Artikel

Første GDPR-bøde i Danmark

Retten i Aarhus har den 12. februar 2021 idømt et selskab en bøde på 100.000 kr. for overtrædelse af databeskyttelsesforordningen. Bøden blev tildelt, idet selskabet i strid med databeskyttelsesforordningens art. 5, stk. 1, litra e, havde opbevaret ca. 350.000 personoplysninger i længere tid, end det var nødvendigt og i et ældre og til dels udfaset kundedatasystem. Det er første gang, at der tildeles en bøde for overtrædelse af databeskyttelsesforordningen i Danmark.

Der er i databeskyttelsesforordningens artikel 5 bestemmelser om de almindelige principper for behandling af personoplysninger, som skal overholdes ved enhver behandling af personoplysninger. Ét af disse ”almindelige principper” er i henhold til artikel 5, stk. 1, litra e, at personoplysninger skal ”opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles (…)”. Med andre ord, skal personoplysninger kun opbevares, så længe det er nødvendigt.

Der følger af bogføringslovens § 10, at den bogføringspligtige skal opbevare regnskabsmaterialet på betryggende vis i 5 år fra udgangen af det regnskabsår, materialet vedrører. Derfor vil der som udgangspunkt være en gyldig grund til at opbevare oplysninger til brug for regnskabsmateriale i 5 år fra udgangen af det regnskabsår materialet vedrører, men ikke i længere tid, medmindre den dataansvarlige har en anden gyldig grund til at opbevare oplysningerne. I den konkrete sag var personoplysningerne på de 350.000 personer blevet slettet af selskabet selv i januar 2019, hvilket imidlertid var mere end 5 år fra udgangen af det regnskabsår materialet vedrørte.

Datatilsynet indstillede i juni 2019 til anklagemyndigheden, at det pågældende selskab skulle idømmes en bøde på 1,5 mio. kr. for overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e, ved at have opbevaret ca. 350.000 personoplysninger længere, end det var nødvendigt i et ældre og til dels udfaset kundedatasystem. Anklagemyndigheden tilsluttede sig Datatilsynets indstilling. Ved skønnet over bødens størrelse havde anklagemyndigheden og Datatilsynet lagt hele koncernens omsætning til grund, ligesom det var lagt til grund, at selskabet forsætligt havde undladt at slette oplysningerne.

Rettens afgørelse

Retten fandt, at de pågældende personoplysninger burde have været slettet efter bogføringslovens 5 års frist, og der derfor forelå derfor en overtrædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e.

Retten lagde imidlertid til grund, at den manglende sletning af personoplysninger beroede på en forglemmelse som følge af en for ensidig fokusering på selskabets aktive IT-systemer, og at overtrædelsen var begået uagtsomt. Herudover var det rettens opfattelse, at det skulle indgå med betydelig vægt i vurderingen af overtrædelsen, at det var godtgjort, at selskabet havde gjort meget for at sikre, at mange af virksomhedens i alt 57 datasystemer både IT-teknisk og juridisk var i overensstemmelse med databeskyttelsesforordningen. Retten fandt herudover, at der var en række andre formildende omstændigheder, navnlig (i) at der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen, (ii) at de omhandlede oplysninger var af en almindelig og ikke personfølsom karakter, (iii) at personoplysningerne befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist, (iv) at ingen registrerede havde lidt nogen skade, og (v) at overtrædelsen alene var af formel karakter.

Retten fandt endvidere, at det kun var selskabets egen omsætning, der skulle lægges til grund for bødens beregning, og ikke hele koncernens omsætning, som anklagemyndigheden havde påstået.

I henhold til praksis fra før databeskyttelsesforordningens ikrafttræden, var bødeniveauet for overtrædelse af den tidligere gældende persondatalov – afhængigt af overtrædelsens karakter – på mellem 2.000 og 25.000 kr. Da der i forarbejderne til databeskyttelsesloven er lagt op til en ”væsentlig forøgelse” af bødeniveauet for overtrædelser, fastsatte retten efter en samlet vurdering bøden til 100.000 kr.

Andre nyheder

Webinar om arbejdstidsregistrering – 26. februar 2024 kl. 10:00 – 10:45

På webinaret kommer vi ind på hvordan ændringerne i arbejdstidsloven påvirker arbejdsgiverne i praksis og giver råd til den konkrete håndtering af loven.
Læs mere

Godtgørelse til gravid medarbejder for forringelse af vilkår

Højesteret har den 18. januar 2024 afsagt dom i en sag om en gravid medarbejder, hvis ansættelsesvilkår blev forringet umiddelbart efter, at medarbejderen havde givet meddelelse om sin graviditet.
Læs mere

Beskyttelse af arbejdsmiljørepræsentanter

Formålet med arbejdsmiljøloven er at skabe et sikkert og sundt fysisk og psykisk arbejdsmiljø, der til enhver tid er i overensstemmelse med den tekniske og sociale udvikling i samfundet og sikre et grundlag for, at virksomhederne som udgangspunkt selv kan løse sikkerheds- og sundhedsspørgsmål.
Læs mere

Succes

Tak fordi du abonnerer på vores nyhedsbrev

Nyhedsbrev

Tilmeld dig nyhedsbrevet og få nyheder, invitationer til arrangementer med videre. Vi sender nyhedsbrev ud, når der er aktuelle nyheder, arrangementer og kurser.

Tilmeld dig nyhedsbrevet

Vi sender nyhedsbrev ud, når der er aktuelle nyheder, arrangementer og kurser.

Tak til følgende bidragsydere til hjemmeside: Steen Evald (fotografi), Stine Heilmann(fotografi), Count Pictures (video), Kunde & Co. A/S (design), WeCode A/S (kodning)