Først var det et taxaselskab og nu er det en møbelkæde, der er Datatilsynets spotlys. Således melder de i en pressemeddelelse, at møbelkæde IDdesign A/S, der er ejet af Lars Larsen, politianmeldes og indstilles til en bøde på 1.5 mio. kr. IDdesign bliver dermed den anden danske virksomhed, der indstilles til en bøde i millionklassen for brud på GDPR.
Ifølge afgørelsen, der kommer på baggrund af et tilsynsbesøg tilbage i efteråret, så mangler IDdesign at redegøre for, hvorfor man stadig i et gammelt it-system havde ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik, og at virksomheden ikke havde en procedure for, hvornår disse data skulle slettes.
I pressemeddelelsen skriver Datatilsynet:
"På baggrund af hvad Datatilsynet har konstateret i forbindelse med tilsynsbesøget, finder Datatilsynet grundlag for sammenfattende at konkludere:
- At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e (opbevaringsbegrænsning), idet virksomheden i systemet AX 2.5 har behandlet personoplysninger om cirka 385.000 kunder i en længere periode end nødvendigt til de formål, hvortil de blev behandlet.
- At IDdesign ikke i forhold til oplysningerne i systemet AX 2.5 har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke har fastlagt og dokumenteret frister for sletning af personoplysninger.
- At IDdesign ikke har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 1, litra e, idet virksomheden i systemet AX 2012 fortsat har behandlet personoplysninger om kunder, efter virksomhedens egen fastsatte slettefrist for oplysningerne er nået.
- At IDdesign ikke i forhold til virksomhedens rekrutteringssystem og HR system har overholdt kravene i databeskyttelsesforordningens artikel 5, stk. 2, jf. artikel 5, stk. 1, litra e, idet virksomheden ikke i tilstrækkelig grad har dokumenteret sine procedurer for sletning af personoplysninger.
Hele afgørelsen kan læses HER