SCA连载GDPR罚单 | 丹麦IDdesign公司被罚150万丹麦克朗案件

摘要：2019年6月3日，丹麦数据保护局因IDdesign未能严格遵守数据存储限制、最小范围、责任原则以及丹麦对数据保留期的具体规定，对其处以150万丹麦克朗（约156万人民币）的罚款。

20万欧元）。丹麦IDdesign公司给我国海外企业带来了哪些启示？让我们和SCA讨论一下吧！

The details of the case are in accordance with the provisions of Denmark 《数据保护法》 (Data Protection Law: DPA) and 《一般数据保护条例》 (General Data Protection Law: GDPR).

2018年秋季，丹麦数据保护局对IDdesign进行了一次审计，以检查该公司是否为删除客户信息设定了最后期限，以及是否遵守了最后期限。

发现IDdesign约385，000名客户的个人数据超出了最初处理目的所需的时间范围。此外，该公司将客户发票信息和人员招聘信息存储在各种IT系统中，但在存储期结束后未删除相关数据。而且，

对于其他被删除的数据，IDdesign也未能记录和存档删除个人数据的过程。

应数据保护局的要求，在审计之前，IDdesign为丹麦数据保护局选择的每个处理个人数据的系统填写了一份问卷，并将这些问卷与其他材料一起提交给审计部门。根据丹麦数据保护局的审计结果，

丹麦数据保护局得出以下结论：

1.IDdesign不符合《一般数据保护条例》（GDPR）第5条第1（e）款中的存储限制要求：可识别数据主体的存储时间不得长于个人数据处理所需的时间（“存储限制”原则）。

然而，IDdesign在AX 2.5系统中处理约385，000名客户的个人数据的时间比处理这些数据所需的时间更长。

2.IDdesign和AX 2.5系统中的信息不符合《一般数据保护条例》（GDPR）第5条第2款的要求：数据控制者应对第1款的规定负责，并应证明其符合第1款的规定（“责任”原则）。

由于公司没有确定和记录删除个人数据的截止日期，因此——IDdesign没有在AX 2.5中设置删除个人数据的截止日期，也从未删除系统中的个人数据。

3.外观设计不符合《一般数据保护条例》（GDPR）第5条第1款的要求。据数据保护局称，

IDdesign继续在AX 2012系统中处理客户的个人数据，因为它没有遵守公司自己设定的删除客户个人数据的最后期限。尽管该公司设定了自己的信息截止日期，但并未遵守。

因此，它不符合《一般数据保护条例》（GDPR）第5条第1款的要求：个人数据的存储方式不能使识别数据主体所需的时间长于处理个人数据所需的时间（“存储限制”原则）。

在评估中，数据检查员强调-基于个人数据最晚于2015年7月9日输入AX 2012的事实-这是一个相对较短的时间，最长的监督访问是在2018年10月8日进行的-并且超过了912天的删除期限（SCA提醒，

企业还应注意丹麦数据保护局关于企业数据保留时间的规定）。

4.在IDdesign的审计访问期间，丹麦数据保护局还审查了从该公司的招聘系统YoungCRM和该公司的人力资源系统日程表中删除个人信息的程序。发现该公司没有完整记录其删除个人数据的程序。在审计之前，

IDdesign表示这两个系统中的删除是根据删除截止日期手动完成的。数据保护局认为，没有跟踪和删除个人数据的书面程序，使这些程序固定下来，应该在现有程序中进行登记。

数据保护局认为IDdesign不符合《一般数据保护条例》（GDPR）第5（1）条的要求（“存储限制”原则）。

根据丹麦数据保护局的审计结果，违规行为分析总结如下：

1.外观设计不符合《一般数据保护条例》（GDPR）第5条第1款（“储存限制”原则）的要求。

因为该公司在AX 2.5系统中处理多达385，000名客户的个人数据所需的时间比处理这些数据所需的时间更长。

2.IDdesign和AX 2.5系统中的信息不符合《一般数据保护条例》（GDPR）第5条第2款（“责任原则”）的要求。因为公司没有设定和记录删除个人数据的截止日期。

3.外观设计不符合《一般数据保护条例》（GDPR）第5条第1款（“储存限制”原则）的要求。由于公司在系统中设置了自己的信息截止日期，因此公司在AX 2012系统中继续处理客户的个人数据。

企业应注意丹麦数据保护局对企业数据保留时间的规定。

4.id设计不符合《一般数据保护条例》（GDPR）第5（1）条中招聘系统和人力资源系统的要求，因为公司没有完整记录其删除个人数据的程序。

合规启蒙1。根据违规分析，IDdesign公司的许多数据处理行为违反了《一般数据保护条例》（GDPR）中与个人数据相关的原则中的“存储限制”原则，因此企业应严格遵守存储限制原则。

个人数据不能以识别数据主体所需时间长于处理个人数据所需时间的方式存储。这意味着当不再需要个人数据时，应将其删除或匿名化；

2.YoungCRM中删除个人信息的程序、IDdesign公司的招聘系统以及公司HR系统的时间表都没有正确记录，这给我们的启示是：数据控制者必须记录数据处理记录并存档。

这也是《一般数据保护条例》中“责任”原则的要求。

3.此外，从丹麦IDdesign公司被罚款的案例中，我们也可以看到丹麦数据保护局对企业数据的保留时间以及遵守最小数据范围原则的必要性有规定。决定何时不再需要收集和记录的个人数据来处理数据，

以及何时从系统中删除信息，这是建立正确有效的删除个人数据程序的第一步，也是最基本的一步。

最后，SCA温馨提醒海外企业，数据合规是企业更好发展的前提。在数据合规的道路上，我们不仅要遵守《一般数据保护条例》（GDPR）的相关原则和法规，

我们还应关注数据保护机构在该国企业活动范围内的相关法律规定，例如丹麦的数据保留时间限制。

PS:本文由SCA结合相关法律文件和报告整理而成。转载请注明出处。SCA安全通信联盟一直关注安全通信和身份认证领域。

它还提供中立和专业的GDPR、网络安全等级保护、信息安全技术认证以及信息安全领域的相关合规咨询和培训服务。欢迎关注讨论SCA官方微信微信官方账号“奥航智迅”留言。有关GDPR的更多内容，请点击下面的文本链接：

有关GDPR的更多内容，请点击下面的文本链接：

SCA系列中| GDPR个人数据处理的六大原则是什么？

SCA系列的| GDPR只能在个人“同意”后收集用户信息。应该如何遵守？

SCA系列的GDPR合规性|从数据主体收集信息时，信息提供应包括什么？

SCA系列GDPR机票|英国航空公司数据泄露事件

SCA系列GDPR门票|德国首个GDPR数据处理案例，为什么门票要2万欧元？从轻处罚的依据是什么？

SCA系列GDPR门票|德国数据保护局vs德国学术机构，谁是数据控制者？

葡萄牙数据监管机构发现巴雷罗医院违反了GDPR。

SCA连环罚单|挪威奥斯陆教育局6.3万名学生个人信息泄露

附丹麦官网对IDdesign公司罚款决定的通报链接：

https://www.datatilsynet.dk/tilsyn-og-afgoerelser/afgoerelser/2019/jun/tilsyn-med-iddesigns-behandling-af-personoplysninger/