Arp-Hansen Hotel Group A/S indstilles til bøde

Dato: 28-07-2020

Datatilsynet politianmelder Arp-Hansen og indstiller virksomheden til en bøde på 1.100.000 kr. for manglende sletning af ca. 500.000 kundeprofiler.

Datatilsynet blev opmærksom på forholdet i forbindelse med et tilsynsbesøg hos Arp-Hansen Hotel Group A/S (herefter Arp-Hansen), hvor tilsynet gennemgik en række systemer med henblik på at undersøge, om Arp-Hansen havde tilstrækkelige procedurer for at sikre, at der ikke blev opbevaret personoplysninger i længere tid, end det var nødvendigt i forhold til de formål, hvortil oplysningerne blev behandlet.

Undervejs i forløbet konstaterede Datatilsynet, at særligt et bookingsystem indeholdt mange personoplysninger, som burde have været slettet i henhold til Arp-Hansens egne fastsatte slettefrister. Tilsynet kunne endvidere konstatere, at der var såkaldte kundeprofiler, som – efter Arp-Hansens egne slettefrister – burde være blevet slettet flere år tidligere. Det er i den forbindelse tilsynets opfattelse, at ca. 500.000 kundeprofiler burde have været slettet på tidspunktet for tilsynsbesøget.

”I et samfund, hvor vores personoplysninger registreres og udnyttes i stadigt større omfang, er det afgørende, at vi som borgere kan have tillid til, at vores personoplysninger behandles til saglige formål, og at de kun opbevares så længe, som det er nødvendigt,” udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, som tilføjer:

”Vi vælger at skride til politianmeldelse i en sag som den pågældende, fordi Arp-Hansen efter vores opfattelse ikke har kunnet fremkomme med saglige grunde til den omfattende opbevaring af oplysninger.”

Datatilsynet har derfor indstillet Arp-Hansen til en bøde på 1.100.000 kr. for ikke at have levet op til forordningens krav om sletning (opbevaringsbegrænsning) i artikel 5, stk. 1, litra e.

Vil du vide mere?

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Opdatering

Sådan er det gået med sagen

Virksomheden blev idømt en bøde på 1 mio. kr. ved Østre Landsret i september 2023.

Læs mere her - eller læs selve dommen her.

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR