DA
Teknologi

100.000 kr. for overtrædelse af databeskyttelsesreglerne

logo
Juranyt
calendar 12. februar 2021
globus Danmark

Retten i Aarhus har netop idømt en stor møbelkæde en bøde på 100.000 kr. for overtrædelse af databeskyttelsesreglerne. Sagen blev blandt andet udløst af, at virksomheden havde opbevaret gammelt kundedata uden grundlag, og uden frister eller øvrig procedure for sletning. Datatilsynet havde ellers lagt op til, at bøden skulle fastsættes til 1.5 millioner kr.

På baggrund af et tilsynsbesøg i efteråret 2018, kort efter den nye databeskyttelsesforordning trådte i kraft, udførte Datatilsynet et tilsynsbesøg hos møbelkæden. Datatilsynet anmeldte herefter virksomheden for overtrædelse af databeskyttelsesforordningen, for at have tilsidesat sine forpligtelser med hensyn til opbevaringsbegrænsning.

Det følger blandt andet af reglerne om opbevaringsbegrænsning, at personoplysninger skal opbevares på en måde, at oplysningerne ikke kan identificeres længere end hvad der er nødvendigt til de formål, hvortil oplysningerne behandles.

Krav til opbevaringsbegrænsning var overtrådt

Ifølge Datatilsynet burde bøden til virksomheden fastsættes til 1.5 millioner kr. Datatilsynets udmåling af forslag til bøden skete, i medfør databeskyttelsesforordningens regler, på baggrund af koncernens samlede omsætning. Derudover mente Datatilsynet, at virksomheden med vilje havde undladt at slette oplysningerne.

Selvom oplysningerne senere blev slettet fandt Retten i Aarhus, at virksomheden havde opbevaret omkring 350.000 personoplysninger i strid med reglerne. Oplysningerne lå i et ældre og til dels udfaset kundedatasystem. Retten fastslog, at virksomheden burde have slettet personoplysningerne efter den 5-årige frist der følger af bogføringslovens regler.

Retten var dog ikke enig i, at virksomheden med vilje havde glemt at slette personoplysningerne. I stedet mente retten, at der var tale om en forglemmelse. Derudover mente retten, at kun virksomhedens egen – og ikke hele koncernens – omsætning skulle medtages ved fastsættelse af bøden samt, at der ved bødens størrelse skulle tages hensyn til, at der var tale om en førstegangsovertrædelse. Retten understregede også, at der desuden var tale om almindelige, og ikke følsomme, personoplysninger. Ingen havde lidt skade som følge af overtrædelsen, der altså alene kunne betragtes som af formel karakter. Systemet var desuden gammelt, og havde kun været tilgået lejlighedsvist af virksomheden.

Retten tog ved afgørelsen hensyn til, at virksomheden havde iværksat betydelige tiltag for at sikre, at de 57 systemer der blev brugt overholdt databeskyttelsesforordningens høje standarder.

IUNO mener

Byrettens afgørelse er særlig fordi det er den første mod en virksomhed omkring fastsættelse af bødeniveauet under de nye regler. Før databeskyttelsesforordningen trådte i kraft, lå bødeniveauet på omkring 2.000 til 25.000 kr.

IUNO mener, at virksomheder skal være meget opmærksomme på, at databeskyttelsesforordningen som bekendt har til formål, blandt andre ting, at introducere en væsentlig forøgelse af bødeniveauet. Det betyder også, at udgangspunktet for overtrædelser er bødestraf for at sikre sanktioner der er effektive og afskrækkende.

[Retten i Aarhus’ dom i sag SS 3662/2020 af den 12. februar 2021]

På baggrund af et tilsynsbesøg i efteråret 2018, kort efter den nye databeskyttelsesforordning trådte i kraft, udførte Datatilsynet et tilsynsbesøg hos møbelkæden. Datatilsynet anmeldte herefter virksomheden for overtrædelse af databeskyttelsesforordningen, for at have tilsidesat sine forpligtelser med hensyn til opbevaringsbegrænsning.

Det følger blandt andet af reglerne om opbevaringsbegrænsning, at personoplysninger skal opbevares på en måde, at oplysningerne ikke kan identificeres længere end hvad der er nødvendigt til de formål, hvortil oplysningerne behandles.

Krav til opbevaringsbegrænsning var overtrådt

Ifølge Datatilsynet burde bøden til virksomheden fastsættes til 1.5 millioner kr. Datatilsynets udmåling af forslag til bøden skete, i medfør databeskyttelsesforordningens regler, på baggrund af koncernens samlede omsætning. Derudover mente Datatilsynet, at virksomheden med vilje havde undladt at slette oplysningerne.

Selvom oplysningerne senere blev slettet fandt Retten i Aarhus, at virksomheden havde opbevaret omkring 350.000 personoplysninger i strid med reglerne. Oplysningerne lå i et ældre og til dels udfaset kundedatasystem. Retten fastslog, at virksomheden burde have slettet personoplysningerne efter den 5-årige frist der følger af bogføringslovens regler.

Retten var dog ikke enig i, at virksomheden med vilje havde glemt at slette personoplysningerne. I stedet mente retten, at der var tale om en forglemmelse. Derudover mente retten, at kun virksomhedens egen – og ikke hele koncernens – omsætning skulle medtages ved fastsættelse af bøden samt, at der ved bødens størrelse skulle tages hensyn til, at der var tale om en førstegangsovertrædelse. Retten understregede også, at der desuden var tale om almindelige, og ikke følsomme, personoplysninger. Ingen havde lidt skade som følge af overtrædelsen, der altså alene kunne betragtes som af formel karakter. Systemet var desuden gammelt, og havde kun været tilgået lejlighedsvist af virksomheden.

Retten tog ved afgørelsen hensyn til, at virksomheden havde iværksat betydelige tiltag for at sikre, at de 57 systemer der blev brugt overholdt databeskyttelsesforordningens høje standarder.

IUNO mener

Byrettens afgørelse er særlig fordi det er den første mod en virksomhed omkring fastsættelse af bødeniveauet under de nye regler. Før databeskyttelsesforordningen trådte i kraft, lå bødeniveauet på omkring 2.000 til 25.000 kr.

IUNO mener, at virksomheder skal være meget opmærksomme på, at databeskyttelsesforordningen som bekendt har til formål, blandt andre ting, at introducere en væsentlig forøgelse af bødeniveauet. Det betyder også, at udgangspunktet for overtrædelser er bødestraf for at sikre sanktioner der er effektive og afskrækkende.

[Retten i Aarhus’ dom i sag SS 3662/2020 af den 12. februar 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfuldmægtig

Lignende

logo
HR-jura Corporate Teknologi

25. juni 2021

Lov om beskyttelse af whistleblowere vedtaget

logo
HR-jura Corporate Teknologi

17. juni 2021

Hvor længe kan virksomheder opbevare oplysninger om jobansøgere?

logo
HR-jura Corporate Teknologi

2. juni 2021

Kan virksomheder bede om at se medarbejdernes coronapas? (1)

logo
Teknologi

20. maj 2021

Datatilsynets vejledning om samtykke er opdateret

logo
Teknologi

6. maj 2021

EU: Nye regler om kunstig intelligens på vej

logo
HR-jura Corporate Teknologi

14. april 2021

Virksomheder kan ikke kræve konsulenter og bestyrelsesmedlemmer testet for coronavirus

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Advokatfuldmægtig