I forbindelse med et tilsyn hos hotelkæden Arp-Hansen blev Datatilsynet opmærksom på, at hotelkæden ikke havde slettet op mod 500.000 kundeprofiler, der alle indeholdt en række forskellige, uspecificerede persondata.
Datatilsynet har derfor indstillet Arp-Hansen til en bøde på 1.100.000 kroner for ikke at have levet op til databeskyttelses-forordningens krav om sletning (opbevaringsbegrænsning) i artikel 5.
Det skriver Datatilsynet i en pressemeddelelse.
»I et samfund, hvor vores personoplysninger registreres og udnyttes i stadigt større omfang, er det afgørende, at vi som borgere kan have tillid til, at vores personoplysninger behandles til saglige formål, og at de kun opbevares så længe, som det er nødvendigt,” udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, som tilføjer:
»Vi vælger at skride til politianmeldelse i en sag som denne, fordi Arp-Hansen efter vores opfattelse ikke har kunnet fremkomme med saglige grunde til den omfattende opbevaring af oplysninger.«
Systematiske fejl
Under tilsynet hos Arp-Hansen gennemgik Datatilsynet en række systemer for at undersøge, om hotelkæden havde tilstrækkelige procedurer for at sikre, at der ikke blev opbevaret personoplysninger i længere tid, end det var nødvendigt i forhold til de formål, hvortil oplysningerne blev behandlet.
Undervejs i forløbet konstaterede Datatilsynet desuden, at særligt et bookingsystem hos hotelkæden indeholdt mange personoplysninger, som burde have været slettet i henhold til kædens egne, fastsatte slettefrister. Datatilsynet kunne desuden konstatere, at der var såkaldte kundeprofiler, som – efter Arp-Hansens egne slettefrister – burde være blevet slettet flere år tidligere.
Alt i alt vurderer Datatilsynet, at cirka 500.000 kundeprofiler burde have været slettet på tidspunktet for tilsynsbesøget.
Lang vej fra anmeldelse til dom
Flere brugere undrer sig på Twitter over, at det ikke er muligt for Datatilsynet selv at uddele straksbøder som myndighed. Andre spørger, hvor langt der er fra en indstilling til reelt set at skulle betale bøden:
Hvor langt er der fra at blive "indstillet" til rent faktisk at få en bøde?
— Mikael Rieck (@mikaelrieck) July 28, 2020
Men som Datatilsynets presseansvarlige, Anders Due, også skriver, er vejen fra bøde en smule længere i Danmark end i flere andre lande.
I Danmark er vejen lidt længere end i de fleste andre EU-lande. For et par år siden skrev @MadsLorenzorro en god artikel om processen: https://t.co/Is7n4Sl0nn
— Anders Due (@andersdue) July 28, 2020
Version2 arbejder på at indhente en kommentar fra Arp-Hansen.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
