Danske bank står til historisk GDPR-smæk: »Den største pris er næppe bøden«

4 kommentarer.  Hop til debatten
Danske Bank
Illustration: Danske Bank.
Selvom Danske Bank selv kom på banen og fortalte om sine udfordringer med at overholde GDPR-reglerne, lægger Datatilsynet op til en historisk stor millionbøde til banken. Eksperter kalder det et ‘klart signal’ – men er ikke overraskede.
7. april kl. 03:45
errorÆldre end 30 dage

Datatilsynet har ikke givet skyggen af frit lejde til Danske Bank, der ellers selv i 2020 gjorde tilsynet opmærksom på, at man i banken havde problemer med at få slettet personoplysninger, som man ikke havde en gyldig grund til at opbevare. 

I stedet har Datatilsynet indstillet banken til den uden sammenligning højeste bøde på området, der nogensinde er givet herhjemme. Hvis tilsynet får medvind, når sagen kommer for byretten, kan Danske Bank stå til at modtage et girokort på 10 millioner kroner for ikke at kunne dokumentere, at der var styr på sletningen af personoplysninger i 400 it-systemer, der samlet set indeholder personoplysninger om millioner af personer i Danmark og en række europæiske lande. 

»I en dansk kontekst er det i hvert fald en bøde, der får os til at hæve øjenbrynene,« siger Michael Gorm Madsen, der er partner hos advokatvirksomheden Bird&Bird og er specialiseret i databeskyttelsesret. 

Michael Gorm Madsen
Illustration: Bird&Bird.

Til dagligt rådgiver han blandt andet danske virksomheder om overholdelsen af netop GDPR-reglerne, og han har ikke tidligere set noget tilsvarende sagen om Danske Bank. 

Artiklen fortsætter efter annoncen

»Indstillingen til en bøde på 10 millioner kroner ligger i størrelsesordenen seks til syv gange så meget som nogen tidligere indstilling fra Datatilsynet. Det er et markant signal fra Datatilsynet og en markant bøde,« siger han og uddyber: 

»Bøden skal være af en størrelse, så den bliver taget seriøst, påvirker en adfærd og sender et signal. Den skal have en opdragende effekt. Dansk tradition ligger dog ikke til meget store strafbøder. Før GDPR mener jeg, at de største bøder fra Datatilsynet lå på 25.000 kroner. Så i en historisk kontekst er det en meget stor bøde.«

Læs mere her: Danske Bank beklager stor GDPR-sag: »Det skulle naturligvis ikke være sket«

Den største bøde hidtil

Selvom afgørelsen fra tilsynet endnu ikke er offentliggjort, og selvom man hos Danske Bank for nuværende venter på, at sagen overgår til Anklagemyndigheden, er omdrejningspunktet alvorligt. For på trods af, at den finansielle mastodont understreger, at der ikke har været tale om et brud på sikkerheden, så er unødvendig opbevaring af personoplysninger og det massive omfang skærpende for sagen. 

Danske virksomheder ligger i top med brud på databeskyttelsen. Bøderne er så små, at det kan betale sig at blæse på GDPR-reglerne, fortæller Steffen Villadsen i Ingeniørens podcast Transformator:

Remote video URL

Det vurderer Michael Gorm Madsen, og han bakkes op af Henning Mortensen, der er formand for Rådet for Digital Sikkerhed.   

»Bøden er den største til dato i Danmark. Uden at kende til sagens detaljer kan man konstatere, at manglende sletning udgør et brud på de fundamentale rettigheder i artikel 5. Vi er altså inde i noget af det mest fundamentale i databeskyttelsesretten. Videre kan man konstatere, at der er tale om rigtig mange systemer og rigtig mange kunder. Endelig må man lægge til grund, at en række af de oplysninger, der ligger i disse systemer, er fortrolige,« bemærker Henning Mortensen, der til dagligt har ansvaret for it-sikkerheden hos byggemarkedsvirksomheden AO Johansen. 

