Danske Bank politianmeldt og indstillet til bøde for manglende sletning af personoplysninger

Datatilsynet har politianmeldt Danske Bank og indstillet til en bøde på 10 mio. kr. Sagen startede i november 2020, da banken selv rapporterede et problem med sletning af personoplysninger, hvor der ikke nødvendigvis var en forretningsmæssig begrundelse for fortsat behandling.

Datatilsynets undersøgelse afslørede, at Danske Bank i mere end 400 systemer ikke kunne dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger, eller at der var foretaget manuel sletning. Disse systemer behandler personoplysninger om flere millioner personer. Datatilsynet vurderede, at denne overtrædelse vedrører et grundlæggende princip i Databeskyttelsesforordningen og berører et meget stort antal registrerede.

Datatilsynet har indstillet Danske Bank til en bøde på 10 millioner kroner og politianmeldt banken for manglende overholdelse af reglerne om sletning af personoplysninger.

Datatilsynet lagde ved vurderingen af bødens størrelse vægt på:

• Overtrædelsen vedrører et grundlæggende princip for behandling af personoplysninger.
• Overtrædelsen berører et meget stort antal registrerede.
• Bøden skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning.

Det blev dog også bemærket, at Danske Bank løbende har arbejdet på at dokumentere overholdelse af sine forpligtelser og aktivt har medvirket til sagens oplysning.