Danske Bank erkender brud på dataregler for 250.000 kunder. Men tilsyn vil ikke undersøge sagen

I ny advokatrapport indrømmer Danske Bank at have brudt databeskyttelsesreglerne for 250.000 kunder. Men Datatilsynet afviser foreløbig at gå ind i sagen. Eksperter undrer sig over, at tilsynet »sidder på hænderne«.

Danske Banks hovedsæde på Kongens Nytorv i København. Bankens gældsskandale følges tæt af uvildige eksperter. Fold sammen
Læs mere
Foto: Niels Ahlmann Olesen
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Indrømmelsen kan næsten ikke skæres mere tydeligt ud i pap:

Danske Bank erkender sort på hvidt, at landets største finansielle virksomhed har behandlet personlige oplysninger om en kvart million kunder i strid med databeskyttelsesreglerne.

Det fremgår af en ny, uvildig advokatrapport om Danske Banks gældsinddrivelsessag – en sag, som Berlingske og TV 2 har afdækket siden 2020 – der blev offentliggjort tidligere på måneden.

Men trods det åbenlyse brud på reglerne afviser myndigheden på området, Datatilsynet, foreløbig at undersøge sagen.

Forklaringen lyder blandt andet, at Finanstilsynet sideløbende undersøger andre dele af gældssagen, og derfor vil Datatilsynet ikke gå ind i sagen, oplyser Datatilsynet.

Det vækker undren hos eksperter.

»Jeg forstår det helt grundlæggende ikke,« siger Ayo Næsborg-Andersen, lektor ved Syddansk Universitet (SDU) og ekspert i databeskyttelsesreglerne.

»Det er en stor sag, der vedrører mange mennesker, og som har haft direkte negative konsekvenser for mange af de registrerede. Det burde være en principiel sag, som Datatilsynet derfor gik ind i med det samme.«

Thomas Ploug, professor i kommunikation ved Aalborg Universitet med speciale i databehandling, kalder tilsynets passivitet »stærkt kritisabel«:

»Når Datatilsynet sidder på hænderne i en så alvorlig sag, så kan de sidde på hænderne i alle sager. Det er ikke særligt betryggende, og det er ikke særligt godt for ens retsfølelse.«

Uvildige advokater følger oprydning

De omfattende problemer i Danske Banks gældsinddrivelse kom for en dag, da Berlingske og TV 2 sidste år kunne fortælle, at banken i årevis har opkrævet gæld fra tusindvis af kunder, som den slet ikke havde krav på.

En årsag til den uretmæssige opkrævning er blandt andet, at der var fejl i både bankens it-systemer og grundlæggende data om kundernes gældsposter. Efter påbud fra Finanstilsynet følges bankens igangværende oprydning af uvildige advokater, og tidligere på måneden kom deres foreløbige rapport, der – blandt mange andre problemer – altså også peger på alvorlige brud på netop databeskyttelsesreglerne.

»Danske Bank har i forbindelse med fejlene i bankens gældsinddrivelse konstateret, at banken har behandlet fejlbehæftede personoplysninger om cirka 250.000 kunder, hvilket efter bankens egen vurdering udgør et brud på databeskyttelsesforordningens artikel 5, stk. 1, litra d,« fastslår den uafhængige undersøgelse, der er udarbejdet af revisionshuset KPMG og advokatfirmaet Poul Schmith.

Den omtalte lov er en af grundpillerne i de europæiske gdpr-regler, og den fastslår, at personoplysninger skal være »korrekte og om nødvendigt ajourførte«, og at der skal tages »ethvert rimeligt skridt for at sikre, at personoplysninger, der er urigtige i forhold til de formål, hvortil de behandles, straks slettes eller berigtiges«.

Undersøges af Finanstilsynet

Dét har banken altså ikke gjort, erkender den selv – hvilket dog ikke får Datatilsynet til at gå ind i sagen.

I en mail til TV 2 og Berlingske skriver Datatilsynet, at »tilsynet, hverken på et tidligere tidspunkt eller på det nuværende tidspunkt har fundet det nødvendigt, dvs. hensigtsmæssigt, at foretage sig yderligere« i sagen.

