Danske Bank risikerer kæmpe bøde

Datatilsynet har indstillet Danske Bank til en bøde på ti millioner kroner.

Det skyldes en vurdering af, at banken ikke har kunnet dokumentere, at den har slettet personoplysninger i overensstemmelse med databeskyttelsesreglerne.

Det oplyser Datatilsynet i en pressemeddelelse.

Sagen stammer fra 2020, hvor tilsynet indledte en undersøgelse af Danske Bank.

Manglende dokumentation 

Forud havde banken selv oplyst, at den var faldet over et problem med sletning af personoplysninger, som der ikke nødvendigvis var en forretningsmæssig grund til fortsat at behandle.

I forbindelse med tilsynets undersøgelse har det vist sig, at banken i mere end 400 systemer ikke har kunnet dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger. Eller at der er foretaget manuel sletning af personoplysninger.

Komplekse systemer

I disse systemer behandles der personoplysninger om flere millioner personer.

- Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes, siger Kenni Elm Olsen, specialkonsulent i Datatilsynet.

- Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker.

Taget til efterretning

I vurderingen af, om der skulle idømmes en bøde, har Datatilsynet lagt vægt på, at den skete overtrædelse vedrører et grundlæggende princip for behandling af personoplysninger. Samt at den berører et meget stort antal registrerede.

I en pressemeddelelse fra Danske Bank oplyses det, at man har taget tilsynets indstilling til efterretning.

Banken vil slette de oplysninger, som der ikke længere er et formål med at opbevare, mens man afventer sagens udfald.