Den 20 september 2023 avgjorde Østre Landsret ett mål mot hotellkedjan Arp-Hansen Hotel Group A/S för brott mot dataskyddsförordningens (GDPR) regler om lagring av personuppgifter. Hotellkedjan får 1 miljon danska konor i sanktionsavgift, vilket ligger nära Datatilsynets ursprungliga sanktionsrekommendation på 1,1 miljoner danska kronor.
Ärendet har tidigare avgjorts av domstolen i Lyngby, där företaget befanns skyldigt, men där en majoritet av domstolens domare fann att ärendet skulle avgöras med ett ogillande av påföljden. Åklagarsidan överklagade till Østre Landsret, där en dom nu har avkunnats. Enligt Datatilsynet är detta en mycket viktig dom eftersom den bidrar till att fastställa praxis för nivån på böter för privata företag.
Sedan 2020 har en dansk riktlinje om sanktionsavgift för privata företag utarbetats, och Europeiska dataskyddsstyrelsen (European Data Protection Board, EDPB) har nu också utarbetat en riktlinje om fastställande av böter på detta område, vilket kommer att säkerställa en mer enhetlig nivå på europeisk nivå.
Överträdelsen bestod i att hotellkedjan inte följde de raderingsfrister som företaget själva satt upp. Vid den tidpunkten uppskattade Datatilsynet att cirka 500 000 kundprofiler skulle ha raderats vid tidpunkten för inspektionsbesöket. Radering av personuppgifter som inte längre är nödvändiga att lagra är en av de grundläggande principerna i dataskyddsreglerna, eftersom risken för missbruk av sådana uppgifter också är begränsad.
Domen kan inte överklagas, men Arp-Hansen har möjlighet att ansöka hos den danska besvärstillståndsnämnden om att få ärendet prövat av Högsta domstolen i Danmark.