IDdesign A/S idømt bøde på 100.000 kr. for overtrædelse af databeskyttelsesforordningen
Retten i Aarhus har idømt selskabet IDdesign A/S (nu Ilva A/S), en bøde på 100.000 kr. for opbevaring af kundeoplysninger i strid med databeskyttelsesforordningen.
Sagen blev rejst på baggrund af en politianmeldelse fra Datatilsynet efter et tilsynsbesøg hos virksomheden i efteråret 2018, hvor Datatilsynet bl.a. havde set på, om virksomheden havde fastsat frister for sletning af kundernes oplysninger, og om fristerne blev efterlevet.
Forud for tilsynsbesøget havde IDdesign sendt en oversigt over de systemer, som virksomheden anvendte til behandling af personoplysninger. IDdesign oplyste i den forbindelse, at der i tre selvstændige, samhandlende IDEmøbler-butikker fortsat blev anvendt et ældre system, som ellers er erstattet af et nyere system i de øvrige butikker i kæden. IDdesign oplyste under tilsynsbesøget, at der i det gamle system blev behandlet oplysninger om ca. 350.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik.
IDdesign havde ikke forholdt sig til, hvornår personoplysninger i det gamle system ikke længere var nødvendige til de formål, hvortil de blev behandlet, og havde dermed heller ikke fastlagt frister og procedurer for sletningen af oplysningerne, som også er påkrævet i henhold til databeskyttelsesforordningen.
Anklagemyndigheden og Datatilsynet havde – med baggrund i Datatilsynets bødemodel for bødeudmåling – lagt op til en bødestraf på 1,5 mio. kroner og havde i skønnet over bødens størrelse lagt hele koncernens omsætning til grund og havde desuden vurderet, at IDdesign forsætligt havde undladt at slette oplysningerne.
Bøde på 100.000 kr.
Byretten kom dog frem til, at overtrædelsen kun skulle koste IDdesign en bøde på 100.000 kr., da retten alene fandt bevis for, at overtrædelsen var begået uagtsomt. Retten lagde til grund, at IDDesign ved en forglemmelse ikke havde fået slettet oplysningerne som følge af en for ensidig fokusering på selskabets aktive IT-systemer, ligesom retten fandt, at det kun var IDdesigns egen omsætning, der skulle lægges til grund for bødens beregning, og der skulle tages hensyn til, at overtrædelsen var begået uagtsomt.
Byretten bemærkede endvidere, at anklagemyndigheden og Datatilsynet ikke i formildende retning havde taget behørigt hensyn til de formildende omstændigheder, der følger af databeskyttelsesforordningens artikel 83, stk. 2, herunder:
- at der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen;
- at de omhandlede oplysninger var af en almindelig og ikke personfølsom karakter;
- at oplysningerne befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist;
- at ingen registrerede havde lidt nogen skade, og
- at overtrædelsen – også efter Datatilsynets egen opfattelse – alene var af formel karakter.
Herudover anførte retten, at det skulle indgå med betydelig vægt i vurderingen, at det var godtgjort, at IDdesign havde foretaget sig betydelige bestræbelser på at sikre, at mange af virksomhedens i alt 57 datasystemer både IT-teknisk og juridisk havde været i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt.
Retten overvejede på den baggrund, hvorvidt overtrædelsen oversteg tærsklen mellem udtalelse af kritik – der i retligt regi ville have karakter af en advarsel efter retsplejelovens § 900 – eller om det efter omstændighederne var påkrævet at idømme IDdesign en bøde. I lyset af databeskyttelsesforordningens overordnede strafudmålingsprincip om, at det skal sikres, at overtrædelser af databeskyttelsesforordningen imødegås med sanktioner, der er effektive, proportionale, og som har en afskrækkende virkning, fandt retten imidlertid – navnlig under hensyntagen til den betydelige datamængde, som tiltalte ikke havde fået anonymiseret eller slettet – at tiltalte skulle idømmes en bøde.
Da der i forarbejderne til databeskyttelsesloven er lagt op til en ”væsentlig forøgelse” af bødeniveauet for overtrædelser af databeskyttelsesforordningens bestemmelser sammenlignet med hidtidig praksis, der i forarbejderne er angivet til et niveau på mellem 2.000 og 25.000 kr., afhængigt af overtrædelsens karakter, fastsatte retten efter en samlet vurdering bøden til 100.000 kr.
NJORDs bemærkninger
Sagen er meget principiel i forhold til fastsættelse af bødeniveauet i fremtidige sager om overtrædelse af databeskyttelsesforordningen og afgørende for retspraksis på området for bødeudmålingen. Anklagemyndigheden overvejer at anke dommen.
Det er ikke længe siden, at Datatilsynet offentliggjorde en vejledning om fastsættelse af bøder for overtrædelse af databeskyttelsesforordningen, i samarbejde med både Rigspolitiet og Rigsadvokaten. Formålet var at øge gennemsigtigheden på området og give anbefalinger i forhold til bødeniveauerne.
Det er derfor overraskende, at – der til trods for rettens grundige overvejelser i forhold til bødestørrelsen – ikke er givet en bøde i overensstemmelse med de retningslinjer, der er fastsat i vejledningen, og endda en bøde der er meget langt fra det indstillede beløb.
Det bliver interessant at se, om anklagemyndigheden vælger at anke sagen for at komme tættere på et bødeniveau, der er i overensstemmelse med vejledningen, ligesom det – såfremt sagen bliver anket – bliver interessant at se, om landsretten i så fald følger anbefalingerne i vejledningen omkring fastsættelse af bøder for overtrædelse af databeskyttelsesforordningen.
Derudover er der – hvis tendensen med milde bøder fortsætter i de øvrige anlagte sager om overtrædelse af databeskyttelsesforordningen, herunder sagen mod Taxa 4x35 for overtrædelse af databeskyttelseslovgivningen ved ulovligt at have opbevaret oplysninger om op mod ni millioner personhenførbare taxature – en betydelig risiko for, at Danmark bliver betragtet som et ”safe haven” i forhold til bøder. Det kan således medføre, at virksomheder vælger at placere sig i Danmark, fordi Danmark giver de laveste bøder. Virksomhederne kan dermed spekulere i at undlade at undlade at overholde databeskyttelseslovgivningen (eller kun delvist overholde den), fordi bøden for non-compliance er meget lavere end de omkostninger, både økonomisk og ressourcemæssigt, som der kræves for at overholde databeskyttelseslovgivningen. Det er næppe et ønskeligt scenarie for Danmark som digitalt foregangsland.