Nyhed 11.08.2020

Datatilsynet har indstillet to virksomheder til bøder

Én af de to virksomheder som Datatilsynet har politianmeldt og indstillet til en bøde, er hotelkæden Arp-Hansen Hotel Group A/S, der bl.a. står bag Tivoli Hotel & Congress Center. Hvis det står til Datatilsynet, skal det koste virksomheden 1.1 mio. kr. for ikke at overholde sine egne slettefrister. Datatilsynet har efterfølgende i en pressemeddelelse meddelt, at de også har indstillet boligadministrationsvirksomheden PrivatBo til en bøde på kr. 150.000.

Arp-Hansen Hotel Group A/S

Hotelkæden Arp-Hansen har undladt at overholde sine egne frister for sletning af ca. 500.000 brugerprofiler, hvilket Datatilsynet blev opmærksom på i forbindelse med et tilsynsbesøg hos Arp-Hansen. Tilsynet havde særlig fokus på virksomhedens procedurer for sletning af personoplysninger, som det kræves efter Databeskyttelsesforordningens artikel 5, stk. 1, litra e. I den forbindelse gennemgik Datatilsynet en række systemer med henblik på at undersøge, om Arp-Hansen havde tilstrækkelige procedurer for at sikre, at der ikke blev opbevaret personoplysninger i længere tid, end det var nødvendigt.

Særligt et bookingsystem indeholdt mange personoplysninger, som burde have været slettet i henhold til Arp-Hansens egne fastsatte slettefrister, ligesom virksomhedens kundeprofiler burde være blevet slettet flere år tidligere. Tilsynet konstaterede, at det drejede sig om ca. 500.000 kundeprofiler. Da Arp-Hansen ikke har kunne fremkomme med saglige grunde til den omfattende behandling af oplysninger, har tilsynet valgt at anmelde forholdet til politiet og indstille til en bøde på kr. 1.1 mio. kr. for ikke at have levet op til kravet om sletning (opbevaringsbegrænsning) i Databeskyttelsesforordningens artikel 5, stk. 1, litra e.

PrivatBo

I 2018 bistod PrivatBo en boligfond med et påtænkt salg af tre ejendomme, i hvilken forbindelse PrivatBo tilvejebragte materiale til de omhandlede ejendomme, som blev uddelt til beboerne på 424 USB-nøgler. Ud over lejekontrakter indeholdt USB-nøglerne dog også personoplysninger af fortrolig karakter, som Datatilsynet ikke mener burde være videregivet. Dette var PrivatBo imidlertid ikke opmærksom på.

Datatilsynet har vurderet, at PrivatBo ikke har levet op til kravene i Databeskyttelsesforordningens artikel 32 om at gennemføre passende tekniske og organisatoriske sikkerhedsforanstaltninger. På baggrund af sagens karakter har tilsynet derfor valgt at politianmelde PrivatBo for den videregivelse af personoplysninger, der skete som led i udleveringen af de 424 USB-nøgler.

I en pressemeddelelse fra den 23. december 2018 har PrivatBo meddelt, at det var en menneskelig fejl, der førte til, at USB-nøgler med personoplysninger blev sendt ud til lejerne. Fejlen kan nu koste PrivatBo en bøde på kr. 150.000.