11.11.19 Bilbranchen Nyheder

Har du oplysninger om (tidligere) kunder, der bør slettes?

Hvor længe opbevarer din virksomhed oplysninger om jeres kunder, har I fastsat frister for sletning af oplysningerne, og efterlever I fristerne? To sager fra Datatilsynet viser, at GDPR-reglerne er et område, der skal tages alvorligt, da det ellers kan føre til store bøder.

Datatilsynet har i to sager indstillet to virksomheder til bøder på henholdsvis 1,2 mio. kr. og 1,5 mio. kr. for overtrædelse af GDPR-reglerne. I den ene sag udtalte Datatilsynet, at man ikke kan fastsætte en længere slettefrist end nødvendigt, blot fordi virksomhedens system gør det besværligt at efterleve reglerne. I den anden sag havde virksomheden ikke en slettefrist og havde i øvrigt ikke foretaget sletning af personoplysninger. Virksomheden havde derfor oplysninger om mange personer, der ikke var nødvendige, herunder købshistorik tilbage til 2010.

Sagerne viser, at det er vigtigt, at virksomheden gør noget, og ikke bare lader stå til. I første omgang skal virksomheden selv fastsætte procedurer for behandling af oplysninger om kunderne og frister for sletning. Det er dernæst vigtigt, at virksomheden også aktivt følger op på og kontrollerer, at oplysningerne bliver behandlet på en sikkerhedsmæssig forsvarlig måde. De skal også sørge for, at oplysningerne bliver slettet, når det ikke længere er nødvendigt at opbevare dem.

Ved kunder, der løbende får udført service og reparationer, vil der typisk ikke være problemer med at opbevare almindelige personoplysninger om kunden, f.eks. navn, adresse, telefonnummer, servicehistorik og lignende. Personfølsomme oplysninger vil man derimod ikke kunne opbevare. Et eksempel kan være, at en kunde aflyser et servicebesøg med oplysning om, at han skal indlægges på hospitalet. Virksomheden kan notere, at servicebesøget er aflyst, men virksomheden bør ikke opbevare oplysningen om årsagen.

Er kundeforholdet ophørt, skal virksomheden være opmærksom på, hvornår oplysningerne om kunden skal slettes. Generelt skal der være et sagligt formål med at opbevare oplysningerne. Det saglige formål kan følge af en pligt i lovgivningen til at opbevare oplysningerne. Det kan f.eks. være vedrørende prøvekørsel eller efter regnskabslovgivningen. Det kan også være en forpligtelse efter købeloven eller en aftale om ydelse af garanti.

Hvis du har spørgsmål om behandlingen af personoplysninger, herunder f.eks. slettefrister, kan du altid henvende sig til en af branchejuristerne i Bilbranchen.

Skrevet af:

Niels Bruun

Niels Bruun

Chefkonsulent

  • Direkte +45 3377 3078
  • Mobil +45 5213 2388
  • E-mail nibr@di.dk

Relateret