Den 20. september 2023 har Østre Landsret afsagt dom i en principiel sag om overtrædelse af GDPR. Sagen er principiel, fordi den er med til at fastlægge praksis for bødeniveauet, når der i fremtiden skal afgøres lignende sager.
Manglende overholdelse af slettefrister
Baggrunden for dommen er en sag om en hotelkæde, der blev politianmeldt for ikke at efterleve de slettefrister, den selv havde fastsat. Det drejede sig om ca. 500.000 kundeprofiler, der burde have været slettet fra hotelkædens bookingsystem, fordi det, ifølge hotelkæden selv, ikke var nødvendigt at opbevare oplysningerne længere.
Østre Landsret fandt, at opbevaringen af personoplysningerne var en overtrædelse af reglerne i GDPR om opbevaring af personoplysninger. Landsretten idømte hotelkæden en bøde på kr. 1 mio.
Læs også: Manglende sletning af persondata kan koste hotelkæde dyrt
Har I styr på jeres sletteprocedurer?
Dommen sætter fokus på vigtigheden af, at virksomheder nøje overvejer deres sletteprocedurer og sikrer, at der ikke opbevares personoplysninger i længere tid end nødvendigt.
Virksomheder bør desuden implementere procedurer for opfølgning på sletning – en kontrol af, at sletningen er gennemført – for at undgå alvorlige sanktioner, som eksemplet i denne sag, der udmundede sig i en millionbøde.
Læs mere om sagen på Datatilsynets hjemmeside. Her kan du også læse mere om gode råd til sletning af personoplysninger.
Har du spørgsmål?
Hvis du ønsker at høre mere, eller har spørgsmål til artiklen, så er du velkommen til at kontakte os.
Kontakt en ekspert på området
