I september 2023 gav Østre Landsret hotelkæden Arp-Hansen Group en rekordstor bøde på 1 mio. kr. for overtrædelse af databeskyttelsesforordningen (GDPR).

Sagen, der handlede om manglende sletning af kundeprofiler, sender et klart signal til alle erhvervsvirksomheder: overholdelse af GDPR er ikke bare en formalitet, men en kritisk forpligtelse.

Hvad kan erhvervsvirksomheder uddrage af dommen?

  1. Mens tidligere bøder for GDPR-overtrædelser i Danmark har ligget omkring 100.000 kr., viser denne dom, at domstolene nu er villige til at udstede betydeligt større bøder.
  2. Sagen drejede sig som nævnt om manglende sletning af kundeprofiler. Har din virksomhed et effektivt datastyringssystem, der er gearet til at håndtere og slette personoplysninger korrekt?
  3. Det er ikke nok at have datapolitikker på papiret. Virksomheder skal også sikre, at de overholder politikkerne i praksis. Alle medarbejdere bør være tydeligt informeret om deres forpligtelser til at beskytte persondata og om konsekvenserne for virksomheden og måske dem selv hvis de ikke lever op til kravene.
  4. Dommen viser, at en lang sagsbehandlingstid ikke er en brugbar undskyldning; den var ikke en formildende omstændighed.
  5. Dommen giver anledning til at forvente en generel stigning i bødeniveauet for overtrædelser af databeskyttelsesforordningen.