Danske Bank indstilles til millionbøde for GDPR-overtrædelse

Datatilsynet mener, Danske Bank ikke tilfredsstillende har kunnet dokumentere sletning af personoplysninger.

Datatilsynet har oplyst, at Danske Bank politianmeldes for overtrædelse af databeskyttelsesforordningen, og at tilsynet indstiller til anklagemyndigheden, at Danske Bank skal betale en bøde. (Arkivfoto). <i>Jacob Gronholt-Pedersen/Reuters</i>

Datatilsynet har oplyst, at Danske Bank politianmeldes for overtrædelse af databeskyttelsesforordningen, og at tilsynet indstiller til anklagemyndigheden, at Danske Bank skal betale en bøde. (Arkivfoto). Jacob Gronholt-Pedersen/Reuters

Datatilsynet har indstillet Danske Bank til en bøde på ti millioner kroner.

Det skyldes en vurdering af, at banken ikke har kunnet dokumentere, at den har slettet personoplysninger i overensstemmelse med databeskyttelsesreglerne.

Det oplyser Datatilsynet i en pressemeddelelse.

Sagen stammer fra 2020, hvor tilsynet indledte en undersøgelse af Danske Bank.

Forud havde banken selv oplyst, at den var faldet over et problem med sletning af personoplysninger, som der ikke nødvendigvis var en forretningsmæssig grund til fortsat at behandle.

I forbindelse med tilsynets undersøgelse har det vist sig, at banken i mere end 400 systemer ikke har kunnet dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger. Eller at der er foretaget manuel sletning af personoplysninger.

I disse systemer behandles der personoplysninger om flere millioner personer.

- Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes, siger Kenni Elm Olsen, specialkonsulent i Datatilsynet.

- Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker.

Bøden på ti millioner kroner er historisk høj. Den hidtil største bøde, som Datatilsynet har indstillet for brud på databeskyttelsesreglerne, var på halvanden million kroner. Den blev indstillet til virksomheden IDdesign i 2019.

I vurderingen af, om Danske Bank skulle idømmes en bøde, har Datatilsynet lagt vægt på, at den skete overtrædelse vedrører et grundlæggende princip for behandling af personoplysninger. Samt at den berører et meget stort antal registrerede.

Af formildende omstændigheder har det været med i vurderingen, at Danske Bank løbende har samarbejdet med tilsynet i sagen.

I en pressemeddelelse fra Danske Bank oplyses det, at man har taget tilsynets indstilling til efterretning.

Banken vil fortsætte med at slette de oplysninger, som der ikke længere er et formål med at opbevare, mens man afventer sagens udfald.

/ritzau/

Anmeld kommentaren

Giv redaktøren besked, hvis du synes indholdet virker forkert.

Anmeld kommentaren

Redaktøren er underrettet og vil kigge nærmere på indlægget.