Sagen er opstået efter et tilsynsbesøg, hvor Datatilsynet vurderede, at virksomheden havde behandlet personoplysninger i strid med databeskyttelsesforordningen ved at opbevare dem for længe. Som følge heraf valgte tilsynet at politianmelde virksomheden.
Helt konkret vurderede Datatilsynet, at virksomheden havde behandlet oplysninger om ca. 350.000 kunder uden et gyldigt behandlingsformål. Oplysningerne var blevet opbevaret længere, end det var nødvendigt i et ældre og delvist udfaset kundedatasystem.
Ved Anklagemyndighedens og Datatilsynets udregning af bøden var hele koncernens omsætning lagt til grund, og de havde vurderet, at virksomheden havde handlet forsætligt.
Byretten i Aarhus fandt det dog kun bevist, at virksomheden havde handlet uagtsomt. Retten bemærkede, at den manglende sletning skyldtes en forglemmelse som følge af et for ensidigt fokus på virksomhedens nyere IT-systemer – noget byretten lagde vægt på ved bødeudmålingen.
Dertil lagde byretten vægt på følgende yderligere formidlende omstændigheder:
- Det var første gang, virksomheden havde overtrådt databeskyttelsesforordningen.
- Der var tale om almindelige personoplysninger og ikke følsomme personoplysninger.
- Oplysningerne befandt sig i et ældre og til dels udfaset system, som kun blev tilgået lejlighedsvist.
- Ingen af de registrerede havde lidt skade.
- Overtrædelsen var alene af formel karakter.
Endeligt bemærkede byretten, at det skulle indgå med betydelig vægt, at virksomheden ”havde udfoldet ganske betydelige bestræbelser på at sikre, at mange af virksomhedens i alt 57 databasesystemer både IT-teknisk og juridisk havde været i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt.”
Det afventes endnu om dommen ankes.
Vores bemærkninger
Bøden blev udmålt på baggrund af virksomhedens egen omsætning, og ikke koncernens samlede omsætning, som Anklagemyndigheden og Datatilsynet ellers havde indstillet til. Dette kan måske undre nogen, da mange tror, at bøden altid bliver udregnet på baggrund af koncernomsætningen. Men efter artikel 83, der er bødebestemmelsen, skal bøden beregnes på baggrund af virksomhedens omsætning. Det vil ikke altid være koncernen – snarere må udgangspunkt være det modsatte. ”Virksomheden” skal ifølge EU-retten forstås som den økonomiske enhed, der udøver en kommerciel/økonomisk aktivitet. I den pågældende sag var det altså rettens vurdering, at det kun var virksomheden selv, der udøvede den kommercielle/økonomiske aktivitet, der lå til grund for overtrædelsen, og ikke koncernen i øvrigt.
Byrettens nedjustering af bøden er i øvrigt i tråd med Datatilsynets bødevejledning af januar 2021.
En væsentlig pointe i dommen er også, at det er en formildende omstændighed, hvis man konkret kan vise, at man arbejder aktivt med GDPR-compliance. Dommen bør derfor være en anledning for alle til at enten iværksætte eller fortsætte det aktive compliance-arbejde.
Har du spørgsmål til GDPR, eller ønsker du at få sat skub i din GDPR-compliance, så kontakt os gerne.
OPDATERING: Afgørelsen er nu blevet anket.