DAEN

MENU

Første GDPR-bøde i Danmark: 100.000 kr. for manglende sletning

En privat virksomhed er ved Retten i Aarhus blevet idømt en bøde på 100.000 kr. for at opbevare ca. 350.000 kunders oplysninger for længe.

En privat virksomhed er ved Retten i Aarhus blevet idømt en bøde på 100.000 kr. for at opbevare ca. 350.000 kunders oplysninger for længe.

Første bøde i Danmark

Retten ved Aarhus idømte den 12. februar 2021 en privat virksomhed en bøde på 100.000 kr. for at opbevare oplysninger om ca. 350.000 personer i form af navne, adresser, telefonnumre, e-mails og købshistorik i et ældre og til dels udfaset IT-system. Der var ikke længere grundlag for at opbevare oplysningerne, og virksomheden havde ikke fastsat frister og procedurer for sletning af oplysningerne i IT-systemet.

Anklagemyndigheden havde lagt op til, at virksomheden skulle straffes med en bøde på 1,5 mio. kr. efter Datatilsynets indstilling. Anklagemyndigheden og Datatilsynet havde i dette skøn lagt hele koncernens omsætning til grund, og vurderet, at virksomheden forsætligt havde undladt at slette oplysningerne.

Sagens omstændigheder

Datatilsynet var på et tilsynsbesøg hos virksomheden i efteråret 2018. Datatilsynet blev i den forbindelse opmærksom på et gammelt kundekartotek i et IT-system, der indeholdt oplysninger på flere hundrede tusinde kunder.

Efter tilsynet udtalte Datatilsynet alvorlig kritik af virksomheden, hvilket bl.a. var begrundet i, at virksomheden ikke havde fastlagt og dokumenteret frister for sletning i IT-systemet.

Samtidig anmeldte Datatilsynet virksomheden til politiet for overtrædelse af opbevaringsbegrænsningsprincippet i databeskyttelsesforordningens artikel 5, stk. 1, litra e, for opbevaringen af ca. 350.000 kunders personoplysninger i IT-systemet.

Rettens resultat og begrundelse

Retten fandt det bevist, at der var tale om oplysninger om cirka 350.000 personer, og at oplysningerne skulle være slettet efter 5 år fra udgangen af regnskabsåret i medfør af bogføringsloven. Virksomheden overtrådte dermed databeskyttelsesforordningens artikel 5, stk. 1, litra e.

Ifølge retten var der alene ført bevis for, at overtrædelsen var begået uagtsomt, idet virksomheden ved en forglemmelse ikke havde fået slettet oplysninger som følge en for ensidig fokusering på virksomhedens aktive IT-systemer.

I bødefastsættelsen fandt retten, at det kun var virksomhedens egen omsætning, der skulle lægges til grund ved bødens beregning (og dermed ikke hele koncernens omsætning).

Retten lagde også vægt på de formildende omstændigheder, 1) at det var en førstegangsovertrædelse, 2) at oplysningerne var almindelige og ikke følsomme, 3) at oplysninger befandt sig i et ældre og til dels udfaset system, 4) at ingen af de registrerede havde lidt nogen skade og 5) at overtrædelsen var af ”formel” karakter.

Retten anførte desuden, at det skulle indgå med betydelig vægt, at virksomheden havde gjort betydelige bestræbelser på at sikre, at mange af virksomhedens i alt 57 IT-systemer var i overensstemmelse med databeskyttelsesforordningens ”ikke ukomplicerede regelsæt”.

Efter en samlet vurdering fastsatte retten bøden til 100.000 kr.

Databeskyttelsesforordningen indførte fra maj 2018 et højt bødeniveau, der i høj grad har forøget virksomheder og myndigheders opmærksomhed på databeskyttelsesreglerne.

Med den første idømmelse af en bøde for overtrædelse af regelsættet i Danmark er den første brik i bødeberegningen i retspraksis lagt.

Bøden på 100.000 kr. er væsentligt lavere end Datatilsynet og anklagemyndighedens vurdering på 1,5 mio. kr. Retten tillagde en række formildende omstændigheder stor betydning i bødefastsættelsen, herunder bl.a. at overtrædelsen ifølge retten skete uagtsomt, samt at virksomheden overordnet havde gjort sig betydelige bestræbelser på at overholde databeskyttelsesreglerne.

Dommen er således konkret begrundet i virksomhedens forhold, og den kan ikke tages til indtægt for, at retten har udtalt sig generelt om bødeniveauet for overtrædelse af databeskyttelsesreglerne.

Anklagemyndigheden har oplyst, at Anklagemyndigheden overvejer, om sagen skal ankes til landsretten.

Datatilsynet, Rigspolitiet og Rigsadvokaten har i samarbejde for nyligt udgivet en ny vejledning for beregning af bøder til virksomheder for overtrædelse af databeskyttelsesreglerne. Vejledningen lægger i udgangspunktet op til store bøder for overtrædelse af databeskyttelsesreglerne.

Det kommende retspraksis på området bliver derfor særlig interessant at følge. Vi følger nøje udviklingen og vil løbende orientere herom.

Hold dig opdateret: Få juridisk viden og indsigter fra vores eksperter direkte i din indbakke

Når du tilmelder dig vores nyhedsbreve, bliver du opdateret på seneste nyt fra de retsområder, som du ønsker at følge. Du får også adgang til kommende kurser, webinarer og arrangementer – alt sammen designet til at holde dig informeret og ajour. Uanset om du er på udkig efter rådgivning, viden eller netværksmuligheder, er vores nyhedsbreve din nøgle til det hele.