Østre Landsret idømte onsdag den 20. september 2023 en bøde på 1 mio. kr. til en stor dansk hotelkæde for at have opbevaret 500.000 kundeprofilers oplysninger i længere tid, end hvad der var nødvendigt for formålet med indsamlingen og behandlingen. Dermed idømte landsretten en bøde, der næsten udgjorde samme beløb, som Datatilsynet havde indstillet virksomheden til. Retten i Lyngby havde modsat i første instans ikke fulgt Datatilsynets indstilling, da de sidste år fandt virksomheden skyldig i de samme overtrædelser, men hvor et flertal af dommerne fandt, at straffen skulle bortfalde som følge af, at hotelkæden ikke tidligere var dømt for tilsvarende og at de havde forsøgt at overholde reglerne med egne fastsatte slettefrister og automatiserede sletninger.
Kundeprofilerne indeholdt oplysninger som navne, telefonnumre, pasoplysninger og præferencer til opholder, der alle anses for at være personlige oplysninger. Opbevaringen af oplysningerne fra de 500.000 kundeprofiler var ikke længere nødvendigt for de formål, som oplysningerne var indhentet og behandlet for, og de skulle derfor være slettet.
Hotelkæden havde ageret i strid med princippet om opbevaringsbegrænsning, som er et af de grundlæggende principper i GDPR. Princippet går i al sin enkelthed ud på, at man ikke skal opbevare data længere end nødvendigt. Det kan dog i praksis være en større opgave, end det lyder til, da det kræver, at man har et overblik over, hvad man bruger hvert enkelt oplysning til. Sagen illustrerer derfor, hvor vigtigt det er for alle virksomheder at skabe sig dette overblik og derefter indføre effektive foranstaltninger og procedurer for, at man ikke opbevarer data i længere tid end nødvendigt.
Sagen var en af tre såkaldte prøvesager inden for persondatalovgivningen i Danmark, og den udmålte bøde vil derfor have betydning for lignende sager fremadrettet. Med bøden giver myndighederne udtryk for, at man ser alvorligt på overtrædelser af GDPR-reglerne, og at det ikke urealistisk, at vi i Danmark kommer til at se de høje bøder, som GDPR har banet vejen for. Vi anbefaler alle virksomheder om at gøre brug af Løje IPs compliance-tjek for at danne sig et overblik over, hvordan de står i dag og hvad der skal til for at komme i mål med GDPR-compliance. Hvis I er interesseret i at høre nærmere, kan I kontakte Advokat Doga Cansi