← Indsigt
Danmarks første GDPR-bøde
24.02.21
Den 12. februar 2021 faldt dommen i Danmarks første bødesag efter databeskyttelsesforordningen (”GDPR”): ILVA A/S skal betale 100.000 kr. for at have overtrådt GDPR.
Baggrunden for sagen
I juni 2019 anmeldte Datatilsynet virksomheden for at have opbevaret ca. 350.000 personoplysninger i et både ældre og delvist udfaset kundedatasystem i for lang tid. Den manglende sletning af oplysningerne var ifølge Datatilsynet en overtrædelse af GDPR artikel 5, stk. 1, litra e, om opbevaringsbegrænsning.
Datatilsynet indstillede til anklagemyndigheden, at sagen skulle afgøres med en bøde på 1,5 mio. kr., hvilket anklagemyndigheden var enig i. Datatilsynet og anklagemyndigheden lagde hele ILVA-koncernens omsætning til grund i skønnet over bødens størrelse. Derudover lagde anklagemyndigheden i anklageskriftet vægt på, at det var myndighedernes vurdering, at virksomheden forsætligt havde undladt at slette oplysningerne.
Byrettens dom
Retten i Aarhus fandt det bevist, at der i sagen havde været tale om cirka 350.000 personoplysninger, og at oplysningerne skulle have været slettet efter fristen på 5 år i bogføringsloven. Princippet om opbevaringsbegrænsning var derfor overtrådt. Dog fandt retten det kun bevist, at overtrædelsen var sket ved uagtsomhed, og at virksomheden således ved en forglemmelse ikke havde fået slettet personoplysningerne i IT-systemet.
I forhold til udmålingen af straffen lagde retten særlig vægt på, at:
- det kun var virksomhedens egen omsætning, som skulle lægges til grund for bøden,
- der skulle tages hensyn til, at overtrædelsen var begået uagtsomt,
- der var tale om en førstegangsovertrædelse af GDPR,
- de omhandlede personoplysninger var almindelige og ikke følsomme personoplysninger,
- oplysningerne var i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist,
- ingen registrerede havde lidt nogen skade, og
- overtrædelsen var – også efter Datatilsynets egen opfattelse – alene af formel karakter.
Derudover skulle det ifølge retten indgå med betydelig vægt, at virksomheden havde udfoldet ganske betydelige bestræbelser på at sikre, at mange af dets i alt 57 systemer både IT-teknisk og juridisk havde været i overensstemmelse med det ”ikke ukomplicerede regelsæt” i GDPR.
På baggrund af de ovenstående forhold overvejede retten helt indledningsvist, om overtrædelsen overhovedet oversteg tærsklen mellem udtalelse af kritik, eller om virksomheden skulle idømmes en bøde. I de overvejelser blev det særligt inddraget, at overtrædelser skal imødegås med sanktioner, der er effektive, proportionale, og som har en afskrækkende virkning, og på den baggrund fandt retten, at ILVA skulle idømmes en bøde. Retten lagde i den forbindelse blandt andet vægt på den betydelige datamængde, som ikke var blevet anonymiseret eller slettet af virksomheden, og dermed det betydelige antal registrerede, som overtrædelsen angik.
Retten fastsatte efter en samlet vurdering bøden til 100.000 kr. – altså et væsentligt lavere beløb end de 1,5 mio. kr., som Anklagemyndigheden og Datatilsynet havde været enige om.
Skau Reipurths bemærkninger
Dommen giver det allerførste indblik i Danmark i, hvilke forhold domstolene vil lægge vægt på, når de vurderer, om der skal idømmes en bøde i henhold til GDPR. I dette tilfælde blev det til en bøde, men en bøde, der var væsentligt lavere end indstillet af myndigheden. Dommen skitserer også klart de faktorer, der blev lagt vægt på i udmålingen af bødens størrelse.
Statsadvokaten i Viborg har den 23. februar 2021 oplyst, at myndigheden anker dommen til landsretten. Skau Reipurth følger sagens udvikling og landsrettens dom tæt.
Af interesse er selvsagt særligt bødens størrelse, men også den påvirkning, som dommen måske kan få på senere retspraksis og den bødevejledning, som Datatilsynet netop har udgivet i januar 2021, men for nu må ankesagens resultat afventes.
Ønsker du yderligere information, er du velkommen til at rette henvendelse til advokat Mette Vestergaard Huss (mvh@skaureipurth.com).