Han har tidligere stillet sig kritisk over for bødeniveauet herhjemme, når det kommer til brud på GDPR-reglerne. 

Læs mere her: Danske bank står til GDPR-bøde på 10 millioner kroner: Havde ikke styr på sletning af persondata

Da den såkaldte ILVA-sag sidste år som den første af sin slags blev behandlet ved Retten i Aarhus, blev det til manges overraskelse til en betydelig reduktion af bødestørrelsen fra 1,5 millioner kroner til 100.000 kroner. 

Dengang kaldte Henning Mortensen bøden for ‘peanuts’ for en virksomhed på ILVA’s størrelse. Derfor er han heller ikke afskrækket af bødeindstillingen i sagen om Danske Bank – på trods af de historiske dimensioner. 

»10 millioner kroner er mange penge, men henset til Danske Banks omsætning og mulighederne for at udstede bøder på dette område er bødens størrelse næppe overraskende,« siger rådsformanden og henviser til bøderammen, der går op til 20 millioner euro (ca. 150 millioner kroner.red) eller fire procent af den globale omstætning.  

En enorm opgave

Datatilsynet har endnu ikke offentliggjort sin afgørelse, og dermed er en markant del af sagen og baggrunden for millionbøden fortsat ukendt for offentligheden. Alligevel belyser en gruppe dokumenter sagen, som tilsynet startede af egen drift i november 2020, efter Danske Bank selv havde gjort opmærksom på problemerne. 

Kenni Elm Olsen, der er specialkonsulent i Datatilsynet har i en pressemeddelelse peget på, at Danske Bank med sin manglende sletning bryder med et af regelsættets grundprincipper og at omfanget er ‘meget’ stort. 

Det er dog ikke kun antallet af berørte borgere, der er meget stort. Det er omfanget af compliance-arbejdet hos Danske Bank også. Det viser et langt og detaljeret svar, som banken afgivet til Datatilsynet.

Her udpensler banken forløbet, som det ser ud fra deres side. 

Læs mere her: Første danske myndighed får GDPR-bøde: Lejre Kommune skal betale 50.000 kroner

Danske Bank understreger i svaret, at man allerede var opmærksom på sletning og bevaring af data i oktober 2016. Faktisk går arbejdet helt tilbage til begyndelsen af samme år, hvor der blev etableret et projekt i Koncern IT hos Danske Bank, der skulle forankre det videre arbejde. 

FAKTA: Her er GDPR-sagerne, hvor Datatilsynet har indstillet til bøde

•    Taxa 4x35: 1,2 mio. kr.

•    IDdesign: 1,5 mio. kr.

•    Gladsaxe Kommune: 100.000 kr.

•    Hørsholm Kommune: 50.000 kr.

•    JobTeam: 50.000 kr.

•    Lejre Kommune: 50.000 kr.

•    Arp-Hansen: 1,1 mio. kr.

•    PrivatBo: 150.000 kr.

•    Guldborgsund Kommune: 50.000 kr.

•    Vejle Kommune: 200.000 kr.

•    Nordbornholms Byggeforretning ApS: 400.000 kr. 

•    Medicals Nordic I/S: 600.000 kr.

•    Region Syddanmark: 500.000 kr.

•    Udlændingestyrelsen: 150.000 kr.

•    Region Midtjylland: 400.000 kr.

•    Favrskov Kommune: 75.000 kr. 

•    Region Syddanmark: 500.000 kr.

•    Kræftens Bekæmpelse: 800.000 kr.

•    Frederiksberg Kommune: 100.000 kr.

•    Nationalt Genom Center: 50.000 kr.

•    Danske Bank: 10 mio. kr.

Kilde: Datatilsynet

Efter en ‘grundig analyse’ kom man hos Danske Bank frem til, at bankens ‘store antal it-systemer – samt en høj grad af kompleksitet og indbyrdes forbindelse mellem systemerne’ ikke gjorde det muligt at få styr på opbevaring og sletning af data i alle bankens systemer på en og samme gang. 

