Møbelvirksomheden IDdesign er blevet politianmeldt og indstillet til en bøde på 1,5 millioner kroner af Datatilsynet, efter at myndigheden har konkluderet, at virksomheden har handlet i strid med databeskyttelsesforordningen.
Politianmeldelsen og bødekravet kommer efter, at Datatilsynet i efteråret var på tilsynsbesøg i møbelvirksomheden, som ejes af erhvervsmanden Lars Larsen.
I forbindelse med tilsynsbesøget kom det frem, at IDdesign ulovligt har undladt at slette oplysninger om navn, adresse, telefonnummer, e-mail og købshistorik på 385.000 kunder i deres ERP-systemer. Derudover manglede virksomheden at fastsætte og dokumentere frister for sletning af personoplysninger.
Udover en politianmeldelse og et bødekrav har den manglende sletning af persondata fået Datatilsynet til at udtale »alvorlig kritik« af virksomheden.
»Datatilsynet finder derfor, at IDdesign ikke har overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden har behandlet personoplysningerne længere end nødvendigt,« skriver myndigheden i sin afgørelse til sagen.
Datatilsynets konklusioner På baggrund af et tilsyn i efteråret 2018, der havde fokus på sletning af personoplysninger, har Datatilsynet politianmeldt møbelvirksomheden IDdesign og stillet et krav om bødestraf på 1,5 millioner for følgende lovbrud: IDdesign har ikke overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet. Udover politianmeldelsen og bødekravet udtaler Datatilsynet alvorlig kritik af virksomheden for følgende punkter: a) IDdesign har ikke i forhold til oplysningerne i systemet AX 2.5 overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger. b) IDdesign har ikke overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået. c) IDdesign har ikke i forhold til virksomhedens rekrutteringssystem og HR system overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger. Kilde: Datatilsynet
Oplysninger gemt siden 2010
Den ulovlige behandling og opbevaring af kundeoplysninger er blandt andet foregået i et gammelt system til behandling af kundeoplysninger, som bruges i tre IDE-møbler-butikker, der hører under IDdesign-koncernen.
I systemet, der kaldes AX 2.5, er oplysningerne om virksomhedens kunder blevet registreret og koblet til såkaldte identifikationsnumre for hver kunde.
Men møbelvirksomheden har ikke taget stilling til, hvornår disse kundeoplysninger i det gamle system ikke længere var nødvendige at opbevare, og derfor er der ikke blevet fastsat regler for, hvornår der skulle være sletningsfrister for de oplysninger, der blev behandlet i systemet.
Derudover har IDdesign oplyst til Datatilsynet, at der indtil tilsynsbesøget aldrig er blevet foretaget sletning af personoplysninger i de gamle systemer.
Overfor Datatilsynet har IDdesign oplyst, at der i alt har været opbevaret 823.178 kunde-identifikationsnumre i det gamle system. Dog var de 385.000 af kunderne i systemet blevet registreret for mere end fem år siden, og derfor blev de opbevaret i strid med bogføringslovens § 10. De ældste personoplysninger var blevet registreret helt tilbage til den 1. april 2010.
Siden tilsynsbesøget i efteråret 2018 er de omfattede kundeoplysninger ifølge IDdesign blevet slettet, hvilket Datatilsynet også har taget med i sin afgørelse.
Også problemer i nyt system
Det gamle ERP-system ved navn AX 2.5, hvor datatilsynet fandt de for gamle oplysninger på 385.000 kunder, er ikke det eneste system, hvor Datatilsynet fandt problemer.
Også i et nyere ERP-system, ved navn AX 2012, som IDdesigns siden 2015 har brugt til behandling af kundeoplysninger, finder myndigheden kritikpunkter.
I det nye system burde kundernes oplysninger slettes automatisk efter en frist på 912 dage, hvilket svarer til reklamationsretten på 2,5 år, men dette var ikke tilfældet under Datatilsynets tilsyn med virksomheden.
»Under tilsynsbesøget ønskede Datatilsynet at undersøge, om slettefristerne var overholdt i forhold til behandling af oplysninger om kunder i AX 2012. Hertil oplyste IDdesign, at sletteprocedurerne endnu ikke var implementeret på tidspunktet for tilsynsbesøget, men ville blive det i de følgende dage, hvorfor der ville findes oplysninger om kunder i AX 2012, som havde overskredet fristen for sletning på 912 dage,« skriver Datatilsynet i sin afgørelse.
IDdesign har sidenhen oplyst til myndigheden, »at den automatiserede sletteprocedure blev implementeret få dage efter tilsynsbesøget.«
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
