fbpx

Manglende sletning af persondata kan koste hotelkæde dyrt

Har du spørgsmål?

Hvis du ønsker at høre mere, eller har spørgsmål til artiklen, så er du velkommen til at kontakte os.

Gabriel L. K. Martiny

Gabriel L. K. Martiny

Advokat og partner (H)

Nyhedsbreve fra WTC advokaterne

WTC viden

Med WTC viden holder vi dig opdateret med jura, som har betydning for din dagligdag og dit arbejdsliv. Vi har fingeren på pulsen og udvælger de mest relevante nyheder inden for dine interesseområder.

Manglende sletning af persondata kan koste hotelkæde dyrt

Manglende sletning af persondata kan koste hotelkæde dyrt

I forbindelse med et kontrolbesøg hos Arp-Hansen Hotel Group A/S fandt Datatilsynet ca. 500.000 kundeprofiler, som burde have været slettet på tidspunktet for tilsynsbesøget.

Datatilsynet har nu politianmeldt hotelkæden for ikke at have levet op til forordningens krav om sletning, og de har indstillet virksomheden til en bøde på kr. 1.100.000.

Det var særligt et bookingsystem, som indeholdt personoplysninger samt ca. 500.000 kundeprofiler, der fangede Datatilsynets opmærksomhed. Data, der efter Arp-Hansens egne slettefrister burde være blevet slettet flere år tidligere. Arp-Hansen har, efter Datatilsynets opfattelse, ikke kunnet komme med saglige grunde til den omfattende opbevaring af personoplysninger, og derfor er konsekvensen nu en politianmeldelse

Har jeres virksomhed sletteprocedurer på plads?

Denne sag sætter fokus på vigtigheden af, at alle virksomheder bør have tilstrækkelige procedurer sat op for at sikre, at der ikke opbevares personoplysninger i længere tid end nødvendigt.

Datatilsynet opfordrer til, at virksomheder opsætter en sletteprocedure for hvert system, hvori de behandler personoplysninger. Proceduren bør tage udgangspunkt i et flow, der følges fra det tidspunkt, hvor en personoplysning når sin slettefrist, til sletningen er foretaget og bekræftet i systemet.

For at sikre at slettekørsler er udført korrekt, bør virksomheden også implementere en procedure for opfølgning på sletning – en kontrol af, at sletningen er gennemført. Sagen med Arp-Hansen illustrerer meget tydeligt, at det er vigtigt ikke at stole blindt på, at virksomhedens fastsatte slettefrister og sletteprocedurer fungerer og følges.

Få flere gode råd til, hvordan I kommer godt i gang med arbejdet for at blive compliant her.

Læs mere om Datatilsynets råd til sletning af Persondata på Datatilsynets hjemmeside.

Har I brug for hjælp?

Det er ikke nemt, hverken at forstå eller arbejde med GDPR. Hos WTC advokaterne har vi specialiseret os i GDPR, og vi hjælper mange virksomheder med at overholde lovgivningen på området.

Du er meget velkommen til at kontakte os, hvis du har spørgsmål eller brug for bistand til jeres compliancearbejde.

Kontakt os her