Derfor valgte Danske Bank at inddele arbejdet i faser. Og her måtte man erkende, at man ikke kunne blive klar til at overholde reglerne ved skæringsdatoen den 25 maj 2018, da GDPR-reglerne formelt trådte i kraft. 

Banken kortlagde således alle sine processer i året op til, reglerne trådte i kraft. Det sørgerede en arbejdsgruppe på 20 mand, der samlet set lagde 15.000 timer i indsatsen, for. Som en del af arbejdet kortlagde banken syv spor, der i alt indeholdt over 32 projekter. Her nævner banken selv opbevaring og sletning af data med fokus på at implementere funktionaliteten i de it-systemer, der behandler personoplysninger. 

Banken konstaterer dog samtidig i sit svar, at man var kommet langt, da reglerne trådte i kraft – men at man ikke var nået fuldstændigt i mål. 

»Visse af projekterne vedrørende opbevaring og sletning viste sig dog at være for omfattende og for komplicerede til at nå deres respektive mål til den 25. maj 2018,« skriver Danske Bank til Datatilsynet og understreger, at man havde involveret 250 medarbejdere i i GDPR-programmet siden 2016. 

Banken knytter sit problem med opbevaring og sletning af personoplysninger til et komplekst it-landskab med både centrale og lokale systemer.

»Danske Banks it-systemer er, som man kan se, meget store, indbyrdes forbundne og har en kompleks opbygning,« skriver banken videre og forklarer, at problemet ikke var isoleret til Danmark, i det banken også er til stede i en stribe andre europæiske lande. 

Læs mere her: Datatilsynet: Tech-giganternes EU-cloud gør dig ikke GDPR-sikker

Danske Bank var dog ikke færdig med sit arbejde med opbevaring og sletteaktiviteter i 2018. I stedet fortsatte arbejdet, og en række projekter blev således først færdiggjort i begyndelsen af 2020 – mens endnu en gruppe projekter først stod til at være gennemført ved udgangen af sidste år.

Datatilsynet har i sin afvejning af sagen skelet til, at Danske Bank har samarbejdet og hjulpet med at belyse sagen. Men på trods af velvillighed og tusindvis af timers compliance-arbejde står banken nu med udsigt til Danmarkshistoriens største GDPR-bøde, hvis sagen går som tilsynet har lagt op til.  

En vigtig sag for tilsynet

Det er dog ikke kun Danske Bank, der med spænding kan se frem til, at sagen rejses hos domstolene. Samme spænding bør gøre sig gældende hos Datatilsynet. 

I ILVA-sagen sidste år måtte Datatilsynet erkende, at man havde skudt markant over målet, når det kom til bødeniveauet. Dengang blev bøden som tidligere nævnt reduceret fra 1,5 millioner kroner til 100.000. Det samme gjorde sig gældende i sagen om Nordbornholms Byggeforretning ApS, der imod reglerne havde videregivet en medarbejders personoplysninger om strafbare forhold. Her blev bøden også barberet med 75 procent. 

Læs mere her: Dansk firma dømt i GDPR-sag: Men bøden er skrumpet med 75 procent

»Det er vigtigt for Datatilsynet at komme ud med en bøde, der har et niveau, der bliver accepteret af domstolen. Men det er ligeså vigtigt for Datatilsynet at vise de øvrige europæiske datatilsyn, at vi tager det her alvorligt,« vurderer Michael Gorm Madsen. 

Danske Bank oplyser i en e-mail til Version2, at man ikke kan udtale sig yderligere om sagen og for nuværende venter på at modtage en sigtelse i sagen. Det er således heller ikke klart, om eller hvornår sagen skal for retten. 

Læs mere her: Ilva-bøde er skrumpet, men det ændrer ikke på Datatilsynets praksis

Kampen fortsætter

Om bøden er historisk høj eller krusning på havets overflade kommer i høj grad an på øjnene, der ser. Men at bøden har tiltrukket sig opmærksomhed viser det faktum, at der kun gik kort tid fra, at Datatilsynet bekendtgjorde sin indstilling til at nyheden lå på diverse mediers hjemmesider. 

