Datatilsynet har anmeldt Danske Bank til politiet og indstillet banken til en bøde på 10 millioner kroner for ikke at have slettet personlysninger i overensstemmelse med databeskyttelsesforordningen (GDPR).
Det skriver Datatilsynet i en pressemeddelelse.
Læs også: Google-rapport: Nato udsat for russisk phising-kampagne
Danske Bank har i mere end 400 systemer med personoplysninger om flere millioner personer ikke kunnet dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger, eller at der er foretaget manuel sletning af personoplysninger.
»Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker,« siger specialkonsulent i Datatilsynet Kenni Elm Olsen.
Læs også: Finanstilsynet: Cyberangreb er den største trussel mod den danske finanssektor
Datatilsynet har i afgørelsen blandt andet lagt vægt på, at overtrædelsen vedrører et grundlæggende princip for behandling af personoplysninger og berører et meget stort antal registrerede.

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.