DA
Persondata

100.000 kr. for overtrædelse af databeskyttelsesreglerne

logo
Juranyt
calendar 12. februar 2021
globus Danmark

Retten i Aarhus har netop idømt en stor møbelkæde en bøde på 100.000 kr. for overtrædelse af databeskyttelsesreglerne. Sagen blev blandt andet udløst af, at virksomheden havde opbevaret gammelt kundedata uden grundlag, og uden frister eller øvrig procedure for sletning. Datatilsynet havde ellers lagt op til, at bøden skulle fastsættes til 1.5 millioner kr.

På baggrund af et tilsynsbesøg i efteråret 2018, kort efter den nye databeskyttelsesforordning trådte i kraft, udførte Datatilsynet et tilsynsbesøg hos møbelkæden. Datatilsynet anmeldte herefter virksomheden for overtrædelse af databeskyttelsesforordningen, for at have tilsidesat sine forpligtelser med hensyn til opbevaringsbegrænsning.

Det følger blandt andet af reglerne om opbevaringsbegrænsning, at personoplysninger skal opbevares på en måde, at oplysningerne ikke kan identificeres længere end hvad der er nødvendigt til de formål, hvortil oplysningerne behandles.

Krav til opbevaringsbegrænsning var overtrådt

Ifølge Datatilsynet burde bøden til virksomheden fastsættes til 1.5 millioner kr. Datatilsynets udmåling af forslag til bøden skete, i medfør databeskyttelsesforordningens regler, på baggrund af koncernens samlede omsætning. Derudover mente Datatilsynet, at virksomheden med vilje havde undladt at slette oplysningerne.

Selvom oplysningerne senere blev slettet fandt Retten i Aarhus, at virksomheden havde opbevaret omkring 350.000 personoplysninger i strid med reglerne. Oplysningerne lå i et ældre og til dels udfaset kundedatasystem. Retten fastslog, at virksomheden burde have slettet personoplysningerne efter den 5-årige frist der følger af bogføringslovens regler.

Retten var dog ikke enig i, at virksomheden med vilje havde glemt at slette personoplysningerne. I stedet mente retten, at der var tale om en forglemmelse. Derudover mente retten, at kun virksomhedens egen – og ikke hele koncernens – omsætning skulle medtages ved fastsættelse af bøden samt, at der ved bødens størrelse skulle tages hensyn til, at der var tale om en førstegangsovertrædelse. Retten understregede også, at der desuden var tale om almindelige, og ikke følsomme, personoplysninger. Ingen havde lidt skade som følge af overtrædelsen, der altså alene kunne betragtes som af formel karakter. Systemet var desuden gammelt, og havde kun været tilgået lejlighedsvist af virksomheden.

Retten tog ved afgørelsen hensyn til, at virksomheden havde iværksat betydelige tiltag for at sikre, at de 57 systemer der blev brugt overholdt databeskyttelsesforordningens høje standarder.

IUNO mener

Byrettens afgørelse er særlig fordi det er den første mod en virksomhed omkring fastsættelse af bødeniveauet under de nye regler. Før databeskyttelsesforordningen trådte i kraft, lå bødeniveauet på omkring 2.000 til 25.000 kr.

IUNO mener, at virksomheder skal være meget opmærksomme på, at databeskyttelsesforordningen som bekendt har til formål, blandt andre ting, at introducere en væsentlig forøgelse af bødeniveauet. Det betyder også, at udgangspunktet for overtrædelser er bødestraf for at sikre sanktioner der er effektive og afskrækkende.

[Retten i Aarhus’ dom i sag SS 3662/2020 af den 12. februar 2021]

På baggrund af et tilsynsbesøg i efteråret 2018, kort efter den nye databeskyttelsesforordning trådte i kraft, udførte Datatilsynet et tilsynsbesøg hos møbelkæden. Datatilsynet anmeldte herefter virksomheden for overtrædelse af databeskyttelsesforordningen, for at have tilsidesat sine forpligtelser med hensyn til opbevaringsbegrænsning.

