Datatilsynet har beslutat att polisanmäla Danske Bank då myndigheten bedömer att banken inte har kunnat dokumentera att de har raderat personuppgifter i enlighet med dataskyddsförordningen (GDPR). Datatilsynet rekommenderar böter på 10 miljoner danska kronor.
Av Datatilsynets pressmeddelande framgår att myndigheten i november 2020 inlett ett ärende på eget initiativ, efter att Danske Bank själv uppgett att de identifierat ett problem med radering av personuppgifter. I samband med Datatilsynets utredning har det framkommit att Danske Bank i mer än 400 system inte har kunnat dokumentera att det ställts upp regler för radering och lagring av personuppgifter eller att manuell radering av personuppgifter har skett. Dessa system behandlar enligt Datatilsynet personuppgifter om miljontals människor.
En av grundprinciperna i dataskyddsförordningen är enligt Datatilsynet att man bara kan behandla information man behöver, och när man inte längre behöver den ska den raderas. När det gäller en verksamhet av Danske Banks storlek, som har många och komplexa system, är det enligt myndigheten särskilt avgörande att man också kan dokumentera att raderingen faktiskt sker.
Datatilsynet har i sin rekommendation till polisen bland annat framhållit att överträdelsen i fråga avser en grundläggande princip för behandling av personuppgifter och berör ett mycket stort antal registrerade. Enligt Datatilsynet har Danske Bank kontinuerligt arbetat för att kunna dokumentera att banken lever upp till sina åtaganden, dvs. har försökt begränsa den skada som de registrerade potentiellt lider. Samtidigt framhållet Datatilsynet Danske Banks aktiva medverkan i ärendets information.