Datatilsynet har polisanmält Kongelige Teater & Kapell för att ha lagrat uppgifter om ca 520 000 kunder och nyhetsbrevsmottagare i marknadsföringssyfte, utan att ha fastställt tidsfrister för radering eller fasta rutiner eller riktlinjer för radering av uppgifterna i enlighet med dataskyddsförordningen (GDPR).
Datatilsynet inledde en utredning på eget initiativ i september 2022, och det visade sig att Kongelige Teater & Kapell inte fastställt regler för radering och lagring av personuppgifter trots att teatern redan var medveten om att så inte hade skett. Informationen raderades endast i de fall enskilda kunder specifikt begärt radering eller återkallat sitt samtycke till att ta emot direktmarknadsföring.
Kongelige Teater & Kapell påbörjade inte arbetet med att förbereda och implementera en raderingspolicy förrän tillsynsnämnden inledde sin utredning.
Mot bakgrund av ovanstående har Kongelige Teater & Kapell rekommenderats att betala böter på 250 000 danska kronor. Vid bedömningen av om böter ska påföras har Datatilsynet bland annat lagt vikt vid att det är fråga om en överträdelse av grundläggande principer för behandling av personuppgifter, att det rör sig om ett mycket stort antal registrerade kunder och att uppgifterna aktivt har använts i marknadsföringssyfte. Datatilsynet har vidare i försvårande riktning framhållit att överträdelsen enligt tillsynsmyndighetens mening skett uppsåtligen.