GDPR-smæk: Hotelkæde indstilles til millionbøde for ulovlig omgang med kundedata

Illustration: Ralf Kalytta | Bigstock
Datatilsynet politianmelder Arp-Hansen og indstiller virksomheden til en bøde på 1.100.000 kroner for manglende sletning af ca. 500.000 kundeprofiler.

I forbindelse med et tilsyn hos hotelkæden Arp-Hansen blev Datatilsynet opmærksom på, at hotelkæden ikke havde slettet op mod 500.000 kundeprofiler, der alle indeholdt en række forskellige, uspecificerede persondata.

Datatilsynet har derfor indstillet Arp-Hansen til en bøde på 1.100.000 kroner for ikke at have levet op til databeskyttelses-forordningens krav om sletning (opbevaringsbegrænsning) i artikel 5.

Det skriver Datatilsynet i en pressemeddelelse.

Læs også: Fra anmeldelse til kæmpebøde: Det sker der efter GDPR-brud

»I et samfund, hvor vores personoplysninger registreres og udnyttes i stadigt større omfang, er det afgørende, at vi som borgere kan have tillid til, at vores personoplysninger behandles til saglige formål, og at de kun opbevares så længe, som det er nødvendigt,” udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, som tilføjer:

»Vi vælger at skride til politianmeldelse i en sag som denne, fordi Arp-Hansen efter vores opfattelse ikke har kunnet fremkomme med saglige grunde til den omfattende opbevaring af oplysninger.«

Systematiske fejl

Under tilsynet hos Arp-Hansen gennemgik Datatilsynet en række systemer for at undersøge, om hotelkæden havde tilstrækkelige procedurer for at sikre, at der ikke blev opbevaret personoplysninger i længere tid, end det var nødvendigt i forhold til de formål, hvortil oplysningerne blev behandlet.

Undervejs i forløbet konstaterede Datatilsynet desuden, at særligt et bookingsystem hos hotelkæden indeholdt mange personoplysninger, som burde have været slettet i henhold til kædens egne, fastsatte slettefrister. Datatilsynet kunne desuden konstatere, at der var såkaldte kundeprofiler, som – efter Arp-Hansens egne slettefrister – burde være blevet slettet flere år tidligere.

Alt i alt vurderer Datatilsynet, at cirka 500.000 kundeprofiler burde have været slettet på tidspunktet for tilsynsbesøget.

Lang vej fra anmeldelse til dom

Flere brugere undrer sig på Twitter over, at det ikke er muligt for Datatilsynet selv at uddele straksbøder som myndighed. Andre spørger, hvor langt der er fra en indstilling til reelt set at skulle betale bøden:

Men som Datatilsynets presseansvarlige, Anders Due, også skriver, er vejen fra bøde en smule længere i Danmark end i flere andre lande.

Læs også: Fra anmeldelse til kæmpebøde: Det sker der efter GDPR-brud

Version2 arbejder på at indhente en kommentar fra Arp-Hansen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Christian Münster

Hvorfor sidder folk og indikerer det gør ondt på dem? Er 1.1 mill et stort beløb for en hotel kæde, som ejer nogle af de største hoteller i Danmark?

  • Det tror jeg næppe; men bevares, jeg har ikke set deres omsætning fra sidste regnskabsår.

Magrethe W!!! Vi savner dig - vi har også brug for din indsats, her i lille Danmark :)

  • 2
  • 0
#2 Christian Nobel

Hvorfor sidder folk og indikerer det gør ondt på dem?

Hvor læser du det i artiklen?

Uden ellers som så at være uenig med dig, så er 1,1 million kroner for tiden en pæn sjat penge for en branche som pga. Coronakrisen faktisk ligger i ruiner - det er selvfølgelig noget som strækker sig længere tilbage, og der er heller ikke nogen undskyldning, men pungen kan være umådeligt tom for tiden.

  • 1
  • 0
#5 Martin Hoffmann

Er 1.1 mill et stort beløb

Vi skal også lige huske at bøder ikke er til for at være ødelæggende for firmaers økonomi, ligesom de heller ikke kan sammenlignes med erstatninger til dem hvis data de har gemt.

Bøder skal være akkurat så store at de kan mærkes nok til at inspirere firmaer til at ændre deres vaner, ikke mere.

Jeg tror ikke der er nogen bestyrelser der accepterer en udgift i den størrelse uden at få en god forklaring fra direktøren, uanset den virksomheds profit. Ikke mindst pga. den medieomtale der medfølger.

  • 4
  • 0
#6 Bjarne Nielsen

Bøder skal være akkurat så store at de kan mærkes nok til at inspirere firmaer til at ændre deres vaner, ikke mere.

Meget enig.

En analog kunne være kontrolafgifter ved manglende rejsehjemmel: det skal netop ikke kunne betale sig at rejse "gratis", så evt. bøder skal overstige den potentielle besparelse korrigeret for kontrol-risiko plus et pædagoisk tillæg til så man ikke fristes til at gå lige til grænsen.

Gør de ikke det, så indkalkuleres bøden bare som en driftsudgift.

Bemærk, at der her er en ligefrem proportionalitet imellem nødvendig bødestørrelse og besvarelse ved "bøje regler", og en omvendt proportionalitet imellem nødvendig bødestørrelse og kontrolindsatsen. Synes man at bøderne er for store, og der derfor bliver tale om en form for russisk roulette, så skal man sørge for mere kontrol! Formålet er dels at få flere til at opføre sig pænt, og dels at de som rent faktisk opfører sig pænt, ikke kan påføres en urimelig konkurrencesituation - ikke at slå virksomheder ihjel eller få hævn.

I nogle situationer lader man bøden betale for kontrolindsatsen, men det kan nemt skabe falske incitamenter og anklager om "penge-maskiner". Til gengæld er det oplagt at lade bøden betale for evt. opfølgende ekstrakontrol.

  • 1
  • 0
Log ind eller Opret konto for at kommentere