Den danska dataskyddsmyndigheten Datatilsynet anmäler Gyldendal A/S till polisen och rekommenderar böter på 1 000 000 danska kronor. Datatilsynet anser att Gyldendal lagrat information om 685 000 bokklubbsmedlemmar längre än nödvändigt i strid med reglerna i dataskyddsförordningen (GDPR).
Vid ett tillsynsbesök upptäckte Datatilsynet att Gyldendal, istället för att radera uppgifter om avregistrerade medlemmar i bokklubbarna, lagrat uppgifterna i en så kallad passiv databas. Information om cirka 395 000 av tidigare medlemmar har behållits i mer än 10 år efter att de valt bort bokklubbarna. Gyldendal har enligt Datatilsynet inte heller haft rutiner eller riktlinjer för att radera information i den passiva databasen.
Efter tillsynsbesöket raderade Gyldendal all information i den passiva databasen och informerade Datatilsynet om att det enligt företagets bedömning i fortsättningen skulle bli nödvändigt att lagra uppgifter om avgångna medlemmar i upp till sex år.
Vid bedömningen om en sanktionsavgift bör utdömas framhåller Datatilsynet att överträdelsen rör två grundläggande principer för behandling av personuppgifter, principerna om lagringsminimering enligt artikel 5.1 (e) GDPR och ansvarsskyldighet enligt 5.2 GDPR, och att överträdelsen berört ett mycket stort antal uppgifter. Enligt Datatilsynet har händelsen inte varit ett isolerat misstag, utan ett grundläggande problem hos företaget. Överträdelsen har också enligt Datatilsynet skett uppsåtligen.
I förmildrande riktning framhåller Datatilsynet bland annat att Gyldendal agerat synnerligen samarbetsvilligt, och att endast två anställda enligt Gyldendal haft tillgång till den passiva databasen.