Danske Datatilsynet har politianmeldt Danske Bank

Bakgrunnen for politianmeldelsen er en sak tilbake i november 2020. Etter en varsling fra Danske Bank angående et problem med sletting av personopplysninger, iverksatte det danske Datatilsynet et tilsyn for å undersøke saken nærmere. Undersøkelsen avdekket at banken ikke kunne dokumentere rutiner for sletting og oppbevaring av personopplysninger gjeldende for mer enn 400 systemer. Det hadde også forekommet manuell sletting av personopplysninger i systemene. Antall registrerte som var berørt var flere millioner personer.

Det danske Datatilsynet understreker at et av grunnprinsippene med GDPR er at man kun skal behandle personopplysninger som er nødvendige. Etter norsk ordlyd gjenkjenner vi dette som et uttrykk for dataminimeringsprinsippet i GDPR art. 5 (1) (c). Spesialkonsulent i det danske Datatilsynet, Kenni Elm Olsen, uttaler at man må kunne dokumentere at slettingen rent faktisk skjer, særlig om man er en organisasjon på Danske Banks størrelse. Han trekker også frem antall systemer og deres kompleksitet som en bidragsfaktor her.

Datatilsynets begrunnelse for politianmeldelse er alvorlighetsgraden ved saken. På bakgrunn av at saken vedrører et av personvernforordningens grunnprinsipper og berører et betydelig stort antall registrerte, anfører Datatilsynet at bruddet begrunner en bot på 10 millioner kr. I tråd med retningslinjene nedfelt i GDPR har det danske Datatilsynet lagt vekt på sakens alvorlighet, at reaksjonen skal være effektiv, stå i rimelig forhold til overtredelsen og ha avskrekkende virkning.