af kunderne i systemet blevet registreret for mere end fem år siden, og derfor blev de opbevaret i strid med bogføringslovens § 10. De ældste personoplysninger var blevet registreret helt tilbage til den 1. april 2010.

Siden tilsynsbesøget i efteråret 2018 er de omfattede kundeoplysninger ifølge IDdesign blevet slettet, hvilket Datatilsynet også har taget med i sin afgørelse.

Også problemer i nyt system

Det gamle ERP-system ved navn AX 2.5, hvor datatilsynet fandt de for gamle oplysninger på 385.000 kunder, er ikke det eneste system, hvor Datatilsynet fandt problemer.

Også i et nyere ERP-system, ved navn AX 2012, som IDdesigns siden 2015 har brugt til behandling af kundeoplysninger, finder myndigheden kritikpunkter.

I det nye system burde kundernes oplysninger slettes automatisk efter en frist på 912 dage, hvilket svarer til reklamationsretten på 2,5 år, men dette var ikke tilfældet under Datatilsynets tilsyn med virksomheden.

»Under tilsynsbesøget ønskede Datatilsynet at undersøge, om slettefristerne var overholdt i forhold til behandling af oplysninger om kunder i AX 2012. Hertil oplyste IDdesign, at sletteprocedurerne endnu ikke var implementeret på tidspunktet for tilsynsbesøget, men ville blive det i de følgende dage, hvorfor der ville findes oplysninger om kunder i AX 2012, som havde overskredet fristen for sletning på 912 dage,« skriver Datatilsynet i sin afgørelse.

IDdesign har sidenhen oplyst til myndigheden, »at den automatiserede sletteprocedure blev implementeret få dage efter tilsynsbesøget.«

Læs også: Datatilsynet: Erhvervsstyrelsen har ulovligt offentliggjort følsomme personoplysninger

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (11)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Martin Storgaard Dieu

Man kan læse på bl.a. TV2 i dag:

Den danske møbelkoncern IDdesign tager konsekvensen af år med store millionunderskud og slår de to danske møbelkæder Ilva og Idemøbler sammen.

Så det får nok ikke så mange konsekevenser for IDdesign, at de har fået en bøde på 1,5 million, og dermed er Datatilsynets prøvesag for en stor GDPR-bøde nok med forsvindende lille effekt. Desværre.

  • 3
  • 0
Knud Larsen

Skat er helt oppe og køre, hvis ikke en virksomhed har orden i sine fakturarer.
De betyder, at man har gemt oplysninger som navn og adresse og købsdato og beløb det kræver loven???

Der nævnes en frist for lagring på 912 dage.
Det er noget vås der skal gemems i 5 år og hvis Skat mener/påstår at der er noget uregelmæssigt skal man have data for 10 år for at kunne forsvare sig.

Desuden ligner det et forsøg på at kriminalisere alle der brugt et bestemt ERP system? Er det rigtigt?

  • 1
  • 0
Bjarne Nielsen

Ja, den hæftede jeg mig også ved. Jeg har ved adskillige lejligheder hørt Bogføringsloven brugt som carte blanche for at undgå at tage stilling til sletning.

Bogføringsloven siger at "regnskabsmateriale" skal opbevares i 5 år, og at det inkluderer "bilag". Jeg er ikke jurist, men mon ikke at der her tænkes på fakturaer og kreditnotaer o.lign? Det er næppe alle oplysninger, som kan kommes ind under den hat, og det må især gælde, når reklamations- og klagemuligheder udløber.

Så det må - sådan sat lidt på spidsen - være rigeligt med en reol fuld af papirudskrifter af fakturaer i bogholderiets arkiv, fysisk bevogtet af hovedbogholderen. Eller sagt på en anden måde, hvor Bogføringsloven bruges som undskyldning, kan det ikke bruges som undskyldning for fortsat universel adgang for alle, men kun for dem, som skal bistå ved revision - og kun til de oplysninger, som er nødvendige til revision.

Som sagt, så er jeg ikke jurist, men henvisningen til Bogføringsloven forekommer mig lige lovlig bekvem.

Inden jeg for i blækhuset, så ville jeg lige læse datatilsynets afgørelse, og den er da også noget mere nuanceret.

En betydelig anke er da også, at man slet ikke har overvejet sletning, og så er det sådan set ligegyldigt at der tilfældigvis var et lovlig grundlag for nogle af registreringerne.

Der er åbenbart heller ikke tale om en ubetinget sletning efter de 912 - dels skelner man imellem flere forskellige kategorier af oplysninger, og her er der tale om oplysninger at kategorien "Kunder" i et af systemerne, og der sker en 'anonymisering' efter 912 dage, ikke en sletning (hvad det så må være ... fast læsere kender min holdning til det ord :-) ).

I øvrigt er det ikke kun oplysninger om kunder, som Datatilsynet har taget fat i; der er også oplysninger i et rekrutteringssystem (som næppe er omfattet af bogføringsloven?), samt et HR system. Her skulle der efter sigende ske sletning efter en fast procedure, men dokumentationen manglede.

Men kort sagt, så eksisterer der ikke en absolut sort/hvid grænse ved 5 år - så nemt er det ikke.

  • 2
  • 0
Finn Christensen

Men kort sagt, så eksisterer der ikke en absolut sort/hvid grænse ved 5 år - så nemt er det ikke.

Bogføringsloven..
Jo, grænsen står skis'm sort på hvidt i loven, Bjarne ;)

"§ 10. Den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Opbevaringen skal ske på en måde, som i hele opbevaringsperioden muliggør en selvstændig og entydig fremfinding af det pågældende regnskabsmateriale. "[1]

"§ 3. Som regnskabsmateriale anses.."[1]

Så det er 5 fulde år regnet fra u d l ø b e t af regnskabsåret. Dvs at du eks. 31.12 har hele 6 års bilag liggende og først den 1. januar makuleres/futtes det ældste års bilag af.

