Retten i Aarhus har den 12. februar 2021 idømt et selskab en bøde på 100.000 kr. for overtrædelse af databeskyttelsesforordningen. Bøden blev tildelt, idet selskabet i strid med databeskyttelsesforordningens art. 5, stk. 1, litra e, havde opbevaret ca. 350.000 personoplysninger i længere tid, end det var nødvendigt og i et ældre og til dels udfaset kundedatasystem. Det er første gang, at der tildeles en bøde for overtrædelse af databeskyttelsesforordningen i Danmark.
Der er i databeskyttelsesforordningens artikel 5 bestemmelser om de almindelige principper for behandling af personoplysninger, som skal overholdes ved enhver behandling af personoplysninger. Ét af disse ”almindelige principper” er i henhold til artikel 5, stk. 1, litra e, at personoplysninger skal ”opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (…)”. Med andre ord, skal personoplysninger kun opbevares, så længe det er nødvendigt.
Der følger af bogføringslovens § 10, at den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Derfor vil der som udgangspunkt være en gyldig grund til at opbevare oplysninger til brug for regnskabsmateriale i 5 år fra udgangen af det regnskabsår materialet vedrører, men ikke i længere tid, medmindre den dataansvarlige har en anden gyldig grund til at opbevare oplysningerne. I den konkrete sag var personoplysningerne på de 350.000 personer blevet slettet af selskabet selv i januar 2019, hvilket imidlertid var mere end 5 år fra udgangen af det regnskabsår materialet vedrørte.
Datatilsynet indstillede i juni 2019 til anklagemyndigheden, at det pågældende selskab skulle idømmes en bøde på 1,5 mio. kr. for overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e, ved at have opbevaret ca. 350.000 personoplysninger længere, end det var nødvendigt i et ældre og til dels udfaset kundedatasystem. Anklagemyndigheden tilsluttede sig Datatilsynets indstilling. Ved skønnet over bødens størrelse havde anklagemyndigheden og Datatilsynet lagt hele koncernens omsætning til grund, ligesom det var lagt til grund, at selskabet forsætligt havde undladt at slette oplysningerne.
Rettens afgørelse
Retten fandt, at de pågældende personoplysninger burde have været slettet efter bogføringslovens 5 års frist, og der derfor forelå derfor en overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e.
Retten lagde imidlertid til grund, at den manglende sletning af personoplysninger beroede på en forglemmelse som følge af en for ensidig fokusering på selskabets aktive IT-systemer, og at overtrædelsen var begået uagtsomt. Herudover var det rettens opfattelse, at det skulle indgå med betydelig vægt i vurderingen af overtrædelsen, at det var godtgjort, at selskabet havde gjort meget for at sikre, at mange af virksomhedens i alt 57 datasystemer både IT-teknisk og juridisk var i overensstemmelse med databeskyttelsesforordningen. Retten fandt herudover, at der var en række andre formildende omstændigheder, navnlig (i) at der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen, (ii) at de omhandlede oplysninger var af en almindelig og ikke personfølsom karakter, (iii) at personoplysningerne befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist, (iv) at ingen registrerede havde lidt nogen skade, og (v) at overtrædelsen alene var af formel karakter.
Retten fandt endvidere, at det kun var selskabets egen omsætning, der skulle lægges til grund for bødens beregning, og ikke hele koncernens omsætning, som anklagemyndigheden havde påstået.
I henhold til praksis fra før databeskyttelsesforordningens ikrafttræden, var bødeniveauet for overtrædelse af den tidligere gældende persondatalov – afhængigt af overtrædelsens karakter – på mellem 2.000 og 25.000 kr. Da der i forarbejderne til databeskyttelsesloven er lagt op til en ”væsentlig forøgelse” af bødeniveauet for overtrædelser, fastsatte retten efter en samlet vurdering bøden til 100.000 kr.
Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)
