Datatilsynet har politianmeldt en hotelvirksomhed og indstillet den til en bøde på 1,1 mio. kr.

12-08-2020: Datatilsynet har i forbindelse med et tilsynsbesøg hos en hotelvirksomhed, hvor fokus bl.a. var, om virksomheden havde tilstrækkelige procedurer til at sikre, at der ikke blev opbevaret personoplysninger i længere tid end nødvendigt – politianmeldt hotelvirksomheden og indstillet den til en bøde på 1,1 mio. kr.

Datatilsynet konstaterede, at hotelvirksomheden havde fastsat tilstrækkelige slettefrister, men at slettefristerne dog ikke var overholdt. Hotelvirksomheden havde opbevaret ca. 500.000 kundeprofiler og en række andre personoplysninger i et særligt bookingsystem, som efter virksomhedens egne slettefrister skulle have været slettet flere år før tilsynsbesøget.

Datatilsynet vurderede, at hotelvirksomheden ikke kunne fremkomme med en saglig grund til, at virksomheden havde opbevaret disse oplysninger i længere tid end slettefristerne foreskrev. Som følge heraf har Datatilsynet vurderet, at hotelvirksomheden har overtrådt databeskyttelsesforordningens sletteregler. Under hensyn til mængden af opbevaret data, har Datatilsynet valgt at indstille virksomheden til en bøde på kr. 1,1 mio. Datatilsynet opretholder dermed det ganske høje bødeniveau for overtrædelse af databeskyttelsesforordningen, som der tidligere har været lagt op til.

DreistStorgaard Advokaters bemærkninger

Det er vores vurdering, at Datatilsynets tilgang til sagen endnu en gang understreger, at virksomheder skal være meget påpasselige i deres håndtering af persondata. Vurderingen viser, at det er helt afgørende, at der foreligger et sagligt formål til at opbevare personoplysningerne, ligesom virksomhederne skal sikre sig, at persondata slettes effektivt, når det saglige formål ikke længere er til stede. I den konkrete sag havde virksomheden ikke i tilstrækkelig grad implementeret procedurer, der sikrede, at den relevante persondata blev slettet i praksis, herunder at de af virksomheden selv fastsatte sletteprocedurer blev fulgt.

Datatilsynet har fastsat indstillingen til bødeniveauet under hensyntagen til mængden af data, hotelvirksomheden havde opbevaret efter slettefristen. I den konkrete sag var der tale om ca. 500.000 kundeprofiler og et ukendt omfang af oplysninger i et bookingsystem. I en tidligere sag har Datatilsynet indstillet en taxavirksomhed til en bøde på kr. 1,2 mio. for opbevaring af ca. 8,8 mio. personhenførbare oplysninger i længere tid, end der var et sagligt formål. Bødeindstillingen fra Datatilsynet er et skridt på vejen mod at få fastlagt bødeniveauet for overtrædelse af databeskyttelsesforordningens regler.

Datatilsynets afgørelse understreger især vigtigheden af, at virksomheder ikke kun udarbejder skriftlige procedurer og politikker til efterlevelse af de databeskyttelsesretlige regler, men at virksomhederne også sikrer, at disse efterleves effektivt i praksis.

På baggrund af ovenstående og henset til bødeniveauerne for overtrædelse af reglerne opfordrer vi alle private virksomheder til at sikre, at virksomheden har indført velovervejede og passende procedurer for opbevaring og sletning af persondata og sikrer, at der løbende sker efterlevelse af disse.

DreistStorgaard står naturligvis til rådighed for enhver, som ønsker vores hjælp til at få et overblik over reglerne og til at få styr på opbevaringen og behandlingen af personoplysninger.