Danske Bank er blevet politianmeldt for brud på GDPR-reglerne. Det skriver Datatilsynet i en pressemeddelelse.

Banken har angiveligt haft rod i systemerne. I mere end 400 systemer har banken ikke kunnet dokumentere, at der fandtes regler for sletning af personoplysninger, der ikke længere var en 'forretningsmæssig begrundelse for fortsat at behandle'.

I de omfattede systemer er der blevet behandlet oplysninger om flere millioner personer, skriver Datatilsynet.

Da man heller ikke har foretaget manuel sletning af personoplysningerne, mener tilsynet, at banken har brudt GDPR-reglerne.

Datatilsynet har derfor indstillet banken til en bøde på 10 millioner kroner.

- Et af grundprincipperne i GDPR er, at man kun må behandle oplysninger, man har brug for - og når man ikke har brug for dem længere, skal de slettes. Når det handler om en organisation af Danske Banks størrelse, der har mange og komplekse systemer, er det særlig afgørende, at man samtidig kan dokumentere, at sletningen rent faktisk sker, siger Kenni Elm Olsen, specialkonsulent i Datatilsynet, ifølge pressemeddelelsen.

Danske Bank: Oplysningerne har været sikre

Danske Bank har selv reageret på politianmeldelsen. I en pressemeddelelse understreger underdirektør Bo Svejstrup, at oplysningerne har været opbevaret sikkert hele vejen.

- Som vi tidligere har fortalt, har visse personoplysninger dog desværre været opbevaret længere end nødvendigt, og det skulle naturligvis ikke være sket, siger Bo Svejstrup ifølge pressemeddelelsen.

Sagen startede tilbage i november 2020, efter at banken selv havde opdaget den manglende procedure for sletning af personoplysninger.

Der har ifølge begge parter været en god dialog og samarbejde under hele undersøgelsen.