Ny dom

Første dom af sin art i Danmark

Møbelkæden ILVA blev i sommeren 2019 anmeldt af Datatilsynet for ulovligt at have opbevaret 350.000 personoplysninger for længe i et ældre IT-system, der kun blev anvendt i nogle enkelte butikker. ILVA havde ikke taget stilling til, hvornår oplysningerne i de gamle systemer skulle slettes. Retten var enig med Datatilsynet i, at møbelkæden havde opbevaret de ca. 350.000 personoplysninger for længe, men man fandt ikke grundlag for at idømme kæden den store bøde på 1.5 millioner kroner, som tilsynet havde krævet.

Retten lagde blandt andet til grund, at det skyldtes en forglemmelse, at kæden havde opbevaret de mange oplysninger, og at det ikke havde været med vilje. Da der stadig var tale om ulovlig opbevaring af personoplysninger, eftersom oplysningerne burde være slettet, blev kæden dømt til at betale en bøde på 100.000 kr.

Dommen, der er den første af sin art i Danmark, viser, at selvom der i forarbejderne til den nye GDPR-lov er lagt op til en væsentlig forøgelse af bødeniveauet i forhold til de gamle regler, fandt Retten altså alligevel ikke grund til at idømme ”den helt store bøde”.

Det er vigtigt at være opmærksom på, at der er flere formildende omstændigheder i sagen, der synes at være årsag til, at bøden blev væsentlig mindre end Datatilsynets indstilling. Det har derfor bl.a. været af betydning at der var tale om en førstegangsovertrædelse, og at det kun var i de gamle IT-systemer, hvor man havde overset sletningerne. I virksomhedens øvrige 57 systemer var der således styr på overholdelse af slettefristerne. Endelig var det kun almindelige og ikke følsomme personoplysninger, der var opbevaret i de gamle systemer.

Efter gammel praksis lå bødestørrelsen på mellem 2.000 og 25.000 kroner, alt afhængig af sagens karakter. Derfor må bøden på 100.000 kroner stadig anses som en høj pris at betale for at opbevare personoplysninger for længe. Datatilsynet havde beregnet bøden på 1.5 millioner kroner ud fra hele koncernens omsætning, mens Retten altså ”nøjedes” med at lægge den tiltaltes egen omsætning til grund.

Dommen, som kan læses i sin helhed her, viser (blandt andet) to ting, der er værd at være opmærksom på, også i rejsebureauer:

  • Det er ikke nødvendigvis hele koncernens omsætning, man kommer til at betale en evt. bøde ud fra, og det er alt andet lige positivt
  • Men omvendt må dette ikke blive en sovepude, for dommen viser også, at virksomhederne rent faktisk bliver dømt, hvis de opbevarer personoplysninger for længe.

Det er endnu ikke afgjort, om dommen bliver anket.

Anklagemyndighederne overvejer for nuværende at anke dommen til Vestre Landsret med påstand om, at Ilva bevidst har brudt reglerne, og at bøden skal udmåles i forhold til en koncernomsætning på 6,7 mia. kr. frem for at tage afsæt i den dataansvarlige forretnings størrelse.

DRF opfordrer til, at man får gået sin slettepolitik igennem – og i øvrigt får slettet de oplysninger, man ikke har hjemmel til at opbevare. Kontakt os gerne, hvis du har spørgsmål til, hvad du må opbevare og hvor længe.