Den 20. september 2023 afsagde Østre Landsret dom i en sag mod Arp-Hansen Hotel Group A/S om overtrædelse af databeskyttelsesforordningens regler om opbevaring af personoplysninger. Hotelkæden blev idømt en bøde på 1 mio. kr., hvilket ligger tæt på Datatilsynets oprindelige bødeindstilling på 1,1 mio. kr.
Principiel sag
Sagen er tidligere blevet afgjort ved Retten i Lyngby, hvor virksomheden blev fundet skyldig, men hvor et flertal af rettens dommere fandt, at sagen skulle afgøres med strafbortfald. Anklagemyndigheden ankede til landsretten, hvor der nu er faldet dom.
"Det er en meget vigtig dom, fordi den er med til at fastlægge praksis for bødeniveauet for private virksomheder. Man vil skele til denne sag, når man fremover skal afgøre lignende sager. Og vi er tilfredse med, at Østre Landsret i store træk er enige i vores oprindelige vurdering af niveauet tilbage fra 2020," siger Cristina Angela Gulisano, direktør i Datatilsynet.
Siden 2020 er der udarbejdet en dansk bødevejledning vedrørende private virksomheder, og også Det Europæiske Databeskyttelsesråd har nu udarbejdet en vejledning om bødefastsættelse på området, som skal sikre et mere ensartet niveau på europæisk plan.
Manglede at slette oplysninger
Overtrædelsen bestod i, at hotelkæden ikke efterlevede de slettefrister, den selv havde fastsat. Dermed vurderede Datatilsynet i sin tid, at ca. 500.000 kundeprofiler burde have været slettet på tidspunktet for tilsynsbesøget. Sletning af personoplysninger, der ikke længere er nødvendige at opbevare, er et af de grundlæggende principper i databeskyttelsesreglerne, da risikoen for misbrug af sådanne oplysninger samtidig begrænses.
Dommen kan i udgangspunktet ikke ankes, men Arp-Hansen har mulighed for at søge Procesbevillingsnævnet om at få sagen indbragt for Højesteret.
Vil du vide mere?
Læs landsrettens nyhed og præmisserne her.