Det følger blandt andet af reglerne om opbevaringsbegrænsning, at personoplysninger skal opbevares på en måde, at oplysningerne ikke kan identificeres længere end hvad der er nødvendigt til de formål, hvortil oplysningerne behandles.

Krav til opbevaringsbegrænsning var overtrådt

Ifølge Datatilsynet burde bøden til virksomheden fastsættes til 1.5 millioner kr. Datatilsynets udmåling af forslag til bøden skete, i medfør databeskyttelsesforordningens regler, på baggrund af koncernens samlede omsætning. Derudover mente Datatilsynet, at virksomheden med vilje havde undladt at slette oplysningerne.

Selvom oplysningerne senere blev slettet fandt Retten i Aarhus, at virksomheden havde opbevaret omkring 350.000 personoplysninger i strid med reglerne. Oplysningerne lå i et ældre og til dels udfaset kundedatasystem. Retten fastslog, at virksomheden burde have slettet personoplysningerne efter den 5-årige frist der følger af bogføringslovens regler.

Retten var dog ikke enig i, at virksomheden med vilje havde glemt at slette personoplysningerne. I stedet mente retten, at der var tale om en forglemmelse. Derudover mente retten, at kun virksomhedens egen – og ikke hele koncernens – omsætning skulle medtages ved fastsættelse af bøden samt, at der ved bødens størrelse skulle tages hensyn til, at der var tale om en førstegangsovertrædelse. Retten understregede også, at der desuden var tale om almindelige, og ikke følsomme, personoplysninger. Ingen havde lidt skade som følge af overtrædelsen, der altså alene kunne betragtes som af formel karakter. Systemet var desuden gammelt, og havde kun været tilgået lejlighedsvist af virksomheden.

Retten tog ved afgørelsen hensyn til, at virksomheden havde iværksat betydelige tiltag for at sikre, at de 57 systemer der blev brugt overholdt databeskyttelsesforordningens høje standarder.

IUNO mener

Byrettens afgørelse er særlig fordi det er den første mod en virksomhed omkring fastsættelse af bødeniveauet under de nye regler. Før databeskyttelsesforordningen trådte i kraft, lå bødeniveauet på omkring 2.000 til 25.000 kr.

IUNO mener, at virksomheder skal være meget opmærksomme på, at databeskyttelsesforordningen som bekendt har til formål, blandt andre ting, at introducere en væsentlig forøgelse af bødeniveauet. Det betyder også, at udgangspunktet for overtrædelser er bødestraf for at sikre sanktioner der er effektive og afskrækkende.

[Retten i Aarhus’ dom i sag SS 3662/2020 af den 12. februar 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata

6. maj 2021

EU: Nye regler om kunstig intelligens på vej

logo
HR-jura Persondata Corporate

14. april 2021

Virksomheder kan ikke kræve konsulenter og bestyrelsesmedlemmer testet for coronavirus

logo
Persondata HR-jura

25. marts 2021

Kan virksomheder bede om at se medarbejdernes coronapas?

logo
Persondata

11. marts 2021

Videoovervågning på arbejdspladsen

logo
HR-jura Corporate Persondata

6. marts 2021

Kommende lov indfører krav om whistleblowerordninger

logo
HR-jura Persondata

14. februar 2021

Sådan forebygges coronasmitte lovligt på arbejdspladsen

Learning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning

logo
HR-jura Persondata
17. januar 2018

Morgenmøde om den nye persondataforordning (webinar)

logo
HR-jura Persondata
10. november 2015

Morgenmøde om persondata

logo
HR-jura Persondata
11. november 2014

Nordic Seminar i København om privacy og databeskyttelse i de nordiske lande

logo
HR-jura Persondata
25. april 2012

Morgenmøde om HR-persondataret