12/06/2019 -

Datatilsynet politianmelder Dyne-Larsens møbelkæde med bødekrav på 1.5 mio. kr.


Datatilsynet har politianmeldt IDdesign A/S, der står bag ILVA og IdéMøbler, og indstillet virksomheden til en bøde på 1,5 mio kr. for manglende sletning af oplysninger om ca. 385.000 kunder.

Rasmus Lehmann Hylleberg


Først var det et taxaselskab og nu er det en møbelkæde, der er Datatilsynets spotlys. Således melder de i en pressemeddelelse, at møbelkæde IDdesign A/S, der er ejet af Lars Larsen, politianmeldes og indstilles til en bøde på 1.5 mio. kr. IDdesign bliver dermed den anden danske virksomhed, der indstilles til en bøde i millionklassen for brud på GDPR.

Ifølge afgørelsen, der kommer på baggrund af et tilsynsbesøg tilbage i efteråret, så mangler IDdesign at redegøre for, hvorfor man stadig i et gammelt it-system havde ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik, og at virksomheden ikke havde en procedure for, hvornår disse data skulle slettes.

I pressemeddelelsen skriver Datatilsynet: 

"På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:

- At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.

- At IDdesign ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger.

- At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.

- At IDdesign ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.

Hele afgørelsen kan læses HER

Del denne fra K-NEWS

Skal vi holde dig opdateret?

Få besked om nye artikler og podcast direkte i din mailboks ved at tilmelde dig herunder.

Vi indsamler ikke data om dig – og journalistikken, vi leverer, er gratis.

Nyhedsmail. Ja tak