Sletning er ikke valgfrit: Aktuelle GDPR-domme understreger kravene

Manglende sletning af personoplysninger kan få alvorlige konsekvenser – også økonomisk. Tre nylige domme mod Ilva, Taxa 4x35 og Arp-Hansen Hotel Group understreger, hvor vigtigt det er at have styr på slettepolitikker og praksis. Sagerne viser, hvordan både manglende handling og manglende dokumentation kan føre til bøder i millionklassen – og i visse tilfælde vurderes som forsætlige overtrædelser.


Sletning – hvordan gør man?

Der bør foreligge en slettepolitik, som identificerer de oplysninger, som skal slettes og fastsætter slettefristen for dem, og en procedure for udførelsen af den konkrete sletning. 

Selve slettefristen følger ikke af GDPR. Den skal man identificere i anden lovgivning, hvor det er relevant, f.eks. særlige krav i bogføringslovgivning, hvidvasklovgivning, skattelovgivning m.v. og i øvrigt ud fra forretningens konkrete legitime behov for opbevaring.

Det kræver helt overordnet, at man ved 
  • hvilke data man er i besiddelse af, 
  • hvorfor man har dem, og
  • hvor og i hvilken form de opbevares.

Organisatorisk skal man fx forholde sig til, hvordan systemerne løbende undersøges for oplysninger, der har nået sin slettefrist; hvem der er ansvarlig for, at sletningen igangsættes; hvordan der følges op på, at sletningen er foretaget og hvordan det dokumenteres at sletningen er fuldført. 

Teknisk skal man fx forholde sig til, om sletningen skal foretages automatisk eller manuelt, hvilke konkrete datafelter i et system der vil blive påvirket af sletningen og på hvilken måde. Hvis man har oplysningerne i forskellige systemer, skal indbyrdes afhængigheder afdækkes, og sletteparametre sættes op for det enkelte system. 

Det er også nødvendigt at sikre, at sletning rent faktisk sker som forudsat, og der skal derfor foreligge en procedure for opfølgning på sletning. Opfølgning kan f.eks. være i form af en gennemgang af tekniske logs fra slettekørsler eller gennemgang af automatiserede udtræk af data, der ifølge slettefristen burde have været slettet. 

 

Bøde på 1,5 mio. kr. for manglende sletning – ILVA A/S

Vestre Landsret har d. 2. september idømt Ilva A/s en bøde på 1,5 mio. kr. for manglende sletning af kundeoplysninger i ældre IT-systemer i varehuset ID-Design. Oplysningerne vedrørte 350.000 kunders navne, adresser, telefonnumre, e-mails og købshistorik.

En skærpende omstændighed var, at ledende medarbejdere ved Ilva, var bekendt med de opbevarede oplysningerne, og at de blev opbevaret for længe, og overtrædelsen blev derfor vurderet som forsætlig. 

Sagen har verseret længe og undervejs har bøden været nedsat til 100.000 kr. i byretten. 

For landsretten blev spørgsmålet om beregningsgrundlaget for bøder i koncernforhold forelagt EU-Domstolen.  Spørgsmålet var her, om en bøde til en virksomhed skal beregnes ud fra virksomhedens egen eller hele koncernens samlede omsætning, og er relevant for overtrædelser af GDPR generelt. 

EU-Domstolen slog fast, at begrebet ”virksomhed” følger definitionen i konkurrencereglerne. Det betyder, at når en dataansvarlig virksomhed eller en del af en virksomhed pålægges en bøde for overtrædelse af databeskyttelsesforordningen, skal bødens maksimumsbeløb beregnes ud fra en procentdel af hele virksomhedens (koncernens) samlede globale omsætning i det foregående regnskabsår. Denne tilgang sikrer, at bøden bliver proportional med virksomhedens økonomiske formåen og størrelse. 

EU-Domstolen udtalte også, at begrebet ”virksomhed” skal forstås bredt, hvilket betyder, at når bøder beregnes, skal der tages hensyn til den samlede økonomiske kapacitet på koncernniveau og ikke blot på virksomhedens individuelle niveau. Hvis bøden kun blev beregnet ud fra den enkelte virksomhed, risikeres det, at bøden bliver for lav til at have en tilstrækkelig afskrækkende virkning. Det er derfor afgørende, at bøden afspejler den reelle økonomiske formåen af hele koncernen for at sikre, at bøden både er effektiv, står i et rimeligt forhold til overtrædelsen og har en passende afskrækkende virkning.

Tilgangen er i sagens natur vigtig at være opmærksom på i eksisterende koncernforhold, men også i forbindelse med omstruktureringer; køber man et selskab, der ikke har styr på GDPR, isoleres eventuelle bøder ikke kun til dette selskabs omsætning, og en god Due Diligence og salgsmodning er derfor påkrævet for at identificere og afbøde de potentielle GDPR-risici.

 

Bøde på 250.000 kr. for manglende sletning – Taxa 4x35

Østre landsret afsagde d. april 2025 dom i sagen og idømte selskabet en bøde på 250.000 kr. 

Tilgangen til bødestørrelsen har været ganske forskellig under sagens gang i retssystemet:
  • Datatilsynet indstillede til en bøde på 1,2 mio. kr.
  • Byretten reducerede bøden til 100.000 kr. 
  • Landsretten fastsatte bøden til 250.000 kr.

Overtrædelsen af GDPR bestod i, at Taxa 4x35 slettede kundens navn efter to år, men beholdt telefonnummeret og oplysninger om taxature (herunder opsamlings- og leveringsadresser) i op til fem år. Det gjorde det muligt at henføre ca. 9 mio. taxature til en fysisk person. 

Opbevaring af disse oplysninger fandtes ikke at have et sagligt formål og var ikke i overensstemmelse med GDPRs krav til dataminimering og opbevaringsbegrænsning.

 

Bøde på 1 mio. kr. – Arp-Hansen Hotel Group

Også Arp-Hansen Hotel Group har fået en bøde for manglende sletning. 

Østre Landsret afsagde den 20. september 2023 afgørelse om, at hotelkæden var skyldig i ikke at have sikret sig, at oplysninger om tidligere kunder blev slettet, når det efter hotelkædens egen vurdering ikke længere var nødvendigt at beholde dem.

Overtrædelsen bestod altså i, at hotelkæden ikke efterlevede de slettefrister, den selv havde fastsat. Konkret var der her tale om 500.000 kundeprofiler, som burde være slettet.