Kundedata ikke slettet – kan få bot

Det er nå cirka to år siden personvernforordningen trådte i kraft i Norge, og virksomhetene har hatt god tid til å sette seg inn i regelverket og tilpasse deres behandling av personopplysninger. Vår erfaring er imidlertid at mange virksomheter fortsatt mangler gode rutiner for behandling av personopplysninger. Dette gjelder særlig urettmessig gjenbruk av personopplysninger, uklare rutiner for sletting av kundeinformasjon og manglende sikkerhet ved behandlingen.

Vi stiller oss noe undrende til dette, særlig sett i sammenheng med at brudd på reglene kan medføre bøter opptil 20 millioner euro eller fire prosent av virksomhetens samlede globale årsomsetning.

I 2017 varslet Datatilsynet hotellet The Thief i Oslo, om at de måtte endre på hotellets kartlegging og bruk av personlig informasjon om sine stamgjester. I etterkant har hotellet lagt om sine rutiner og alle gjester blir nå opplyst om at hotellet innhenter og lagrer personopplysninger, men at man kan reservere seg mot dette. Hotellet unngikk derved bot.

Loven er imidlertid skjerpet, og man kan ikke lenger forvente mild behandling ved brudd.

I fjor fikk hotellet World Trade Center Bucharest i Romania en bot på 15.000 euro for uautorisert bruk av kunders navn og matpreferanser.

Les også: Rekordsommer for Rømskog Spa & Resort – etterspørselen økte med 270 prosent

Den danske hotellkjeden Arp-Hansen Hotel Group A/S, med kjente hoteller som Imperial og Tivoli, er nå politianmeldt for manglende sletting av kundeinformasjon og det er foreslått en bot på 1,6 millioner kroner. Hotellkjeden har rutiner for behandling av personopplysninger, men problemet er at rutinene for sletting ikke har vært overholdt. Det danske Datatilsynet har også anmeldt to andre virksomheter for samme forhold.

Det er altså ikke nok å etablere gode rutiner, dersom rutinene ikke overholdes. Når formålet med behandlingen av personopplysningene ikke lenger er til stede, skal de normalt slettes. At systemet ikke tillater at personopplysninger slettes, eller at slettingen vil medføre en særdeles omfattende jobb, er ikke et legitimt unntak i henhold til personvernforordningen.

Virksomheter som fortsatt ikke har tilpasset seg de nye reglene, bør være bekymret. Manglende oppmerksomhet omkring regelverket kan bli en kostbar lærdom.(Vilkår)Copyright Dagens Næringsliv AS og/eller våre leverandører. Vi vil gjerne at du deler våre saker ved bruk av lenke, som leder direkte til våre sider. Kopiering eller annen form for bruk av hele eller deler av innholdet, kan kun skje etter skriftlig tillatelse eller som tillatt ved lov. For ytterligere vilkår se her.