Har du forskudt regnskabsår, så er det kun datoer, der er ændret, men alt andet er uændret.

Men de rene kundeoplysninger fra reskontroen eller et register er jo ikke bilag som sådan. Så der træder reglen ind vedrørende opbevaring iht. personbeskyttelsesloven.
... og alligevel ...
Kunders navn etc. opbevares alligevel hyppigt udover disse grænser, da de jo kan være nævnt i de købs-/salgs-/betalingsbilag, som opbevares iht. § 10.

[1] ... https://www.retsinformation.dk/forms/r0710.aspx?id=27298#K6

  • 2
  • 0
Bjarne Nielsen

Jo, grænsen står skis'm sort på hvidt i loven, Bjarne ;)

Korrekt, men kun for "regnskabsmateriale", hvilket inkluderer bl.a bilag. Så man kan ikke ukritisk udbrede det til alt muligt andet, og som jeg indledningsvist bemærker, så er det noget, som jeg ellers har set systemejere gøre ved adskillige lejligheder.

Du er nødt til at forholde dig til, hvad du har af data - det er ikke sort/hvidt, og der eksisterer ikke en universel 5-års grænse for alle dine data. Kun for "regnskabsmateriale".

Og hvis den eneste grund til at have data er som "regnskabsmateriale", så skal det sikres, at det kun bruges som "regnskabsmateriale" - du må ikke bruge data til alle mulige andre ting bare fordi at du er pålagt en arkiveringspligt.

  • 3
  • 0
René Nielsen

Korrekt, men kun for "regnskabsmateriale",


Bjarne har ret, men svaret vil afhænge af hvordan det specifikke system er opbygget.

Som hovedregel gælder Bogføringsloven alene ”Hovedbogen” med tilhørende underbøger.

Det lyder fornuftigt at opbevare kundeoplysninger i garantiperioden, men derefter kan jeg ikke se at Bogføringsloven giver hjeml til at opbevarer kundeoplysninger om afsluttede og udlignende kundetransaktioner.

  • 0
  • 1
Knud Larsen

Uenig Bjarne
Du har da vist aldrig mødt Skat - det er en myndighed det vil sige de bedømmer og dømmer selv ligesom politiet og andre statsforetagender og 5 år er absolut.
Du er ikke tvunget til at have det på papir men du skal have materialet.
Så de 912 dae er meget mærkeligt.
Selvfølgelig for HR er det strammet og anderledes og det burde et professionelt ERP system da vide???

  • 1
  • 4
Aksel Koplev

Der er vel ikke så meget at undre sig over:
Datatilsynet spørger om sletteprocedurer for kundeoplysninger.

Firmaet svarer, at de har de styr på, for deres system sletter automatisk efter 912 dage. Datatilsynet kontrollerer om det passer, og det gør det ikke og så falder hammeren.
Det har ikke noget med 5/6 år i bogføringsloven.

  • 3
  • 0
René Nielsen

Så de 912 dae er meget mærkeligt.


Det er fint med lidt lægmandsbetragtninger men Skats kravs om opbevaring stopper når vi forlader bogføringsmaterialet.

Og hvad er så bogføringsmaterialet? Det er forskelligt fra situation til situation.

For at gå yderligheder så er det samme bogføringslov som gælder for den uafhængige automobilhandler som det er for Bilka.

Jeg har aldrig arbejdet for Bilka, men du tror da ikke Bilka sidder og bogfører hver ene kassebon og hver mælk for sig og opbevarer det i 5 år?

Bilka summerer hele dagens salg sammen fra deres Retailsystem pr. varehus og posterer salget ind via varegrupper i deres bogføringssystem således at mælk forsvinder ind i mejeriprodukter.

I retailsystemet opbevarer Bilka summerede oplysninger til statistiske formål, men jeg tvivler på at det er meget over en måned man gemmer pga. de store datamængder, hvorefter de ryger over i deres datawarehouse.

Vores autohandler har meget færre salg og til langt højere gennemsnitspriser. Her vil normal regnskabsprocedure tilsikre at SID (bilagsflowet imellem Salg-Indbetaling-Debitor) revideres/kontrolleres meget nøje. Men autohandleren skal stadig slette kundeoplysninger når tiden kommer umiddelbart efter garantiperiodens udløb.

I dit retail/Point-of-Sale system har du detaljerede oplysninger og i dit bogføringssystem har du hovedbogen med underbøger som kunde/leverandør/anlægsaktiver mv.

I gamle dage havde man alt i det samme ERP-system, i dag er det opdelt i systemer som CRM, Bogføring, MRP, MDM, osv. som er integreret via standardservices. Grunden er, at behovene er forskellige ligesom at lovene ændrer sig.

Prisen for systemvedligeholdelse er ekspotentielt voksende med de systemer som er samlet.

  • 3
  • 0
Jørgen L. Sørensen

Men autohandleren skal stadig slette kundeoplysninger når tiden kommer umiddelbart efter garantiperiodens udløb.

Egentlig behøver firmaet vel ikke gemme oplysninger af hensyn til garanti eller reklamationset --- det er vel kunden der i givet fald skal dokumentere købet og retten til reklamation eller garanti?

Men der kan måske være noget med mulighed for at tilbagekalde produkter hvis der er noget galt med sikkerheden, men det kan vel ske ved opslag eller ved pressemeddelelse ...

  • 0
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize