Danske Bank er blevet anmeldt til politiet og risikerer at få en bøde på op til ti millioner kroner.
Det oplyser Datatilsynet, der står bag anmeldelsen.
Sagen handler kort fortalt om, at banken ikke har været god nok til at slette personoplysninger. Dermed har Danske Bank, ifølge Datatilsynet, ikke overholdt de såkaldte GDPR-regler.
Vi har løbende arbejdet målrettet på at tilpasse og implementere slettefrister i vores systemer
- Ét af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for – og når man ikke har brug for dem længere, skal de slettes, udtaler Kenni Elm Olsen, specialkonsulent i Datatilsynet, i en pressemeddelelse.
Flere millioner personer
Datatilsynet skriver, at Danske Bank ikke har kunnet dokumentere for mere end 400 systemer, at der var fastsat regler for sletning og opbevaring af personoplysninger, eller at der var foretaget manuel sletning af personoplysninger.
Til sammen har disse systemer indeholdt personoplysninger "om flere millioner personer", skriver tilsynet.
- Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særligt afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker, udtaler Kenni Elm Olsen.
Bøden er samtidig den – med afstand – største bøde Datatilsynet nogensinde har indstillet til som følge af brud på GDPR-reglerne.
I 2019 blev IDdesign indstillet til en bøde på halvanden million for manglende sletning af oplysninger om cirka 385.000 kunder. Siden valgte Retten i Aarhus dog at nedsætte bøden til 100.000 kroner.
Taxa 4x35 blev samme år indstillet til en bøde på 1,2 millioner kroner. Også hotelkæden Arp-Hansen har fået en millionbøde, da de i 2020 blev indstillet til en bøde på 1,1 millioner kroner.
Gældskaos
Sagen er langt fra den første, hvor Danske Bank har problemer med gamle systemer.
I sommeren 2020 kunne TV 2 og Berlingske således fortælle, at banken i årevis havde inddrevet for meget gæld fra sine mest sårbare kunder på grund af alvorlige system- og datafejl i bankens inkasso-systemer.
Sagen har blandt andet betydet, at der i tusindvis af sager ved landets domstole har været forkerte oplysninger, at kunder er gået glip af mulig rabat, når de har skullet sælge deres hus på tvang, og at større millionbeløb er blevet betalt tilbage til kunder, der er blevet uretmæssigt opkrævet.
Danske Bank erkendte problem i november
I november sidste år beskrev TV 2, hvordan Danske Bank i en rapport indrømmede at have brudt GDPR-reglerne i forbindelse med gældssagen.
Ifølge banken selv overtrådte den reglerne, da den i årevis behandlede forkerte gældsoplysninger for en kvart million kunder, uden at banken fik rettet de fejlbehæftede oplysninger.
I forbindelse med Danske Banks delrapport afviste Datatilsynet at gå ind i sagen, men alligevel skriver tilsynet i dag, at man igangsatte en undersøgelse på samme tidspunkt:
- I november 2020 indledte (datatilsynet, red.) en sag af egen drift, efter at banken selv havde oplyst, at de havde identificeret et problem med sletning af personoplysninger, som der ikke nødvendigvis var en forretningsmæssig begrundelse for fortsat at behandle, lyder det fra Datatilsynet i pressemeddelelsen.
I en kommentar, som følge af Datatilsynets politianmeldelse, skriver Danske Bank, at man tager anmeldelsen og udsigten til en millionbøde "il efterretning og fortsætter opgaven med at slette de oplysninger, som vi ikke længere har et formål med at opbevare.
- Vi har løbende arbejdet målrettet på at tilpasse og implementere slettefrister i vores systemer, og det arbejde er vi kommet langt med. Vi har dog også måttet erkende, at opgaven er meget kompleks, og at implementering af slettefrister i visse systemer har vist sig tidskrævende, udtaler Bo Svejstrup, der er underdirektør og Chief Technology Officer i Danske Bank, i kommentaren.