JURA: Opsigtsvækkende dom om GDPR-sløseri
DATA Jeg adresserer i denne klumme en bemærkelsesværdig dom, der blev afsagt af byretten i Aarhus i februar. Bemærkelsesværdig, fordi byrettens bødeniveau for brud på GDPR-reglerne er meget langt fra Datatilsynets indstilling til bødeniveau for forseelsen.
Her gennemgår jeg kort baggrunden for sagens udfald.
Et gammel it-system
Sagen startede tilbage i efteråret 2018, hvor IDdesign A/S, nu Ilva A/S, som er en møbelkæde, efter et tilsynsbesøg fra Datatilsynet, blev politianmeldt for brud på GDPR-reglerne ved ikke at have slettet kundeoplysninger inden for de slettefrister, som virksomheden selv havde fastsat.
Ilva havde på forhånd oplyst, at der i tre tidligere IDEmøbler-butikker (inden for samme koncern) fortsat blev brugt et ældre IT-system, som ellers var blevet udskiftet i de øvrige af møbelkædens butikker.
I dette gamle IT-system blev der behandlet personoplysninger om cirka 350.000 kunders kontaktoplysninger og købshistorik - uden at der var noget grundlag for fortsat at opbevare personoplysningerne.
Indstillet til bøde på 1,5 mio. kr.
Datatilsynet politianmeldte herefter virksomheden, og sagen blev rejst af anklagemyndigheden ved domstolene.
Anklagemyndigheden krævede - i overensstemmelse med indstillingen fra Datatilsynet - en bøde på 1,5 millioner kroner.
I beregningen af bødestørrelsen havde Datatilsynet og Anklagemyndigheden lagt hele koncernens omsætning til grund, som det også følger af GDPR.
Byretten lagde imidlertid kun Ilva A/S’ egen omsætning til grund ved fastsættelsen af bødestørrelsen.
Derfor var byretten uenig
Byretten var uenig i Datatilsynets udlægning og bødestørrelse. Retten var dog enig i, at der var sket en overtrædelse af GDPR-reglerne.
Retten har lagt vægt på en række forhold, som begrunder fastsættelsen af bødeniveauet, herunder at virksomheden ikke havde haft til hensigt at bryde reglerne om GDPR, samt at der forelå formildende omstændigheder i sagen.
Retten idømte Ilva en bøde på 100.000 kr. Altså et væsentlig lavere niveau end det, Datatilsynet lagde ud med.
Byretten lagde blandt andet lagt vægt på, at:
• Der alene var tale om almindelige personoplysninger og ikke følsomme personoplysninger.
• Der var tale om manglende sletning af personoplysninger i et gammelt IT-system, der ikke blev anvendt i driften længere.
• Bødebestemmelserne i lovgivningen om GDPR giver mulighed for at lempe bøden, hvis der foreligger formildende omstændigheder.
Det er den første sag mod en virksomhed i Danmark for overtrædelse af GDPR, der er blevet prøvet ved domstolene.
Anklagemyndigheden har nu valgt at anke sagen for at få prøvet sagen i Landsretten.
Kommer ulven i autobranchen?
Når man ser på udfaldet i denne sag, kan man godt fristes til at tænke på historien om Peter og ulven. Peter, der hele tiden råber: "Ulven kommer, ulven kommer", men som aldrig rigtig kommer.
Virksomheder, også i autobranchen, har, siden implementeringen af GDPR-reglerne i maj 2018, frygtet de store bøder, man kunne blive mødt med for overtrædelse af GDPR.
Vi har råbt: "Datatilsynet kommer, pas på!". Nu er Datatilsynet så kommet, og praksis er (indtil videre) endt ud med en minimal bøde i forhold til de niveauer, Datatilsynet længe har skræmt os med i tilsynets indstillinger til bødepåstande og dens egen for nyligt udgivne bødevejledning.
Hold jer til reglerne
Nu må vi se, hvordan sagen går i Landsretten. Men hvis niveauet fra byretten fastholdes, kunne det godt tænkes, at flere virksomheder begynder at spekulere i, om det rent økonomisk kan betale sig at bruge ressourcer på at blive compliant med GDPR-reglerne, hvis sanktionen er så lav.
Det er vigtigt for mig at understrege, at GDPR-reglerne skal overholdes uanset eventuelle sanktioner og bøder.
Husk på det store omdømmetab, en lignende sag kan medføre, hvis man overtræder reglerne om GDPR og i værste fald behandler personoplysninger på kunder uforsvarligt.
Bliver man fældet, er det næppe jeres bilhus eller værksted, kunderne vælger igen.
