€ 200.000 GDPR-boete: het belang van bewaartermijnen en documenteren

De Deense toezichthoudende autoriteit stelt een boete voor van 1,5 miljoen DKK (ongeveer € 200.000) aan een Deense meubelfabrikant (IDDesign) voor het niet naleven van de verplichtingen inzake bewaartermijnen van persoonsgegevens.

• Lees ook: 1 jaar GDPR: een overzicht van handhaving, waarschuwingen en boetes

Wat is er gebeurd?

In oktober 2018 kreeg een Deense meubelfabrikant een vragenlijst van de toezichthoudende autoriteit met betrekking tot de ERP (Enterprise Resource Planning) software die door de fabrikant werd gebruikt. Onder meer doordat de meubelfabrikant in deze vragenlijst verklaarde verwerker (in plaats van verantwoordelijke) te zijn voor de persoonsgegevens van hun klanten, startte de Deense toezichthoudende autoriteit een onderzoek.

Tijdens het onderzoek bleek dat de meubelfabrikant geen bewaartermijnen had geïmplementeerd in de ERP software. De persoonsgegevens, waaronder naam, telefoonnummer, e-mailadres en aankoophistoriek, van ongeveer 800.000 klanten van de fabrikant werden dus voor een onbeperkte termijn bewaard.

Het principe van opslagbeperking

Volgens artikel 5.1.e van de GDPR moeten persoonsgegevens...

...worden bewaard in een vorm die het mogelijk maakt de betrokkenen niet langer te identificeren dan voor de doeleinden waarvoor de persoonsgegevens worden verwerkt noodzakelijk is [...].

Met andere woorden, het langer dan noodzakelijk bewaren van persoonsgegevens is een schending van het zogenaamde principe van opslagbeperking uit de GDPR.

Uit de verantwoordingsplicht (accountability) volgt ook dat de verantwoordelijke voor de verwerking moet kunnen aantonen dat het principe van opslagbeperking wordt nageleefd. In dit geval had de meubelfabrikant echter nagelaten om de bewaartermijnen en de naleving ervan middels een gepaste interne policy te documenteren.

Het vervolg van het onderzoek

Na het onderzoek van de Deense toezichthoudende autoriteit had de meubelfabrikant ongeveer de helft van de ongeveer 800.000 klanten verwijderd uit het systeem. De andere helft moest langer worden bijgehouden om te voldoen aan een boekhoudkundige verplichting.

Ondertussen had de meubelfabrikant ook nieuwe ERP software aangekocht waarbij de persoonsgegevens van de categorie “klanten” voor 912 dagen zouden worden bijgehouden. Deze termijn kwam volgens de fabrikant overeen met de periode waarin men een klacht kon instellen. Na het verstrijken van 912 dagen zouden de persoonsgegevens worden geanonimiseerd, ondanks dat op sommige producten een garantietermijn van 25 jaar van toepassing was.

Vervolgonderzoek van de Deense toezichthoudende autoriteit toonde echter aan dat ook deze bewaartermijn niet in de nieuwe ERP software van de fabrikant werd geïmplementeerd waardoor de persoonsgegevens langer werden bijgehouden dan 912 dagen. Dit was opnieuw een inbreuk op het principe van opslagbeperking.

Naast de inbreuken vastgesteld bij het gebruik van de ERP software werden er ook gelijkaardige inbreuken vastgesteld in twee HR systemen die door de meubelfabrikant werden gebruikt. Voor al deze inbreuken stelt de Deense toezichthoudende autoriteit een administratieve boete voor van ongeveer € 200.000 (omgerekend).

Voorlopige lessen uit deze zaak

• Ook zogenaamde klassieke ondernemingen waarbij het verwerken van persoonsgegevens geen core business is kunnen een boete oplopen indien zij de GDPR basisprincipes niet naleven (bijvoorbeeld een meubelfabrikant in dit geval).
• Vermijd fouten of onzorgvuldigheden in een vragenlijst van de toezichthoudende autoriteit om het risico op een onderzoek te beperken (bijvoorbeeld, verklaar niet een verwerker te zijn voor persoonsgegevens wanneer je duidelijk verantwoordelijke bent, bijvoorbeeld voor gegevens van klanten verwerkt in ERP software).
• Verwerk persoonsgegevens enkel voor een periode noodzakelijk om het doel te vervullen.
• Zorg ervoor dat deze bewaartermijnen juridisch onderbouwd zijn.
• Documenteer de bewaartermijnen en de naleving ervan schriftelijk.
• Implementeer de bewaartermijnen in alle IT systemen (bijvoorbeeld ERP software).

Meer weten over de verplichtingen die voortvloeien uit de GDPR en de bijbehorende sancties? Neem contact op met Timelex.