ILVA A/S er blevet idømt den første danske bøde for overtrædelse af reglerne i GDPR. Virksomheden havde opbevaret kundeoplysninger på ca. 350.000 kunder i et gammelt og delvist udfaset system, og havde derfor ikke fået slettet oplysningerne, da de ikke længere havde brug for dem efter bogføringslovens regler.
Datatilsynet havde indstillet til at der blev givet en bøde på 1,5 mio. kr., hvilket var det samme anklagemyndigheden gik efter. Retten idømte dog ”kun” en bøde på 100.000 kr.
Når retten takserer overtrædelsen af reglerne til en bøde på 100.000 kr., og ikke 1,5 mio., kr. som Datatilsynet og anklagemyndigheden ønskede, skyldes det særligt to forhold. For det første lagde retten vægt på, at der var en række formildende omstændigheder. For det andet var retten ikke enig med Datatilsynet og anklagemyndigheden i, hvordan bødestørrelsen helt konkret skulle udregnes.
Af formildende omstændigheder kan for det første nævnes, at retten lagde vægt på, at overtrædelsen alene havde en formel karakter. Godt nok var oplysningerne blevet opbevaret for længe, men de var kun blevet tilgået lejlighedsvist, de var ikke blevet misbrugt, og ingen personer havde lidt nogen skade.
Desuden lagde retten betydelig vægt på, at virksomheden havde gjort meget for at overholde GDPR’s regler.
Endelig lagde retten også vægt på, at der var tale om en førstegangsovertrædelse, og overtrædelsen blev alene betragtet som begået uagtsomt, idet oplysninger ikke var blevet slettet pga. en forglemmelse.
Uenigheden om hvordan bødestørrelsen skulle udregnes handlede om, hvorvidt bødens størrelse skulle udregnes i forhold til hele koncernens samlede omsætning, eller om det alene skulle ske ud fra ILVA A/S’s omsætning. Datatilsynet og anklagemyndigheden havde taget udgangspunkt i omsætningen for den samlede koncern, dvs. hele JYSK-koncernen. Retten mente derimod, at det alene var omsætningen for ILVA A/S, som skulle indgå i beregningen.
Ved første øjekast kan det virke til, at retten har været mild ved møbelvirksomheden, og at der ikke vil blive slået hårdt ned på overtrædelser af GDPR. Dette vil efter vores opfattelse være en helt klar fejlfortolkning af dommen.
En bøde på 100.000 kr. udgør således et væsentligt højere niveau end det vi så efter den hidtidigt gældende persondatalov, hvor bøder typisk lå i niveau 2.500-5.000 kr., og den højeste bøde idømt før GDPR var på 25.000 kr. Dommen er derfor udtryk for en skærpelse i forhold til det hidtidige bødeniveau. Som anført ovenfor blev bødeniveauet i den konkrete sag begrundet med en række formildende omstændigheder, og uden disse formildende omstændigheder ville bøden have været højere.
Dommen viser også, at domstolene foretager en grundig efterprøvelse af Datatilsynets indstilling, hvilket naturligvis er ganske betryggende og helt som forventet. Dommen blev afsagt ved retten i Århus den 12. februar 2021. Begge parter har 14 dage til at tage stilling til, om afgørelsen skal ankes til Landsretten.
Byrettens dom viser med al tydelighed, at det godt kan betale sig at bruge energi og ressourcer på at overholde GDPR. Hvis man ved en fejl overtræder en regel, men i øvrigt har arbejdet grundigt på at overholde GDPR, vil det kunne indgå som en formildende omstændighed.
Derfor er det også vores opfordring, at man fortsat arbejder målrettet med at opfylde reglerne i GDPR, og sikrer sig dokumentation herfor.
Hvis du har spørgsmål til sagen eller har behov for hjælp til at overholde reglerne i GDPR, er du velkommen til at kontakte os.