GDPR Millionbøde til Gyldendal

Datatilsynet markerer skarpt at data ikke må opbevares “længere end nødvendigt” i en ny indstilling til Politiet.

Datatilsynet anmelder nu Gyldendal til politiet og indstiller til en bøde på 1.000.000 kr. for at opbevare oplysninger om 685.000 bogklub-medlemmer længere tid end nødvendigt.

På baggrund af et tilsynsbesøg hos Gyldendal A/S har Datatilsynet anmeldt virksomheden til politiet og indstillet til en bøde på 1.000.000 kr. På tilsynsbesøget kom det frem, at oplysninger om ca. 685.000 udmeldte medlemmer af Gyldendals bogklubber blev opbevaret i længere tid, end der var behov for.

I stedet for at slette oplysninger om udmeldte medlemmer af bogklubberne opbevarede Gyldendal oplysningerne i en såkaldt ”passiv database”. Oplysninger om ca. 395.000 af de tidligere medlemmer var blevet opbevaret i mere end 10 år efter, de havde meldt sig ud af bogklubberne. Gyldendal havde ingen procedurer eller retningslinjer for sletning af oplysninger i den passive database.

Efter tilsynsbesøget slettede Gyldendal alle oplysningerne i den passive database og oplyste til Datatilsynet, at det efter virksomhedens vurdering fremover ville være nødvendigt at opbevare oplysninger om udmeldte medlemmer i op til seks år.

”Et af de helt grundlæggende principper er, at man ikke skal opbevare folks oplysninger længere, end det er nødvendigt. I dette tilfælde mener vi, at en bødestraf er passende, fordi det drejer sig om rigtig mange danskeres oplysninger, der er blevet opbevaret uden noget sagligt formål i meget lang tid,”

Det skriver Ditte Yde Amsnæs, kontorchef i Datatilsynet.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af forordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den mest hensigtsmæssige.

Ved vurderingen af, at der bør idømmes en bøde, har Datatilsynet lagt vægt på, at overtrædelsen vedrører to grundlæggende principper for behandling af personoplysninger – principperne om ”opbevaringsbegrænsning” og ”ansvarlighed” – og berører et meget stort antal registrerede.

Datatilsynet har endvidere lagt vægt på, at der ikke er tale om en enkeltstående fejl, men et grundlæggende problem. Datatilsynet har endvidere i skærpende retning lagt vægt på, at overtrædelsen efter tilsynets vurdering er begået forsætligt.

I formildende retning har Datatilsynet bl.a. lagt vægt på, at Gyldendal har ageret særdeles samarbejdsvillig, og at der ifølge Gyldendal kun var to medarbejdere, der havde adgang til den passive database.

Kilde: Datatilsynet
Fotokredit: Logo tilhører Datatilsynet.

Scroll til toppen