Foto: Colourbox

15.03.21 DI Byggeri Nyheder

Persondatabøde væsentligt nedsat

Retten i Aarhus har i januar 2021 afsagt den første danske dom om bøde for overtrædelse af databeskyttelsesreglerne (GDPR). Ved dommen tilsidesatte retten i væsentlig grad Datatilsynets bødeindstilling på 1,5 mio. kr. Læs mere om sagen og dommen her.

I en afgørelse offentliggjort i juni 2019 fandt Datatilsynet, at en virksomhed havde overtrådt databeskyttelsesreglerne (GDPR) ved – i strid med opbevaringsbegrænsningsprincippet – at have opbevaret ca. 350.000 kunders (almindelige) personoplysninger i et ældre it-system i en for lang periode.

Politianmeldelse og indstilling om bødestraf på 1,5 mio. kr.

Datatilsynet kan ikke selv udstede bøder til virksomheder, der – efter tilsynets opfattelse – ikke overholder GDPR. Det er i stedet politiet, der tager stilling til, om der skal rejses en sigtelse, og en eventuel bødestraf vil blive afgjort af domstolene.

På baggrund af sin afgørelse fra juni 2019 anmeldte Datatilsynet den pågældende virksomhed til politiet, og tilsynet indstillede i den forbindelse, at virksomheden fik en bødestraf på 1,5 mio. kr.

Retten i Aarhus idømte en bøde på 100.000 kr.

Ved dom af 12. januar 2021 fandt Retten i Aarhus, – ligesom Datatilsynet – at GDPR var blevet overtrådt, idet virksomheden havde opbevaret ca. 350.000 personoplysning­er i mere end de i bogføringsloven foreskrevne 5 år.

I forhold til fastsættelsen af bødestørrelsen anførte retten, at anklagemyndigheden og Datatilsynet ikke havde taget behørigt hensyn til de formildende omstændigheder, der følger af databeskyttelsesforordningens artikel 83, stk. 2.

Bøden blev herefter fastsat til 100.000 kr., idet retten ved sin fastsættelse blandt andet inddrog følgende formildende omstændigheder:

  • Der var alene tale om opbevaring af almindelige personoplysninger og ikke følsomme oplysninger eller oplysninger af særlig karakter

  • Virksomheden havde ikke fortilfælde for overtrædelse af GDPR

  • Oplysningerne befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvis

  • Ingen registrerede havde lidt skade

  • Overtrædelsen var af formel karakter

  • Virksomheden havde udfoldet ganske betydelige bestræbelser på at sikre overholdelse af GDPR

  • Virksomheden havde alene udvist uagtsomhed og ikke forsæt.

Anklagemyndigheden har den 23. februar 2021 oplyst, at dommen fra Retten i Aarhus er anket til Vestre Landsret.

Politisk

I Dansk Industri er vi blandt andet glade for, at Retten i Aarhus helt naturligt hæftede sig ved og lagde vægt på, at virksomheden havde gjort sig anstrengelser for at overholde GDPR.

Generelt har virksomhederne brugt meget tid og ofte også mange penge på efter bedste evne at overholde et kompliceret persondataregelsæt, og derfor bør eventuelle bøder også ses i sammenhæng med den store indsats, som virksomhederne har lagt.

Spørgsmål

Har du yderligere spørgsmål til dommen, eller behov for vejledning om GDPR, kan du altid kontakte os på JURpersondata@di.dk eller ved at ringe til tlf. 3377 3919.

Relateret indhold