DA
Teknologi

100.000 kr. for overtrædelse af databeskyttelsesreglerne

logo
Juranyt
calendar 12. februar 2021
globus Danmark

Retten i Aarhus har netop idømt en stor møbelkæde en bøde på 100.000 kr. for overtrædelse af databeskyttelsesreglerne. Sagen blev blandt andet udløst af, at virksomheden havde opbevaret gammelt kundedata uden grundlag, og uden frister eller øvrig procedure for sletning. Datatilsynet havde ellers lagt op til, at bøden skulle fastsættes til 1.5 millioner kr.

På baggrund af et tilsynsbesøg i efteråret 2018, kort efter den nye databeskyttelsesforordning trådte i kraft, udførte Datatilsynet et tilsynsbesøg hos møbelkæden. Datatilsynet anmeldte herefter virksomheden for overtrædelse af databeskyttelsesforordningen, for at have tilsidesat sine forpligtelser med hensyn til opbevaringsbegrænsning.

Det følger blandt andet af reglerne om opbevaringsbegrænsning, at personoplysninger skal opbevares på en måde, at oplysningerne ikke kan identificeres længere end hvad der er nødvendigt til de formål, hvortil oplysningerne behandles.

Krav til opbevaringsbegrænsning var overtrådt

Ifølge Datatilsynet burde bøden til virksomheden fastsættes til 1.5 millioner kr. Datatilsynets udmåling af forslag til bøden skete, i medfør databeskyttelsesforordningens regler, på baggrund af koncernens samlede omsætning. Derudover mente Datatilsynet, at virksomheden med vilje havde undladt at slette oplysningerne.

Selvom oplysningerne senere blev slettet fandt Retten i Aarhus, at virksomheden havde opbevaret omkring 350.000 personoplysninger i strid med reglerne. Oplysningerne lå i et ældre og til dels udfaset kundedatasystem. Retten fastslog, at virksomheden burde have slettet personoplysningerne efter den 5-årige frist der følger af bogføringslovens regler.

Retten var dog ikke enig i, at virksomheden med vilje havde glemt at slette personoplysningerne. I stedet mente retten, at der var tale om en forglemmelse. Derudover mente retten, at kun virksomhedens egen – og ikke hele koncernens – omsætning skulle medtages ved fastsættelse af bøden samt, at der ved bødens størrelse skulle tages hensyn til, at der var tale om en førstegangsovertrædelse. Retten understregede også, at der desuden var tale om almindelige, og ikke følsomme, personoplysninger. Ingen havde lidt skade som følge af overtrædelsen, der altså alene kunne betragtes som af formel karakter. Systemet var desuden gammelt, og havde kun været tilgået lejlighedsvist af virksomheden.

Retten tog ved afgørelsen hensyn til, at virksomheden havde iværksat betydelige tiltag for at sikre, at de 57 systemer der blev brugt overholdt databeskyttelsesforordningens høje standarder.

IUNO mener

Byrettens afgørelse er særlig fordi det er den første mod en virksomhed omkring fastsættelse af bødeniveauet under de nye regler. Før databeskyttelsesforordningen trådte i kraft, lå bødeniveauet på omkring 2.000 til 25.000 kr.

IUNO mener, at virksomheder skal være meget opmærksomme på, at databeskyttelsesforordningen som bekendt har til formål, blandt andre ting, at introducere en væsentlig forøgelse af bødeniveauet. Det betyder også, at udgangspunktet for overtrædelser er bødestraf for at sikre sanktioner der er effektive og afskrækkende.

[Retten i Aarhus’ dom i sag SS 3662/2020 af den 12. februar 2021]

På baggrund af et tilsynsbesøg i efteråret 2018, kort efter den nye databeskyttelsesforordning trådte i kraft, udførte Datatilsynet et tilsynsbesøg hos møbelkæden. Datatilsynet anmeldte herefter virksomheden for overtrædelse af databeskyttelsesforordningen, for at have tilsidesat sine forpligtelser med hensyn til opbevaringsbegrænsning.

Det følger blandt andet af reglerne om opbevaringsbegrænsning, at personoplysninger skal opbevares på en måde, at oplysningerne ikke kan identificeres længere end hvad der er nødvendigt til de formål, hvortil oplysningerne behandles.

Krav til opbevaringsbegrænsning var overtrådt

Ifølge Datatilsynet burde bøden til virksomheden fastsættes til 1.5 millioner kr. Datatilsynets udmåling af forslag til bøden skete, i medfør databeskyttelsesforordningens regler, på baggrund af koncernens samlede omsætning. Derudover mente Datatilsynet, at virksomheden med vilje havde undladt at slette oplysningerne.

Selvom oplysningerne senere blev slettet fandt Retten i Aarhus, at virksomheden havde opbevaret omkring 350.000 personoplysninger i strid med reglerne. Oplysningerne lå i et ældre og til dels udfaset kundedatasystem. Retten fastslog, at virksomheden burde have slettet personoplysningerne efter den 5-årige frist der følger af bogføringslovens regler.

Retten var dog ikke enig i, at virksomheden med vilje havde glemt at slette personoplysningerne. I stedet mente retten, at der var tale om en forglemmelse. Derudover mente retten, at kun virksomhedens egen – og ikke hele koncernens – omsætning skulle medtages ved fastsættelse af bøden samt, at der ved bødens størrelse skulle tages hensyn til, at der var tale om en førstegangsovertrædelse. Retten understregede også, at der desuden var tale om almindelige, og ikke følsomme, personoplysninger. Ingen havde lidt skade som følge af overtrædelsen, der altså alene kunne betragtes som af formel karakter. Systemet var desuden gammelt, og havde kun været tilgået lejlighedsvist af virksomheden.

Retten tog ved afgørelsen hensyn til, at virksomheden havde iværksat betydelige tiltag for at sikre, at de 57 systemer der blev brugt overholdt databeskyttelsesforordningens høje standarder.

IUNO mener

Byrettens afgørelse er særlig fordi det er den første mod en virksomhed omkring fastsættelse af bødeniveauet under de nye regler. Før databeskyttelsesforordningen trådte i kraft, lå bødeniveauet på omkring 2.000 til 25.000 kr.

IUNO mener, at virksomheder skal være meget opmærksomme på, at databeskyttelsesforordningen som bekendt har til formål, blandt andre ting, at introducere en væsentlig forøgelse af bødeniveauet. Det betyder også, at udgangspunktet for overtrædelser er bødestraf for at sikre sanktioner der er effektive og afskrækkende.

[Retten i Aarhus’ dom i sag SS 3662/2020 af den 12. februar 2021]

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)

Lignende

logo
HR-jura Litigation Teknologi

11. marts 2024

Flere medarbejdere indberetter psykisk arbejdsmiljø til Datatilsynet

logo
Teknologi

16. februar 2024

Varehus fik millionbøde for kontrol med medarbejdere

logo
Teknologi

28. september 2023

Syv bud til når arbejdsmailen skal lukkes

logo
Teknologi

14. september 2023

Åbne personalefiler var databrud

logo
Teknologi

14. september 2023

Frist for at etablere whistleblowerordninger for mellemstore virksomheder nærmer sig

logo
Teknologi

31. august 2023

Ny vejledning fra Datatilsynet om direkte markedsføring

Holdet

Anders

Etgen Reitz

Partner

Kirsten

Astrup

Managing associate (orlov)