Millionbøde til hotelkæde for ikke at slette data

Fejl i automatisk sletning førte til et tilsynsbesøg

En hotelkæde anvendte et softwareprogram til at håndtere booking af hotelværelser. Programmet indeholdt kundeprofiler med personlige oplysninger som navne og adresser. Formålet med profilerne var at genkende tidligere gæster, der havde booket hos hotelkæden.

Hotelkæden havde fastsat slettefrister for disse kundeprofiler. Komplette kundeprofiler skulle slettes efter 380 dage, mens ufuldstændige profiler skulle slettes efter 180 dage. Hotelkæden hævdede, at disse frister blev fastsat for at kunne byde tidligere kunder velkommen tilbage inden for en periode på ca. 1 år.

I foråret 2018 blev det konstateret, at der ikke skete automatisk sletning af kundeprofilerne som krævet af databeskyttelsesforordningen. Der blev ikke gennemført en effektiv kontrol for at sikre, at slettefunktionen fungerede korrekt. Selv om en automatisk slettefunktion blev indbygget i softwareprogrammet i 2009, fungerede den ikke korrekt i visse tilfælde.

Hotelkæden oplyste i september 2018 til Datatilsynet, at der blev foretaget automatisk sletning i overensstemmelse med retningslinjerne, hvilket dog ikke var korrekt. Hotelkæden oplyste endvidere, at der blev foretaget stikprøvekontrol af sletning, hvilket heller ikke var tilfældet.

Ved et tilsynsbesøg i oktober 2018 konstaterede Datatilsynet, at der var problemer med overholdelse af slettefrister på trods af en iværksat manuel sletteprocedure i efteråret 2018. Den manuelle sletteprocedure blev i december 2018 intensiveret som følge af tilsynsbesøget. Sagen blev herefter bragt for retten.

Bødefastsættelse ud fra virksomhedens økonomiske situation

Østre Landsret fastslog, at de oplysninger, der blev opbevaret i kundeprofilerne i softwareprogrammet, er personoplysninger i henhold til databeskyttelsesforordningen.

Østre Landsret bemærkede, at hotelkædens overtrædelse begyndte i maj 2018, hvor databeskyttelsesforordningen trådte i kraft, og hvor problemerne med den automatiske sletning blev konstateret. Overtrædelsen fortsatte, indtil problemet blev løst i december 2018. I perioden blev der slettet i størrelsesordenen 500.000 kundeprofiler, der var blevet opbevaret i strid med virksomhedens egne slettefrister.

Østre Landsret fandt herefter, at hotelkæden var vidende om, at der blev opbevaret personoplysninger i længere tid end hotelkædens egne slettefrister, og at virksomheden havde accepteret dette ved først at iværksætte en manuel sletteprocedure i efteråret 2018, der i første omgang var utilstrækkelig. Dette var en overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e, der fastslår, at personoplysninger ikke må opbevares længere tid end nødvendigt.

Hotelkæden blev derfor fundet skyldig i ikke at have sikret sig, at oplysninger om tidligere kunder blev slettet, når det efter hotelkædens egen vurdering ikke længere var nødvendigt at beholde dem.

Spørgsmålet angik herefter fastsættelse af bødens størrelsesorden.

Østre Landsret tog ved fastlæggelsen af bødens størrelse udgangspunkt i hotelkædens senest reviderede og offentliggjorte årsregnskab fra 2018, der afspejlede den økonomiske situation i gerningsperioden, da Datatilsynet indgav politianmeldelse. Landsretten kom efter en samlet vurdering frem til, at bødestraffen skulle fastsættes til 1 mio. kr., og fandt i den forbindelse anledning til at bemærke, at Datatilsynet ikke nærmere havde redegjort for de beregninger, der i første omgang førte til den oprindelige påstand om en bøde på 1,1 mio. kr. ud fra hotelkædens årsregnskab for 2018.

DI var ikke involveret i sagen.

Nyheden er baseret på Østre Landsrets dom afsagt den 20. september 2023 i sag nr. SS-494/2022-OLR.