Gemt

Datatilsynet politianmelder Det Kongelige Teater for manglende slettefrister

23. januar 2024

Datatilsynet har politianmeldt Det Kongelige Teater for ikke at have fastsat frister for sletning af oplysninger om kunder og nyhedsbrevsmodtagere til brug for markedsføring. Det skal udløse en bøde på 250.000 kr.

Datatilsynet indledte i september 2022 på eget initiativ en undersøgelse af Det Kongelige Teaters behandling af personoplysninger. Her blev det konstateret, at teateret ikke havde fastsat frister for sletning og opbevaring af oplysninger om 520.000 kunder og nyhedsbrevsmodtagere. Oplysningerne blev anvendt aktivt i markedsføringsøjemed. De blev kun slettet, hvis kunderne bad om det, eller hvis nyhedsbrevsmodtagerne trak deres samtykke tilbage.

Fastsæt slettefrister!
Personoplysninger må ikke opbevares længere end nødvendigt for at varetage de formål, oplysningerne er indsamlet til. Derfor er du nødt til at fastsætte nogle frister for, hvornår kundeoplysninger skal slettes, eller etablere faste procedurer eller retningslinjer for sletning af oplysningerne.

Det er dig selv som dataansvarlig, der ud fra formålene med behandlingen må vurdere, hvornår personoplysninger skal slettes. Du skal ud fra hver af de konkrete behandlinger, du foretager, dokumenterer de slettefrister, der er fastsat.

Når du har fastsat slettefrister, er det vigtigt, at du overholder dem. Gør du ikke det, kan du risikere en bøde for ikke at overholde de fastsatte slettefrister.

Vejledning om sletning af personoplysninger
Datatilsynet har udgivet en vejledning om bl.a. fastsættelse af slettefrister og procedurer for sletning samt opfølgning på, om sletning er sket. Læs vejledningen her

Bliv klogere på sletning på 12 minutter. Lyt til Datatilsynets podcast om sletning.

Politianmeldelse
Politianmeldelsen skete alene, fordi Det kongelige Teater ikke havde fastsat slettefrister. Datatilsynet tog ikke stilling til, om eller hvornår oplysningerne skulle have været slettet.

Når Datatilsynet beslutter, om en overtrædelse af GDPR skal politianmeldes, ser tilsynet på overtrædelsens grovhed. I det konkrete tilfælde mener Datatilsynet, at en politianmeldelse er nødvendig, da der er tale om et grundlæggende princip i GDPR, da det er en stor mængde personoplysninger, der behandles aktivt i markedsføringsøjemed, og da overtrædelsen efter tilsynets vurdering er begået ”forsætligt”, idet teateret var opmærksom på at der ikke var fastsat slettefrister.

Læs  Datatilsynets nyhed om politianmeldelse af Det Kongelige Teater