Landsrettens afgørelse og bødeniveau
Østre Landsret har afsagt dom i en principiel sag om manglende overholdelse af GDPRs regler om opbevaring af personoplysninger. En hotelkæde blev idømt en bøde på 1 mio. kr., fordi ca. 500.000 kundeprofiler ikke var blevet slettet i overensstemmelse med kædens egne slettefrister. Retten fastslog, at fortsat opbevaring stred mod opbevaringsbegrænsningen i GDPR.
Afgørelsen bidrager til praksis om bødeniveau ved systematiske eller længerevarende brud på sletteforpligtelser. Dommen understreger, at egen fastsatte slettepolitik forpligter, og at manglende efterlevelse kan føre til betydelige sanktioner, også når der ikke foreligger misbrug af oplysningerne.
Praktiske konsekvenser for virksomheder
Virksomheder bør sikre, at slettepolitikker er forankret i driften gennem automatiserede rutiner, periodiske kontroller og sporbar dokumentation. Det omfatter klare opbevaringsperioder pr. datakategori, tekniske og organisatoriske foranstaltninger til sletning, og løbende kontrol af, at sletning faktisk gennemføres. Logning og audit trail er centrale bevismidler ved tilsyn og retssager.
Ansvarsfordeling mellem dataansvarlig og eventuelle databehandlere bør være præcist reguleret, inklusive krav om sletning og rapportering. Vejledninger og praksis kan findes hos Datatilsynet, som beskriver sagen nærmere på datatilsynet.dk. Praktiske råd om sletning af personoplysninger findes på sikkerdigital.dk.
