Første GDPR-bøde i Danmark

Manglende sletning af persondata har udløst den første bøde til en virksomhed i Danmark for ikke at overholde GDPR. Bøden lyder på 100.000 kr., men anklageren har anket, og bøden vil derfor kunne ende med at blive større.

Virksomheden IDesign (nu Ilva), der er en del af koncernen Lars Larsen Group, fik besøg af Datatilsynet, som kunne konstatere, at de gennem flere år ulovligt havde opbevaret oplysninger om 350.000 kunders navne, adresser, telefonnumre, e-mails og købshistorik i et forældet kundekartotek. Det endte med en politianmeldelse og altså i februar 2021 med en dom i byretten: bøde 100.000 kr.

Er du parat, hvis Datatilsynet kommer?

Bliv klar på webinar

Anket til landsretten

Statsanklageren har anket sagen til Landsretten. Dette skal højst sandsynligt ses i perspektivet af, at den oprindelige indstilling fra Datatilsynet var en bøde på 1,5 millioner kr., som svarer til bødeniveauet for lignende forseelser i resten af Europa og til de retningslinjer, som myndighederne i øvrigt har udarbejdet.

Formildende omstændigheder sænkede bødestraffen

Retten lagde i strafudmålingen vægt på, at den manglende sletning af data - og altså overtrædelsen af GDPR - var sket "uagtsomt". Dette har været en formildende omstændighed. Og altså en del af forklaringen på den forholdsvis lave bøde. Fordi Ilva faktisk havde bestræbt sig på at få styr på deres persondata, men ikke var kommet helt i mål, var hensigterne gode nok, og overtrædelsen derfor "uagtsom".

Tag på webinar og bliv klar

Få styr på GDPR's krav til sletning    Tjek alle GDPR-webinarer

Øvrigt grundlag for bødestørrelsen

En anden overraskelse i byrettens dom i forhold til bødens størrelse, er grundlaget den er fastsat på. Af myndighedernes retningslinjer fremgår det, at bødestørrelser blandt andet skal fastsættes ud fra virksomhedens globale omsætning (maks. 4 procent heraf). I Ilva-sagen bestemte byretten imidlertid, at bøden skulle beregnes ud fra datterselskabets omsætning alene, og altså ikke Lars Larsen Groups globale omsætning.

Den kommende ankesag er vigtig

I forhold til bødestørrelsen er den kommende ankesag i landsretten vigtig. Da Ilva-sagen er den første af sin art mod en virksomhed i Danmark, har den principiel karakter og vil sætte standarden for fremtidige overtrædelser af GDPR-reglerne. Derfor vil mange virksomheder vente i spænding på, hvad landsretten når frem til, og om bøden vil blive større.

Moralen: vær opmærksom på persondata

Den umiddelbare morale i sagen er naturligvis, at det er vigtigt at have styr på sine sletteregler, og de politikker der knytter sig til behandling af persondata i virksomheden. 

Selv om bøden - foreløbigt i hvert fald - er overraskende lav, har de færreste lyst til at have udestående med Datatilsynet. Dertil kommer, at der også er en helt reel risiko for, at bøden bliver væsentligt højere, når landsretten har talt. 

Det er også værd at bide mærke i, at Ilva blev dømt til trods for, at de havde forsøgt at leve op til GDPR-reglerne.

 

Kom hele vejen rundt
om GDPR

Se alle GDPR-webinarer

Find lige det webinar du mangler

GDPR must knows

Grundlæggende GDPR-principper

Sådan håndterer du medarbejderdata

Rekruttering og fratrædelse

Din oplysningspligt

Få orden på behandlingssikkerheden

Også vigtigt

Bliv klar til Datatilsynet

Dit databehandleransvar

Hold GDPR vedlige

Kom godt i gang med GDPR

Tag på GDPR-webinar

Guides & workshops

Lær at spotte en personoplysning

De 10 GDPR-bud

Tjekliste til GDPR-fortegnelsen

Førstehjælp ved sikkerhedsbrud

Workshops