Datatilsynet opretholder højt bødeniveau i politianmeldelse

Dato 30 jul. 2020
Download PDF version PDF

 

Indledning

Datatilsynet har politianmeldt en hotelvirksomhed, for overtrædelse af reglerne i databeskyttelsesforordningen. Som følge af overtrædelsen har Datatilsynet indstillet virksomheden til en bøde på 1,1 mio. kr.

 

Datatilsynet opretholder dermed det høje bødeniveau for overtrædelse af databeskyttelsesforordningen, som der tidligere har været lagt op til.

   

Sagens omstændigheder

Datatilsynet aflagde et tilsynsbesøg hos hotelvirksomheden, hvor det bl.a. blev undersøgt, om selskabet havde tilstrækkelige procedurer til at sikre, at der ikke blev opbevaret personoplysninger i længere tid, end det var nødvendigt. Datatilsynet konstaterede, at hotelvirksomheden havde fastsat tilstrækkelige slettefrister, men at slettefristerne ikke var overholdt.

 

Hotelvirksomheden havde opbevaret ca. 500.000 kundeprofiler og en række andre personoplysninger i et særligt bookingsystem, som efter virksomhedens egne slettefrister skulle have været slettet flere år før tilsynsbesøget.

 

Datatilsynet vurderede, at hotelvirksomheden ikke kunne fremkomme med en saglig grund til, at virksomheden havde opbevaret disse oplysninger i længere tid end slettefristerne foreskrev. Som følge heraf har Datatilsynet vurderet, at hotelvirksomheden har overtrådt databeskyttelsesforordningens sletteregler, jf. artikel 5, stk. 1, litra e.

 

Under hensyn til mængden af opbevaret data, har Datatilsynet valgt at indstille virksomheden til en bøde på 1,1 mio. kr.

   

Vores bemærkninger 

Datatilsynets vurdering af sagen understreger endnu engang, at virksomheder skal være meget påpasselige i deres omgang med persondata. Vurderingen viser, at det er helt afgørende, at der foreligger et sagligt formål til at opbevare personoplysningerne, ligesom virksomhederne skal sikre sig, at persondata slettes effektivt, når det saglige formål ikke længere er til stede. I den konkrete sag havde virksomheden ikke i tilstrækkelig grad implementeret procedurer, der sikrede, at den relevante persondata blev slettet i praksis.

 

Datatilsynet har fastsat indstillingen til bødeniveauet under hensyntagen til mængden af data hotelvirksomheden havde opbevaret efter slettefristen. I den konkrete sag var der tale om ca. 500.000 kundeprofiler og et ukendt omfang af oplysninger i et bookingsystem. I en tidligere sag indstillede Datatilsynet en taxavirksomhed til en bøde på 1,2 mio. kr. for opbevaring af ca. 8,8 mio. personhenførbare oplysninger i længere tid end der var et sagligt formål.

 

Bødeindstillingen fra Datatilsynet er et skridt på vejen mod at få fastlagt bødeniveauet for overtrædelse af databeskyttelsesforordningens regler. Datatilsynets har med indstillingen til bødeniveauet endnu engang fastslået, at det ikke kun er store multinationale selskaber, der risikerer at blive pålagt millionbøder ved overtrædelse af databeskyttelsesforordningen.

 

Afgørelsen understreger vigtigheden af, at virksomheder ikke kun forfatter procedurer og politikker til efterlevelse af de databeskyttelsesretlige regler, men at virksomhederne også sikrer, at disse efterleves effektivt i praksis.

 

På baggrund af ovenstående og henset til bødeniveauerne for overtrædelse af reglerne opfordrer vi alle private virksomheder til at sikre, at virksomheden har indført velovervejede og passende procedurer for opbevaring og sletning af persondata, og sikrer at der løbende sker efterlevelse af disse. Vi står naturligvis til rådighed for enhver, som ønsker vores hjælp til at få et overblik over reglerne og til at få styr på opbevaringen og behandlingen af personoplysninger.


 

Hvis du har spørgsmål eller ønsker yderligere information om overstående, er du velkommen til at kontakte partner, advokat Pernille Nørkær (pno@mwblaw.dk) eller advokatfuldmægtig Sarah Veje Rasmussen (svr@mwblaw.dk).
 

Ovenstående er ikke juridisk rådgivning, og Moalem Weitemeyer Bendtsen indestår ikke for, at indholdet af ovenstående er korrekt. Moalem Weitemeyer Bendtsen har med ovenstående ikke påtaget sig ansvar af nogen art som konsekvens af en læsers benyttelse af ovenstående som grundlag for beslutninger eller overvejelser.