Résumé original: Le 3 juin 2019, la DPA danoise (Datatilsynet) a signalé IDdesign à la police et a exigé le paiement d'une amende d'un montant de 200.850 EUR pour le traitement des données personnelles d'environ 385.000 clients pendant une période plus longue que nécessaire pour le fins pour lesquelles ils ont été traités. De plus, la société n'avait pas établi ni documenté de délais pour la suppression des données personnelles dans son nouveau système CRM. Les délais fixés pour l'ancien système n'ont pas été supprimés après la date limite pour les informations. De plus, le responsable du traitement n'avait pas correctement documenté ses procédures de suppression de données à caractère personnel. Remarque: comme la loi danoise ne prévoit pas d'amendes administratives comme dans le RGPD (à moins qu'il ne s'agisse d'une affaire simple et que l'accusé ait consenti), des amendes seront imposées par les tribunaux. Mise à jour: Le 12 février 2021, le tribunal de district d'Aarhus a décidé d'infliger une amende à IDdesign d'un montant de 13 450 EUR. En ce qui concerne le calcul de l'amende, le tribunal n'est pas d'accord avec le montant proposé de l'amende. Il a conclu que le montant devait être calculé sur la base du chiffre d'affaires de l'entreprise et non de celui de l'ensemble du groupe. En outre, le tribunal a estimé que les circonstances atténuantes au sens de l'art. 83 (2) du RGPD doit être pris en compte lors du calcul de l'amende. Par exemple, la société n'avait pas auparavant enfreint le RGPD, ainsi que le fait que la violation ne concernait que des données personnelles générales. En outre, aucune personne concernée n'a subi de dommages du fait de la violation. Enfin, le tribunal considère que le caractère négligent de la violation doit être pris en compte.