Østre Landsret har idømt Arp-Hansen Hotel Group A/S en bøde på 1 mio. kr. for manglende efterlevelse af GDPRs krav om opbevaring og sletning. Virksomheden overholdt ikke egne slettefrister, og omkring 500.000 kundeprofiler burde have været slettet. Afgørelsen fungerer som pejlemærke for bødeniveauet over for private virksomheder.
Sagen blev tidligere afgjort i Retten i Lyngby, hvor et flertal valgte strafbortfald trods skyld. Anklagemyndigheden ankede, og landsretten fastsatte nu bøden tæt på Datatilsynets oprindelige indstilling. Dommen kan ikke ankes uden tilladelse, men virksomheden kan søge Procesbevillingsnævnet om at indbringe sagen for Højesteret. Læs landsrettens nyhed her.
Dommen understreger, at princippet om opbevaringsbegrænsning kræver aktiv sletning af oplysninger, der ikke længere er nødvendige. Virksomheder bør sikre robuste slettepolitikker, automatiserede procedurer og dokumenteret kontrol. Se den danske bødevejledning her og EDPB’s retningslinjer her.
