Hotelkæden Arp-Hansen, der bl.a. står bag Tivoli Hotel og Kongrescenter, har misligeholdt sine egne slettefrister i relation til GDPR, og det skal koste virksomheden 1.1 mio. kroner, hvis det står til Datatilsynet.
Det skriver de i en pressemeddelelse.
Datatilsynet blev opmærksom på forholdet i forbindelse med et tilsynsbesøg hos Arp-Hansen Hotel Group A/S, hvor tilsynet gennemgik en række systemer med henblik på at undersøge, om Arp-Hansen havde tilstrækkelige procedurer for at sikre, at der ikke blev opbevaret personoplysninger i længere tid, end det var nødvendigt i forhold til de formål, hvortil oplysningerne blev behandlet.
Undervejs i forløbet konstaterede Datatilsynet, at særligt et bookingsystem indeholdt mange personoplysninger, som burde have været slettet i henhold til Arp-Hansens egne fastsatte slettefrister. Tilsynet kunne endvidere konstatere, at der var såkaldte kundeprofiler, som – efter Arp-Hansens egne slettefrister – burde være blevet slettet flere år tidligere. Det er i den forbindelse tilsynets opfattelse, at ca. 500.000 kundeprofiler burde have været slettet på tidspunktet for tilsynsbesøget.
”I et samfund, hvor vores personoplysninger registreres og udnyttes i stadigt større omfang, er det afgørende, at vi som borgere kan have tillid til, at vores personoplysninger behandles til saglige formål, og at de kun opbevares så længe, som det er nødvendigt,” udtaler Frederik Viksøe Siegumfeldt, kontorchef for tilsynsenheden i Datatilsynet, som tilføjer:
”Vi vælger at skride til politianmeldelse i en sag som den pågældende, fordi Arp-Hansen efter vores opfattelse ikke har kunnet fremkomme med saglige grunde til den omfattende opbevaring af oplysninger.”
Datatilsynet har derfor indstillet Arp-Hansen til en bøde på 1.100.000 kr. for ikke at have levet op til forordningens krav om sletning (opbevaringsbegrænsning) i artikel 5, stk. 1, litra e.