汉堡：因错过删除期限被罚款 90 万欧元

fabiha01

正如英语谚语所说，“脱掉手套！” GDPR调整期终于结束了！汉堡数据保护和信息安全专员（HmbBfDI）当前就删除期限问题做出的罚款决定也证明了这一点。

程序目录中最大的症结之一，同时也是许多公司最不受欢迎的话题之一，就是缺少或不正确的数据删除期限。作为数据保护顾问，我们以友好而坚定的方式反复指出，这些不仅必须明确记录，而且还必须在实践中实施。目前汉堡监管部门对此问题的决定已经不再那么友好了。HmbBfDI 的 Thomas Fuchs 表示：“如果从事数据驱动型数字行业的公司没有连贯的删除概念，那是不可接受的 (...) 。”因此，在本案中，由于多年来大量忽视删除义务，被处以近100 万欧元的罚款。

这是怎么发生的？
经常发生的情况是，（前）员工或外部第三方向数据保护监管机构报告违规行为，然后对其进行调查。但这次的情况有所不同。作为重点审计的一部分，一些位于汉堡的应收账款管理公司接受了审计。在这个领域尤为重要的是，大量违约债务人的个人财务数据需要进行处理。这些信息对于受影响的人来说具有特别高的风险潜力，因此需要高度的保护。

监管机构就在门口
那么，当监管机构上门审计时，究竟会发生什么呢？

首先，通常会向接受审计的公司发送详细的调查问卷，这些问卷可以涵盖广泛的数据保护领域。这些包括，例如，爱尔兰商业传真列表 处理活动列表、技术和组织措施（TOM）、模型文件（例如，根据 GDPR 第 13 条及后续条款处理个人数据的信息、关于行使数据主体权利的模型）和订单处理合同。这些内容必须表述得明确、清晰，以便即使非法律专家也可以轻松理解其中包含的信息。完成的问卷可以深入了解数据保护水平和 GDPR 在实践中的实施情况。

在公司场所预约采访负责数据保护的员工并检查系统以进行审计的情况并不少见。因此，仅仅有一个详细的灭火概念，而不在日常实践中认真执行它是远远不够的。具体来说，这意味着必须对数据进行分类、整理，当不再需要数据或经过一定法定期限后，必须销毁数据。因此，应尽可能避免无限地积累某些时候可能再次需要的数据。尽管这可能很诱人，但请不要成为数据囤积者！

在本案中，问卷调查中的信息揭示了一些异常情况，随后在公司现场进行了更详细的检查。事实证明，数十万份个人数据在保留期过后仍被继续存储和处理多年。没有发生正确的删除！

有些人现在可能会想，“哦，那么他们应该赶紧删除这些东西，这样就没事了！”但在数据保护中，适用所谓的“保留许可的禁止”。这意味着，除非《第 14 条》规定至少有一项法律依据，否则一般总是禁止处理个人数据。 6 满足 GDPR。如果不是这样，这又违反了《条例》规定的合法性原则。 GDPR 第 5（1）（a）条。这里特别成问题的是，一旦保留期到期，处理的法律基础也将不复存在，这意味着多年来存储数十万条数据记录和大量数据主体一直是非法的。

罚款
正如这里所见，违反GDPR 原则之一总是特别严重。根据 GDPR 第 83 条第 5 款 a 项规定，在这些情况下，罚款最高可达 2000 万欧元或上一财年全球年营业额的 4%（以较高者为准），因此罚款金额特别高。

然而，由于有关公司表现出理解并与监管机构进行了专业合作，因此在确定罚款时考虑到了这一点。相关决定现已具有法律约束力，这意味着它不再受到有效挑战。

但对应收账款管理部门另一家公司的审计目前仍在进行中。在这里，也发现了与删除期有关的类似问题。这里是否也会受到同样严厉的惩罚还有待观察。所以它仍然令人兴奋！

结论
删除期常常被人们视为一件微不足道的事情。因此，这笔罚款应该给所有持有这种观点的人敲响警钟。这表明删除数据实际上是多么重要。

因此，如果您尚未详细了解您的灭火概念或其实施情况，那么现在是时候了！如果这项艰巨的任务对你来说有点难以承受，请记住你并不孤单。我们始终乐意为您提供支持！