Det tyska fastighetsbolaget Deutsche Wohnen SE använde ett datorsystem där det inte gick att ta bort gamla uppgifter om hyresgäster. Berlins kommissionär för dataskydd granskade företaget och beslutade om en sanktionsavgift på 155 miljoner SEK. Det är ett brott mot dataskyddsförordningen (GDPR) att behålla uppgifter längre än nödvändigt.
Den 30 oktober i år fick det tyska fastighetsbolaget Deutsche Wohnen SE en rekordhög bot på 14,5 miljoner Euro från en av Tysklands lokala ”dataskyddsmyndigheter”, Berlin DPA.
Sanktionsavgiften utfärdades på grund av bostadsbolagets oförmåga att gallra personuppgifter.
Enligt Berlin DPA innehöll bolagets register uppgifter om hyresgästernas personliga och ekonomiska förhållanden; såsom lönespecifikationer, utdrag från anställnings- och utbildningsbevis, skatteuppgifter, socialförsäkring, hälsoförsäkring och bankutdrag.
Berlin DPA ansåg att bostadsbolaget behöll personuppgifter väsentligt längre än nödvändigt, vilket skulle vara brott mot Dataskyddsförordningen, på tre punkter:
· För det första saknade den personuppgiftsansvarige en rättslig grund för att lagra personuppgifter längre än vad som var nödvändigt, vilket betraktades som en överträdelse av kravet på inbyggt dataskydd. enligt artikel 25.1 i Dataskyddsförordningen.
· För det andra betraktades även bristen på gallringssystem som en överträdelse av principerna för ”Inbyggt dataskydd och dataskydd som standard” enligt artikel 25.1.
· Slutligen, menade Berlin DPA, innebar försummelsen en överträdelse av de allmänna behandlingsprinciperna i artikel 5 i Dataskyddsförordningen (bl a krav på laglighet, öppenenhet, ändamålsbegränsning och uppgiftsminimering).
Tidigare varningar ignorerades. Berlin DPA menade att bostadsbolaget hade misslyckats med att skapa ett GDPR-kompatibelt datalagrings- och raderingssystem för hyresgästernas personuppgifter. Detta förvärrades av det faktum att Berlin DPA redan under 2017 (samt även 2019) hade anmärkt på bolagets bristande gallringsrutiner, under revisioner på plats.
Berlin DPA menade att Deutsche Wohnen lätt kunde ha uppfyllt myndighetens krav från 2017 genom att införa ett system för gallring som separerar data med olika lagringsperioder, eftersom sådana lösningar är kommersiellt tillgängliga.
Myndighetens beslut är ännu inte slutgiltigt och det bötfällda bostadsbolaget har redan meddelat att man kommer överklaga bötesbeloppet i domstol.
Rädsla för datakyrkogårdar. Det blir uppenbart att de tyska tillsynsmyndigheterna lägger särskild vikt vid radering av personuppgifter med tanke på risken för cyberattacker mot dåligt skyddade "datakyrkogårdar" som kan orsaka stora skador för de registrerade.
Maja Smoltczyk, kommissionär för Berlin DPA säger i en intervju: ”Datakyrkogårdar, som dem vi fann hos Deutsche Wohnen, är olyckligtvis något vi ofta hittar i vår kontrollverksamhet. Tyvärr kommer explosiviteten i sådana här missförhållanden i dagen först när något händer, som cyberattacker eller obehörig åtkomst till mängder av hamstrad information”.
Källor: DLA Piper Blogs, Informationsperspektiv
