Byretten i Aarhus idømmer virksomhed bøde på 100.000 kr. for overtrædelse af databeskyttelsesforordningen

Den 12. februar 2021 traf byretten i Aarhus afgørelse i den første større danske straffesag vedrørende virksomheders overtrædelse af databeskyttelsesforordningen. Datatilsynet og anklagemyndigheden havde indstillet virksomheden til en bøde på 1,5 mio. kr. for overtrædelsen. Byretten i Aarhus idømte alene virksomheden en bøde på 100.000 kr. som følge af en række formildende omstændigheder.

Sagen er opstået efter et tilsynsbesøg, hvor Datatilsynet vurderede, at virksomheden havde behandlet personoplysninger i strid med databeskyttelsesforordningen ved at opbevare dem for længe. Som følge heraf valgte tilsynet at politianmelde virksomheden.

Helt konkret vurderede Datatilsynet, at virksomheden havde behandlet oplysninger om ca. 350.000 kunder uden et gyldigt behandlingsformål. Oplysningerne var blevet opbevaret længere, end det var nødvendigt i et ældre og delvist udfaset kundedatasystem.

Ved Anklagemyndighedens og Datatilsynets udregning af bøden var hele koncernens omsætning lagt til grund, og de havde vurderet, at virksomheden havde handlet forsætligt.

Byretten i Aarhus fandt det dog kun bevist, at virksomheden havde handlet uagtsomt. Retten bemærkede, at den manglende sletning skyldtes en forglemmelse som følge af et for ensidigt fokus på virksomhedens nyere IT-systemer – noget byretten lagde vægt på ved bødeudmålingen.

Dertil lagde byretten vægt på følgende yderligere formidlende omstændigheder:

  • Det var første gang, virksomheden havde overtrådt databeskyttelsesforordningen.
  • Der var tale om almindelige personoplysninger og ikke følsomme personoplysninger.
  • Oplysningerne befandt sig i et ældre og til dels udfaset system, som kun blev tilgået lejlighedsvist.
  • Ingen af de registrerede havde lidt skade.
  • Overtrædelsen var alene af formel karakter.

Endeligt bemærkede byretten, at det skulle indgå med betydelig vægt, at virksomheden ”havde udfoldet ganske betydelige bestræbelser på at sikre, at mange af virksomhedens i alt 57 databasesystemer både IT-teknisk og juridisk havde været i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt.”

Det afventes endnu om dommen ankes.

Patrades bemærkninger

Bøden blev udmålt på baggrund af virksomhedens egen omsætning, og ikke koncernens samlede omsætning, som Anklagemyndigheden og Datatilsynet ellers havde indstillet til. Dette kan måske undre nogen, da mange tror, at bøden altid bliver udregnet på baggrund af koncernomsætningen. Men efter artikel 83, der er bødebestemmelsen, skal bøden beregnes på baggrund af virksomhedens omsætning. Det vil ikke altid være koncernen – snarere må udgangspunkt være det modsatte. ”Virksomheden” skal ifølge EU-retten forstås som den økonomiske enhed, der udøver en kommerciel/økonomisk aktivitet. I den pågældende sag var det altså rettens vurdering, at det kun var virksomheden selv, der udøvede den kommercielle/økonomiske aktivitet, der lå til grund for overtrædelsen, og ikke koncernen i øvrigt.

Byrettens nedjustering af bøden er i øvrigt i tråd med Datatilsynets bødevejledning af januar 2021.

En væsentlig pointe i dommen er også, at det er en formildende omstændighed, hvis man konkret kan vise, at man arbejder aktivt med GDPR-compliance. Dommen bør derfor være en anledning for alle til at enten iværksætte eller fortsætte det aktive compliance-arbejde.

Har du spørgsmål til GDPR, eller ønsker du at få sat skub i din GDPR-compliance, så kontakt Mikkel Kleis eller Mathias Bartholdy to af vores advokater,  der begge er specialister i GDPR.

OPDATERING: Afgørelsen er nu blevet anket.

Skriv et svar