Selskab idømt en bøde på 100.000 kr.

Sagen kort fortalt

Datatilsynet anmeldte i juni 2019 selskabet IDdesign A/S (nu Ilva A/S) for overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e, ved at have opbevaret ca. 350.000 personoplysninger længere, end det var nødvendigt i et ældre og til dels udfaset kundedatasystem. Datatilsynet indstillede til anklagemyndigheden, at sagen skulle afgøres med en bøde på 1,5 mio. kr., hvilket anklagemyndigheden siden tilsluttede sig.

Personoplysningerne var i januar 2019 blevet slettet af tiltalte selv, og det var under sagen omtvistet, hvor mange personoplysninger det reelt havde drejet sig om, og om databeskyttelsesforordningen havde været overtrådt.

Det var endvidere omtvistet, om der var grundlag for at idømme en bøde – eller efter omstændighederne kun en advarsel – og hvor stor bøden i givet fald skulle være.

Anklagemyndigheden og Datatilsynet havde i skønnet over bødens størrelse lagt hele koncernens omsætning til grund og havde desuden vurderet, at tiltalte forsætligt havde undladt at slette oplysningerne.

Dommens resultat

Retten fandt det bevist, at der havde været tale om ca. 350.000 personoplysning­er, og at de burde have været slettet efter bogføringslovens 5 års frist. Der forelå derfor en overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e. Men retten fandt alene bevis for, at overtrædelsen var begået uagtsomt. Retten lagde herved til grund, at tiltalte ved en forglemmelse ikke havde fået slettet oplysningerne som følge af en for ensidig fokusering på selskabets aktive IT-systemer.

Retten fandt endvidere, at det kun var tiltaltes egen omsætning, der skulle lægges til grund for bødens beregning, ligesom der skulle tages hensyn til, at overtrædelsen var begået uagtsomt. Retten anførte hertil, at anklagemyndigheden og Datatilsynet ikke i formildende retning havde taget behørigt hensyn til de formildende omstændigheder, der følger af databeskyttelsesforordningens art. 83, stk. 2, herunder at der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen, at de omhandlede oplysninger var af en almindelig og ikke personfølsom karakter, at de befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist, at ingen registrerede havde lidt nogen skade, og at overtrædelsen – også efter Datatilsynets egen opfattelse – alene var af formel karakter.

Herudover anførte retten, at det skulle indgå med betydelig vægt i vurderingen, at det var godtgjort, at tiltalte havde udfoldet ganske betydelige bestræbelser på at sikre, at mange af virksomhedens i alt 57 datasystemer både IT-teknisk og juridisk havde været i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt.

Retten overvejede på den baggrund, hvorvidt overtrædelsen oversteg tærsklen mellem udtalelse af kritik – der i retligt regi ville have karakter af en advarsel efter retsplejelovens § 900 – eller om det efter omstændighederne var påkrævet at idømme tiltalte en bøde. I lyset af databeskyttelsesforordningens overordnede strafudmålingsprincip om, at det skal sikres, at overtrædelser af forordningen imødegås med sanktioner, der er effektive, proportionale, og som har en afskrækkende virkning, fandt retten imidlertid – navnlig under hensyntagen til den betydelige datamængde, som tiltalte ikke havde fået anonymiseret eller slettet – at tiltalte skulle idømmes en bøde.

Da der i forarbejderne til databeskyttelsesloven er lagt op til en ”væsentlig forøgelse” af bødeniveauet for overtrædelser af databeskyttelsesforordningens bestemmelser sammenlignet med hidtidig praksis, der i forarbejderne er angivet til et niveau på mellem 2.000 og 25.000 kr., afhængigt af overtrædelsens karakter, fastsatte retten efter en samlet vurdering bøden til 100.000 kr.

Afgørelsesdato

Dommen blev afsagt den 12. februar 2021 (rettens j.nr. SS 3662/2020).