Danske bank står til historisk GDPR-smæk: »Den største pris er næppe bøden«

Danske Bank
Illustration: Danske Bank.
Selvom Danske Bank selv kom på banen og fortalte om sine udfordringer med at overholde GDPR-reglerne, lægger Datatilsynet op til en historisk stor millionbøde til banken. Eksperter kalder det et ‘klart signal’ – men er ikke overraskede.
26. april kl. 05:00

Datatilsynet har ikke givet skyggen af frit lejde til Danske Bank, der ellers selv i 2020 gjorde tilsynet opmærksom på, at man i banken havde problemer med at få slettet personoplysninger, som man ikke havde en gyldig grund til at opbevare. 

I stedet har Datatilsynet indstillet banken til den uden sammenligning højeste bøde på området, der nogensinde er givet herhjemme. Hvis tilsynet får medvind, når sagen kommer for byretten, kan Danske Bank stå til at modtage et girokort på 10 millioner kroner for ikke at kunne dokumentere, at der var styr på sletningen af personoplysninger i 400 it-systemer, der samlet set indeholder personoplysninger om millioner af personer i Danmark og en række europæiske lande. 

»I en dansk kontekst er det i hvert fald en bøde, der får os til at hæve øjenbrynene,« siger Michael Gorm Madsen, der er partner hos advokatvirksomheden Bird&Bird og er specialiseret i databeskyttelsesret. 

Få fuld adgang til ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder. Få tilsendt tilbud

Abonnementsfordele
vpn_key
Fuld adgang til ComplianceTech
Alt indhold på ComplianceTech er åbent for dig, så du kan nyde det fra din computer, tablet eller mobil.
drafts
Kuraterede nyhedsbreve
Nyheder, interviews, tendenshistorier og meget mere, leveret til din indbakke.
thumb_up
Adgang til debatten
Deltag i debatten med andre professionelle.
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
2
7. april kl. 14:51

Nu må vi se om Danske Bank får samme fløjsbehandling som f. eks kommunerne, hvor der reelt set kun kommer medie omtale, men ingen konsekvenser ifm. af bøder eller regualtioner...

1
7. april kl. 11:48

Hele bank-sektoren har også et problem med deres uhæmmet indrivelse af PAS-billede-legimitation, som alt for mange medarbejdere har adgang til og som gemmes alt for længe (sikkert tidsubegrænset). Disse data skal jo kun bruges til at validere kundes identitet, hvilket kan gøres af én eller få nøgle-medarbejdere og derefter kan disse data slettes med det samme, for valideringen ér jo sket. Men der sidder nogen djøf'er der ikke evner at overskue den simple problemstilling (men det er jo en klassiker). Men så må de jo bare betale ved kasse ét når data-tilsynet kigger forbi.

4
7. april kl. 17:25

Disse data skal jo kun bruges til at validere kundes identitet, hvilket kan gøres af én eller få nøgle-medarbejdere og derefter kan disse data slettes med det samme, for valideringen ér jo sket.

Jeg kender ikke noget til de specifikke processer, men der er rigtigt mange steder hvor virksomheder bagefter skal kunne bevise at de har gjort det rigtige. Nogen gange er der krav til at de skal gemme beviserne i 10 år (nogen gange mindre). Hvis det senere viser sig at nogen alligevel har snydt så kan banken få en bøde for ikke at have haft styr på valideringsprocessen. Med mindre den kan bevise at den har gjort sit arbejdet ordentligt. Damned if you do, damned if you don't ...

3
7. april kl. 15:23

Men hvorfor skulle nogen banker tage datatilsynet alvorligt - bøderammen er 4% af den internationale omsætning, men bliver ikke brugt. Når det bliver dyrere at betale bøden end bruge penge på ressourcerne til at rydde op, så kan vi tale om det.

Hvordan kan man forvente at den almindelige dansker skal tage myndighederne alvorligt når de demonstrerer denne ligegyldighed ?