Danske Bank kan få rekordstor bøde for at bryde persondataregler

Datatilsynet kræver Danmarks største bank idømt en rekordstor bøde på ti millioner kroner for ikke at kunne dokumentere, at indsamlede personoplysninger bliver slettet efter brug. Sagen er en udløber af skandalen om fejl i bankens gældsinddrivelse.

Danske Bank har ikke haft styr på, at indsamlede persondata er blevet slettet til tiden. Derfor står banken nu til en millionbøde. Fold sammen
Læs mere
Foto: Jacob Grønholt-Pedersen/Reuters/Ritzau Scanpix
Lyt til artiklen

Vil du lytte videre?

Få et Digital Plus-abonnement og lyt videre med det samme.

Skift abonnement

Med Digital Plus kan du lytte til artikler. Du får adgang med det samme.

Danmarks største bank står til en bøde på ti millioner kroner, efter at Datatilsynet har meldt Danske Bank til politiet for at overtræde databeskyttelsesreglerne.

Datatilsynet vurderer, at banken ikke har kunnet dokumentere, at den har slettet personoplysninger, som den ifølge databeskyttelsesreglerne skal.

Datatilsynet indledte i november 2020 sin undersøgelse af Danske Bank, efter at Danske Bank selv havde meldt ud, at den havde fundet et problem med sletning af personoplysninger. Det skete i kølvandet på sagen om de massive problemer i bankens it-systemer for gældsinddrivelse, som Berlingske og TV 2 kunne afdække i 2020.

Datatilsynets undersøgelse har blandt andet vist, at Danske Bank ikke har kunnet dokumentere, at der i flere end 400 af bankens systemer har været opsat regler for sletning og opbevaring af personoplysninger, eller at personoplysningerne manuelt var blevet slettet.

Systemerne rummer ifølge Datatilsynet personoplysninger om flere millioner personer.

»Et af grundprincipperne i gdpr (EUs opstrammede databeskyttelsesregler, red.) er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særligt afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker,« siger Kenni Elm Olsen, der er specialkonsulent i Datatilsynet.

Bøden kunne være blevet endnu større

Det er i sidste ende en domstol, der skal vurdere, om banken skal have en bøde – og hvor stor den i så fald skal være.

Vælger domstolen at følge Datatilsynets indstilling og give en bøde på ti millioner kroner, vil det være den suverænt største bøde, der nogensinde er givet i Danmark for brud på databeskyttelsesreglerne.

Bødens størrelse er fastlagt ud fra en vurdering af, at »den skete overtrædelse vedrører et grundlæggende princip for behandling af personoplysninger og berører et meget stort antal registrerede«, oplyser Datatilsynet.

Fordi Danske Bank aktivt har medvirket i at få hele sagen oplyst, er bøden ikke blevet endnu højere.

Bøder skal være effektive, stå i rimeligt forhold til overtrædelsen og have afskrækkende virkning, lyder kravet i databeskyttelsesreglerne.

Hos Danske Bank understreger Bo Svejstrup, der er underdirektør og koncernteknologidirektør, at »vores kunders data er sikre og har været det hele tiden«.

»Som vi tidligere har fortalt, har visse personoplysninger dog desværre været opbevaret længere end nødvendigt, og det skulle naturligvis ikke være sket. Vi har løbende arbejdet målrettet på at tilpasse og implementere slettefrister i vores systemer, og det arbejde er vi kommet langt med,« siger han og erkender, at »opgaven er meget kompleks« og derfor også har været tidskrævende.

Danske Bank tager Datatilsynets indstilling til efterretning og fortsætter med at slette de oplysninger, som banken ikke bør opbevare, mens man venter på den endelige afgørelse i sagen.

EU strammede i 2018 persondatabeskyttelsen (kendt under den engelske forkortelse gdpr), som skal sikre, at alle oplyses om, hvilke data der samles ind om dem, hvad de bruges til, og hvem der har adgang til dem – samt muligheden for at kunne sige stop. Samtidig blev bødestørrelserne skruet i vejret.

Problemer i inkassoafdeling

Forløbet udspringer af sagen om fejl i bankens it-systemer for gældsinddrivelse, som Berlingske og TV 2 kunne afdække i 2020.

Omfattende internt materiale viste, hvordan banken i årevis havde inddrevet gæld fra tusindvis af inkassokunder i strid med reglerne. Danske Bank havde blandt andet opkrævet forældet gæld, som banken ikke længere havde krav på, samt gæld fra de forkerte personer. Desuden kom det frem, at der gennem årene havde været talrige advarsler internt i banken om problemerne.

Undervejs søsatte Danske Bank en omfattende intern undersøgelse af problemerne, og i dén proces kom det frem, at banken altså havde brudt databeskyttelsesreglerne i massivt omfang ved ikke at slette data korrekt.

Ud over dagens udmelding fra Datatilsynet har banken undervejs fået en række påbud fra Finanstilsynet, og også Forbrugerombudsmanden er gået ind i sagen.

Også andre brud på dataregler

Udover brud på reglerne om sletning af data har Danske Bank med inkassoskandalen også brudt andre regler om databeskyttelse:

Blandt andet har banken erkendt, at den har brudt databeskyttelsesforordningens artikel 5, stk. 1, litra d, der siger, at personoplysninger skal »være korrekte og om nødvendigt ajourførte«.

Men dette har Datatilsynet foreløbigt valgt ikke at undersøge nærmere, hvilket tidligere har medført kritik af tilsynet.