»Dette skyldes ikke, at spørgsmålet ikke potentielt har stor indvirkning på og alvor i forhold til de personer, der har fået opkrævet en forkert gæld,« skriver Datatilsynet.

Forklaringen er derimod, at hele sagen om fejl i gældsinddrivelsen hos Danske Bank aktuelt behandles af Finanstilsynet. Og selvom Finanstilsynets undersøgelse slet ikke beskæftiger sig med databeskyttelsesreglerne, vurderer Datatilsynet, at der vil »være et meget betydeligt overlap« mellem de forhold, som Finanstilsynet undersøger, og en eventuel undersøgelse af Datatilsynet.

Derfor har Datatilsynet på nuværende tidspunkt ikke »fundet det hensigtsmæssigt at foretage sig yderligere.«

En beslutning, der vækker kritik fra Forbrugerrådet Tænks cheføkonom, Morten Bruun Pedersen:

»Sagen kunne tyde på, at fordelingen af kompetencerne mellem de to tilsyn ikke er helt klar, og vi kan frygte, at sager som denne lander mellem to stole.«

»Det er særligt uheldigt i denne sag, der har vist sig især at ramme forbrugere, der næppe har de store ressourcer til at tage sig af komplicerede spørgsmål om persondata,« siger han med henvisning til, at mange af de ramte inkassokunder ofte er blandt bankernes mest ressourcesvage kunder.

Professor Thomas Ploug medgiver, at der i nogle typer af sager kunne være »en vis fornuft i at vente på Finanstilsynets arbejde«.

»Men i den her sag, som er så stor, alvorlig og principiel, skulle Datatilsynet været gået i gang med at undersøge banken,« siger han.

Advarsel om millionbøde

Som Berlingske og TV 2 tidligere har kunnet fortælle, orienterede banken allerede i 2019 Datatilsynet om problemerne. Det skete blandt andet på et møde mellem banken og Datatilsynets ledelse i efteråret 2019.

I samme periode vurderede bankens advokat, Plesner, i et internt notat, at alene gdpr-problemerne kunne koste banken en millionbøde.

Men hverken i 2019, eller da Berlingske og TV 2 sidste år bragte afsløringerne om fejlene, fandt Datatilsynet anledning til at indlede en undersøgelse.

»Det her er ikke et spørgsmål om, hvorvidt Datatilsynet skal gå ind i sagen eller ej. For det skal de, og jeg synes, det er stærkt kritisabelt, at tilsynet her to år efter stadigvæk ikke er gået ind i sagen,« siger professor Thomas Ploug.

Ayo Næsborg-Andersen spekulerer i, om forklaringen skal findes i »manglende ressourcer« hos tilsynet. Alternativt kan det skyldes, at tilsynet ikke mener, at sagen er principiel, siger hun. Hvilket SDU-lektoren i så fald stiller sig undrende overfor.

»Hvis det er manglende ressourcer, burde det blive meldt klart ud. Hvis det er, fordi de ikke mener, at sagen er principiel, ville det være godt med en forklaring på, hvorfor det er tilfældet,« siger hun og fastslår:

»Jeg kan ikke se et godt argument for, hvorfor dette ikke er en principiel sag.«

»Lige nu virker det, som om de bruger Finanstilsynets undersøgelse som en undskyldning for ikke selv at gøre noget. Og helt grundlæggende er det jo ikke de samme ting, de to tilsyn kigger på,« siger hun.

Berlingske har forelagt eksperternes kritik for Datatilsynet, der dog ikke vil kommentere yderligere.

Tilsynet oplyser dog, at det sideløbende med gældssagen har indledt en bredere undersøgelse af Danske Banks »procedurer for sletning af personoplysninger«.

Denne undersøgelse har dog »som sådan ikke noget at gøre med sagen om Danske Bank A/S’ gældsinddrivelse«, skriver Datatilsynet til Berlingske og TV 2.

Danske Bank har ikke yderligere kommentarer til sagen, og heller ikke justitsminister Nick Hækkerup (S) vil udtale sig.

»Datatilsynet er uafhængigt, og jeg kan derfor ikke som justitsminister bestemme, hvordan tilsynet skal varetage sine opgaver eller udøve sine beføjelser,« siger ministeren i et skriftligt svar.