Politianmeldelse

Danske Bank indstilles til bøde

Dato: 05-04-2022
Afgørelse Private virksomheder Politianmeldelse Tilsyn / egendriftssag Grundlæggende principper

Datatilsynet vurderer, at Danske Bank ikke har kunnet dokumentere, at de har slettet personlysninger i overensstemmelse med databeskyttelsesreglerne, og tilsynet har derfor indstillet banken til en bøde på 10 mio. kr.

Datatilsynet har anmeldt Danske Bank til politiet og indstillet banken til bøde på 10 mio. kr. Det sker i forlængelse af, at tilsynet i november 2020 indledte en sag af egen drift, efter at banken selv havde oplyst, at de havde identificeret et problem med sletning af personoplysninger, som der ikke nødvendigvis var en forretningsmæssig begrundelse for fortsat at behandle.

I forbindelse med Datatilsynets undersøgelse har det vist sig, at banken i mere end 400 systemer ikke har kunnet dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger, eller at der er foretaget manuel sletning af personoplysninger. I disse systemer behandles der personoplysninger om flere millioner personer.

”Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker,” siger Kenni Elm Olsen, specialkonsulent i Datatilsynet.

Hvorfor politianmeldelse?

Datatilsynet foretager altid en konkret vurdering af sagens grovhed i medfør af databeskyttelsesforordningens artikel 83, stk. 2, ved vurderingen af, hvilken sanktion der efter tilsynets opfattelse er den korrekte.

Ved vurderingen af, at der bør idømmes en bøde, har Datatilsynet lagt vægt på, at den skete overtrædelse vedrører et grundlæggende princip for behandling af personoplysninger og berører et meget stort antal registrerede.

Datatilsynet har ved sin indstilling til bødestørrelse blandt andet lagt vægt på overtrædelsens karakter og alvor og forordningens krav om, at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Endvidere har det indgået, at Danske Bank løbende har arbejdet på at kunne dokumentere, at banken lever op til sine forpligtelser, dvs. har forsøgt at begrænse den skade, som de registrerede potentielt kan lide. Datatilsynet har samtidig lagt vægt på Danske Banks aktive medvirken til sagens oplysning.

Vil du vide mere?

Læs mere om sletning.

Pressehenvendelser kan rettes til kommunikationskonsulent Anders Due på tlf. 29 49 32 83.

Kan jeg få aktindsigt i sagen?

Retten til aktindsigt omfatter ikke sager inden for strafferetsplejen. Man kan derfor som klart udgangspunkt ikke få aktindsigt i sagen eller sagens dokumenter.

Læs mere om aktindsigt i straffesager her

Fakta

Bødestraffe efter GDPR

I de fleste europæiske lande kan de nationale datatilsynsmyndigheder selv udstede administrative bøder for overtrædelse af de fælles europæiske regler i databeskyttelsesforordningen (GDPR). I Danmark skal bødestraffe efter forordningen indtil videre afgøres ved domstolene.  

Datatilsynet kan indstille både private aktører og offentlige myndigheder til bødestraf. I forbindelse med anmeldelsen af sagen til politiet vurderer Datatilsynet bødens størrelse, og det er herefter op til politi og anklagemyndighed at rejse tiltale og føre straffesagen ved domstolene.

En bøde skal efter reglerne være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning. Datatilsynet inddrager derfor en række hensyn og afvejninger i både skærpende og formildende retning, når tilsynet udtaler sig om bødens størrelse. Du kan læse mere om, hvad Datatilsynet lægger vægt på i de vejledninger om bødefastsættelse, som tilsynet har udarbejdet i samarbejde med Rigspolitiet og Rigsadvokaten, samt i Det Europæiske Databeskyttelsesråds vejledning om bødefastsættelse. 

Det er forudsat i reglerne, at bødeniveauet for offentlige myndigheder generelt er lavere end for private aktører.

Se en oversigt over bødeindstillinger efter GDPR