Tilbage
Artikel

Første GDPR-bøde i Danmark

Retten i Aarhus har den 12. februar 2021 idømt et selskab en bøde på 100.000 kr. for overtrædelse af databeskyttelsesforordningen. Bøden blev tildelt, idet selskabet i strid med databeskyttelsesforordningens art. 5, stk. 1, litra e, havde opbevaret ca. 350.000 personoplysninger i længere tid, end det var nødvendigt og i et ældre og til dels udfaset kundedatasystem. Det er første gang, at der tildeles en bøde for overtrædelse af databeskyttelsesforordningen i Danmark.

Der er i databeskyttelsesforordningens artikel 5 bestemmelser om de almindelige principper for behandling af personoplysninger, som skal overholdes ved enhver behandling af personoplysninger. Ét af disse ”almindelige principper” er i henhold til artikel 5, stk. 1, litra e, at personoplysninger skal ”opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (…)”. Med andre ord, skal personoplysninger kun opbevares, så længe det er nødvendigt.

Der følger af bogføringslovens § 10, at den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Derfor vil der som udgangspunkt være en gyldig grund til at opbevare oplysninger til brug for regnskabsmateriale i 5 år fra udgangen af det regnskabsår materialet vedrører, men ikke i længere tid, medmindre den dataansvarlige har en anden gyldig grund til at opbevare oplysningerne. I den konkrete sag var personoplysningerne på de 350.000 personer blevet slettet af selskabet selv i januar 2019, hvilket imidlertid var mere end 5 år fra udgangen af det regnskabsår materialet vedrørte.

Datatilsynet indstillede i juni 2019 til anklagemyndigheden, at det pågældende selskab skulle idømmes en bøde på 1,5 mio. kr. for overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e, ved at have opbevaret ca. 350.000 personoplysninger længere, end det var nødvendigt i et ældre og til dels udfaset kundedatasystem. Anklagemyndigheden tilsluttede sig Datatilsynets indstilling. Ved skønnet over bødens størrelse havde anklagemyndigheden og Datatilsynet lagt hele koncernens omsætning til grund, ligesom det var lagt til grund, at selskabet forsætligt havde undladt at slette oplysningerne.

Rettens afgørelse

Retten fandt, at de pågældende personoplysninger burde have været slettet efter bogføringslovens 5 års frist, og der derfor forelå derfor en overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e.

Retten lagde imidlertid til grund, at den manglende sletning af personoplysninger beroede på en forglemmelse som følge af en for ensidig fokusering på selskabets aktive IT-systemer, og at overtrædelsen var begået uagtsomt. Herudover var det rettens opfattelse, at det skulle indgå med betydelig vægt i vurderingen af overtrædelsen, at det var godtgjort, at selskabet havde gjort meget for at sikre, at mange af virksomhedens i alt 57 datasystemer både IT-teknisk og juridisk var i overensstemmelse med databeskyttelsesforordningen. Retten fandt herudover, at der var en række andre formildende omstændigheder, navnlig (i) at der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen, (ii) at de omhandlede oplysninger var af en almindelig og ikke personfølsom karakter, (iii) at personoplysningerne befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist, (iv) at ingen registrerede havde lidt nogen skade, og (v) at overtrædelsen alene var af formel karakter.

Retten fandt endvidere, at det kun var selskabets egen omsætning, der skulle lægges til grund for bødens beregning, og ikke hele koncernens omsætning, som anklagemyndigheden havde påstået.

I henhold til praksis fra før databeskyttelsesforordningens ikrafttræden, var bødeniveauet for overtrædelse af den tidligere gældende persondatalov – afhængigt af overtrædelsens karakter – på mellem 2.000 og 25.000 kr. Da der i forarbejderne til databeskyttelsesloven er lagt op til en ”væsentlig forøgelse” af bødeniveauet for overtrædelser, fastsatte retten efter en samlet vurdering bøden til 100.000 kr.

Andre nyheder

Psykiske arbejdsskader: Fokus på det psykiske arbejdsmiljø

Arbejdsgiverens ansvar for at sikre at arbejdsforholdene er sikkerheds- og sundhedsmæssigt forsvarlige omfatter ikke alene de fysiske arbejdsforhold. De psykiske arbejdsforhold er i lige så høj grad omfattet, og psykiske belastninger, som har rod i forhold på arbejdspladsen – herunder chikane, mobning eller manglende ledelsesmæssig støtte – kan udløse betaling af både en godtgørelse og […]
Læs mere

Arbejdsskade ved hjemmearbejde – Højesteret fastslår arbejdsgiverens objektive ansvar

Højesteret har den 2. maj 2025 truffet en principiel afgørelse, som præciserer rækkevidden af arbejdsskadesikringslovens § 5 i relation til hjemmearbejde.  Den konkrete sag  En arbejdsgiver havde givet instruks til en medarbejder om at arbejde hjemmefra under COVID-19. Arbejdsgiveren havde imidlertid ikke givet instruktioner om, hvordan hjemmearbejdspladsen skulle indrettes.  Under hjemmearbejdet gik medarbejderen på et […]
Læs mere

Ny Højesteretsdom: Opsigelse i forbindelse med fertilitetsbehandling

Højesteret: Opsigelse som følge af planlagt fertilitetsbehandling udgjorde forskelsbehandling i strid med ligebehandlingslovens § 4 Højesteret har den 15. april 2025 afsagt dom i en sag om opsigelse af en kvindelig medarbejder, som stod for at skulle påbegynde fertilitetsbehandling. Medarbejderen oplyste kort inden sin ferie til sin nærmeste leder og til sit team, at hun […]
Læs mere

Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)