»Beløbsmæssigt for en virksomhed som Danske Bank, så afskrækker ti millioner kroner nok ikke. Man betragter det nok som en større konsekvens at være på forsiden af landets aviser,« siger Michael Gorm Madsen. 

Han bakkes op af Henning Mortensen, der peger på, at sagen også kan have kostet på tilliden blandt bankens kunder.   

»Den største pris for Danske Bank er næppe bøden, men den usikkerhed, som afgørelsen skaber for Danske Banks kunder, der nok sidder med spørgsmålet: »Hvor meget har Danske Bank opsamlet og gemt om mine bankforretninger gennem tiden? Og når de nu ikke har slettet disse oplysninger, bruger de dem så faktisk til noget?« siger han. 

Danske Bank har ikke ønsket at stille op til et interview med Version2 og uddybe bankens side af sagen. Men i en pressemeddelelse understreger bankens Chief Technology Officer, Bo Svejstrup, at kundernes data er sikre hos banken og uddyber:

»Vi har løbende arbejdet målrettet på at tilpasse og implementere slettefrister i vores systemer, og det arbejde er vi kommet langt med. Vi har igennem hele forløbet haft en god dialog med Datatilsynet. Vi har dog også måttet erkende, at opgaven er meget kompleks, og at implementering af slettefrister i visse systemer har vist sig tidskrævende. Vi tager nu Datatilsynets indstilling til efterretning og fortsætter opgaven med at slette de oplysninger, som vi ikke længere har et formål med at opbevare, mens vi afventer sagens udfald.«

Læs mere her: Justitsministeriet afviser GDPR-lempelser for frivillige foreninger

 

4 kommentarer.  Hop til debatten
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
7. april kl. 14:51

Nu må vi se om Danske Bank får samme fløjsbehandling som f. eks kommunerne, hvor der reelt set kun kommer medie omtale, men ingen konsekvenser ifm. af bøder eller regualtioner...

1
7. april kl. 11:48

Hele bank-sektoren har også et problem med deres uhæmmet indrivelse af PAS-billede-legimitation, som alt for mange medarbejdere har adgang til og som gemmes alt for længe (sikkert tidsubegrænset). Disse data skal jo kun bruges til at validere kundes identitet, hvilket kan gøres af én eller få nøgle-medarbejdere og derefter kan disse data slettes med det samme, for valideringen ér jo sket. Men der sidder nogen djøf'er der ikke evner at overskue den simple problemstilling (men det er jo en klassiker). Men så må de jo bare betale ved kasse ét når data-tilsynet kigger forbi.

4
7. april kl. 17:25

Disse data skal jo kun bruges til at validere kundes identitet, hvilket kan gøres af én eller få nøgle-medarbejdere og derefter kan disse data slettes med det samme, for valideringen ér jo sket.

Jeg kender ikke noget til de specifikke processer, men der er rigtigt mange steder hvor virksomheder bagefter skal kunne bevise at de har gjort det rigtige. Nogen gange er der krav til at de skal gemme beviserne i 10 år (nogen gange mindre). Hvis det senere viser sig at nogen alligevel har snydt så kan banken få en bøde for ikke at have haft styr på valideringsprocessen. Med mindre den kan bevise at den har gjort sit arbejdet ordentligt. Damned if you do, damned if you don't ...

3
7. april kl. 15:23

Men hvorfor skulle nogen banker tage datatilsynet alvorligt - bøderammen er 4% af den internationale omsætning, men bliver ikke brugt. Når det bliver dyrere at betale bøden end bruge penge på ressourcerne til at rydde op, så kan vi tale om det.

Hvordan kan man forvente at den almindelige dansker skal tage myndighederne alvorligt når de demonstrerer denne ligegyldighed ?