Første GDPR-dom
GDPR (persondatabeskyttelsesreglerne) har i de seneste år været på de flestes læber, og det skyldes de skærpede regler og krav.
Retten i Århus har den 12. februar 2021, afsagt den første danske dom om overtrædelse af GDPR.
Ilva A/S blev idømt en bøde på kr. 100.000 for overtrædelse af GDPR. Selskabet havde opbevaret omkring 350.000 personoplysninger i længere tid end nødvendigt i et af deres ældre arkivsystemer.
På trods af Datatilsynets indstilling til anklagemyndigheden, som anklagemyndigheden sidenhen tilsluttede sig, om en bøde på kr. 1.500.000, idømte byretten således Ilva A/S en væsentligt lavere bøde, pålydende kr. 100.000.
Baggrunden for rettens ’milde’ bøde var, at overtrædelsen af personreglerne alene var begået uagtsomt, og at der var tale om en forglemmelse. Ilva havde således de rigtige politikker og procedurer implementeret.
Anklagemyndigheden og Datatilsynet blev tilmed kritiseret for ikke at have taget hensyn til disse formildende omstændigheder. Det følger nemlig af bødevejledningen udarbejdet af Datatilsynet, at det skal vurderes, om der foreligger skærpende eller formildende omstændigheder i det konkrete tilfælde.
Retten fandt således, at der var tale om en førstegangsovertrædelse, at de opbevarede oplysninger ikke var af personfølsom karakter, at personoplysningerne var i et ældre arkivsystem, og at ingen af de registrerede personer havde lidt skade som følge af opbevaringen.
Anklagemyndigheden og Datatilsynets bødeberegning på kr. 1.500.000 var begrundet i, at de mente, at bøden skulle fastsættes ud fra Jysk-koncernens omsætning, da Ilva er en del af denne koncern.
Retten fandt dog, at bøden skulle fastsættes på baggrund af Ilva A/S’ egen omsætning.
Det er bl.a. også derfor, at differencen på den idømte bøde og det af anklagemyndigheden krævede, var så stort. Da omsætningen i Ilva A/S er væsentligt lavere end Jysk-koncernen, endte Ilva A/S således med en væsentligt lavere bøde.
Udstedelse af bøder som følge af GDPR-overtrædelser
Datatilsynet har endnu ikke kompetence til at træffe afgørelse i sager omhandlende overtrædelse af GDPR-lovgivning med administrative bødeforlæg.
Kompetencen vil først blive en realitet, når sanktionsniveauet for overtrædelse af GDPR-bestemmelser er blevet afklaret i praksis.
Det var netop derfor, at anklagemyndigheden, på vegne af Datatilsynet, bragte sagen til domstolene i den første GDPR-sag af sin art mod en virksomhed.
Det vil således være anklagemyndigheden, som vil indbringe GDPR-sager for retten, efter indstilling fra Datatilsynet, indtil sanktionsniveauet for overtrædelserne er afklaret.
GDPR indeholder mange regler og krav, og derfor kan det være vanskeligt for din virksomhed at gennemskue reglerne og kravene på området.
Hos PARTNER Advokater er vi derfor altid klar til at hjælpe dig, hvis du ønsker juridisk bistand eller har spørgsmål til GDPR.