Danmark: Gyldendal polisanmäls och rekommenderas böter på 1 miljon danska kronor

Den danska dataskyddsmyndigheten Datatilsynet anmäler Gyldendal A/S till polisen och rekommenderar böter på 1 000 000 danska kronor. Datatilsynet anser att Gyldendal lagrat information om 685 000 bokklubbsmedlemmar längre än nödvändigt i strid med reglerna i dataskyddsförordningen (GDPR).

Vid ett tillsynsbesök upptäckte Datatilsynet att Gyldendal, istället för att radera uppgifter om avregistrerade medlemmar i bokklubbarna, lagrat uppgifterna i en så kallad passiv databas. Information om cirka 395 000 av tidigare medlemmar har behållits i mer än 10 år efter att de valt bort bokklubbarna. Gyldendal har enligt Datatilsynet inte heller haft rutiner eller riktlinjer för att radera information i den passiva databasen.

Efter tillsynsbesöket raderade Gyldendal all information i den passiva databasen och informerade Datatilsynet om att det enligt företagets bedömning i fortsättningen skulle bli nödvändigt att lagra uppgifter om avgångna medlemmar i upp till sex år.

Vid bedömningen om en sanktionsavgift bör utdömas framhåller Datatilsynet att överträdelsen rör två grundläggande principer för behandling av personuppgifter, principerna om lagringsminimering enligt artikel 5.1 (e) GDPR och ansvarsskyldighet enligt 5.2 GDPR, och att överträdelsen berört ett mycket stort antal uppgifter. Enligt Datatilsynet har händelsen inte varit ett isolerat misstag, utan ett grundläggande problem hos företaget. Överträdelsen har också enligt Datatilsynet skett uppsåtligen.

I förmildrande riktning framhåller Datatilsynet bland annat att Gyldendal agerat synnerligen samarbetsvilligt, och att endast två anställda enligt Gyldendal haft tillgång till den passiva databasen.

Mer information

Myndighet: Datatilsynet

Land: Danmark

Lagrum: Art. 5 GDPR

Sanktionsavgift: 1 000 000 danska kronor

Mottagare: Gyldendal A/S

Beslutsnummer: N/A

Beslutsdatum: 2022-06-22

Källa: Pressmeddelande

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

14 MAR

NIS 2-direktivet – Cybersäkerhet i praktiken

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.

11 APR

Introduktion till Cyber Resilience Act

En genomgång av Cyber Resilience Act och hur du kan tillverka, distribuera och sälja produkter med digitala element på ett lagenligt sätt.