Det tyska fastighetsföretaget Deutsche Wohnen SE har av den tyska tillsynsmyndigheten dömts att utbetala 14,5 miljoner (motsvarande ca. 155 miljoner kronor) för överträdelse av dataskyddsförordningen. Företaget har lagrat personuppgifter betydligt längre tid än nödvändigt och har inte haft någon rättslig grund för behandlingen. Överträdelsen avsåg artikel 25 i förordningen, vilken handlar om tekniska och organisatoriska åtgärder och artikel 5 som tar upp de allmänna behandlingsprinciperna, särskilt vad gäller principerna om laglighet, ändamålsbegränsning och lagringsminimering.

Lagringslösningen som företaget hade innebar en mängd av ostrukturerad data, det vill säga information som lagras utan en igenkännbar struktur. Det kan vara dokument, filer, e-post, bilder, blanketter, försäkringsinformation, utdrag från anställningsavtal osv. som innehåller olika personuppgifter. Företaget saknade även ett livscykelperspektiv för behandlingen av uppgifterna, vilket vanligen är följden då det är svårt att kunna hålla en lämplig gallringsrutin för ostrukturerad data. Att personuppgifter inte får behandlas längre än nödvändigt är inget nytt, utan det var otillåtet även före dataskyddsförordningens ikraftträdande. Däremot fanns den så kallade missbruksregeln i Sverige innan förordningen trädde ikraft, vilken innebar enklare regler avseende personuppgifter i ostrukturerad data. Numera gäller samma regler för alla personuppgifter, samt att myndigheterna nu även kan utdöma sanktioner om företag och organisationer inte efterföljer förordningen.

Det är viktigt att regelbundet inventera ostrukturerad data och dokumentation för att kunna upprätthålla uppgifternas livscirkel och inte riskera att ”datakyrkogårdar” uppstår, som kommissionären för dataskydd i Berlin uttalade. I den tyska tillsynsmyndighetens beslut betonas att det är viktigt att registerhanteringen sker på detaljnivå och behovet av att kunna upprätthålla rutiner och system för översikt av personuppgifters hela livscykel i organisationen. Myndigheten ser allvarligt på saknaden av gallringsrutiner och uttalade lagringspolicys i organisationen, samt avsaknad av tekniska åtgärder för dataskyddet. Boten om 14,5 miljoner euro utgör två procent av företagets globala årliga omsättning och omständigheter som beaktades vid bestämmandet av beloppets storlek var att företaget har lagrat uppgifter på ett otillåtet sätt under många år, samtidigt som företaget förvisso påbörjat ett arbete med att åtgärda bristerna. Därtill har det inte kunnat bevisats att uppgifterna i det här fallet olagligen tillkommit tredje part. Företaget har redan överklagat beslutet, eftersom företaget menar att arkivsystemet numer är ersatt, samt att överträdelsen inte har medfört någon skada.

 

Tidigare publicerat i Affärsstaden 11 – 2019

Jessica Tornberg
Biträdande jurist
Maminza Advokatbyrå AB

Jessica Tornberg

Tillbaka till krönikor