Første GDPR-dom i Danmark: Dommen lyder på en bøde på 100.000 kr.

Byretten i Aarhus afsiger første GDPR-dom i Danmark, og idømmer en bøde på 100.000 kr. for manglende sletning af 385.000 kundeoplysninger i gammelt system. Datatilsynets indstilling på 1,5 mio. kr. blev dermed ikke taget til følge.

I efteråret 2018 var Datatilsynet på et tilsynsbesøg hos det daværende IDesign (nu ILVA), hvor der bl.a. blev set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet.

Forud for tilsynsbesøget havde IDesign sendt en oversigt over de systemer, som virksomheden aktuelt anvendte til behandling af personoplysninger. IDesign oplyste på Datatilsynets forespørgsel under selve tilsynsbesøget, at der i tre selvstændige, samhandlende IDEmøbler-butikker fortsat anvendes et ældre system, som ellers er erstattet af et nyere system i de andre butikker. IDesign oplyste endvidere, at der i det gamle system behandles oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik.

IDesign havde ikke forholdt sig til, hvornår personoplysninger i det gamle system ikke længere var nødvendige til de formål, hvortil de behandles, og havde dermed ikke fastlagt hvilke frister, der skulle gælde for sletning af de personoplysninger, der behandledes i systemet.

Datatilsynet fandt derfor, at IDesign ikke havde overholdt databeskyttelsesforordningens krav om sletning, idet virksomheden havde behandlet personoplysningerne længere end nødvendigt, og indstillede til en bøde på 1,5 mio. kr.

Dommen fra Retten i Aarhus
Denne indstilling var dommerne i Aarhus ikke enige i. Først og fremmest skulle der ved beregning af bødeniveauet ikke tages udgangspunkt i den samlede omsætning i Lars Larsen Group, eftersom overtrædelsen udelukkende kunne henføres til datterselskabet IDesign. Alene af den grund nedsatte byretten bøden ganske betragteligt. Herudover var der en del formildende omstændigheder. For det første var der tale om en førstegangsovertrædelse. For det andet havde IDesign arbejdet meget seriøst med de af virksomhedens persondata, der befandt sig i de aktive systemer. Og for det tredje var der kun tale om almindelige persondata, der lå i et ældre og udfaset system, som dermed udgjorde en form for datakirkegård. Dommen endte med en bøde på 100.000 kr.

Dansk Erhverv mener
Dansk Erhverv er glade for, at der nu er afsagt den første persondataretlige afgørelse i Danmark, og at vi nu kan komme i gang med at få fastlagt et mere forudsigeligt bødeniveau. Afgørelsen viser, at man naturligvis løbende skal slette gamle persondata, som man ikke længere har en legal grund til at gemme og dermed behandle.

Vi afholder grundkursus i GDPR den 25. februar. Tilmeld dig via dette link.