Kun to sager er endt med bøde fire år efter GDPR trådte i kraft
Den 25. maj 2022 er det 4 år siden, databeskyttelsesforordningen (GDPR) trådte i kraft, og der blev varslet sanktionsmuligheder med en afskrækkende effekt. Forpligtelsen til at udstede bøder, der er effektive og står i rimeligt forhold til overtrædelsen, og som har en afskrækkende virkning, har Datatilsynet og de danske domstole dog på ingen måde formået at leve op til. Den manglende håndhævelse af reglerne vil i sidste ende føre til lemfældig omgang med personoplysninger og kan på sigt få store konsekvenser for beskyttelsen af fysiske personers grundlæggende rettigheder.
Lejre Kommune idømt bøde på kr. 50.000
En af de i alt to sager, hvor danske domstole på nuværende tidspunkt har idømt bøder for overtrædelse af GDPR, omhandler en offentlig myndighed, Lejre Kommune. Den 9. marts 2022 idømte retten i Roskilde Lejre Kommune en bøde på kr. 50.000 for overtrædelse af kravene til behandlingssikkerhed.
Afgørelsen var i overensstemmelse med Datatilsynets politianmeldelse af Lejre Kommune, der blev indstillet til en bøde på kr. 50.000 tilbage i juni 2020 i forbindelse med, at kommunen selv indberettede et sikkerhedsbrud.
Sagen mod Lejre Kommune vedrørte kommunens praksis om mødereferater. Kommunens afdelinger havde en fast praksis, hvor mødereferater, der bl.a. indeholdte personoplysninger af følsom og fortrolig karakter, blev uploadet på kommunens medarbejderportal. En del af personoplysningerne vedrørte også borgere under 18 år.
Idet mødereferaterne blev uploadet på medarbejderportalen, fik en stor del af kommunens ansatte adgang til personoplysningerne, uanset om de arbejdede med den type sager eller ej. Adgangen til oplysningerne blev derudover ikke logget.
Datatilsynet bemærkede i forbindelse med afgørelsen og politianmeldelsen, at de var af den opfattelse, at kommunens behandling af oplysninger af følsom og fortrolig karakter som minimum skal beskyttes med adgangskontrol, således at det som udgangspunkt kun er medarbejdere med et arbejdsbetinget behov, der har adgang til oplysningerne. Derudover blev det bemærket, at logning normalt vil være en nødvendig og passende sikkerhedsforanstaltning, når man behandler denne slags oplysninger.
På denne baggrund fandt Datatilsynet, at kommunen ikke levede op til kravene om passende sikkerhedsforanstaltninger i databeskyttelsesforordningen.
IDdesign A/S idømt bøde på kr. 100.000
Den anden af de to sager, hvor domstolene på nuværende tidspunkt har afsagt afgørelse om en bødestraf, er sagen mod IDdesign. Byretten i Aarhus kom den 12. februar 2021 frem til, at IDdesign havde overtrådt GDPR ved at have opbevaret ca. 350.000 personoplysninger længere, end det var nødvendigt i et ældre og til dels udfaset kundedatasystem. Dette skulle kun koste IDdesign en bøde på kr. 100.000 på trods af, at Datatilsynet havde indstillet til en bødestraf på kr. 1,5 mio. Retten fandt alene bevis for, at overtrædelsen var begået uagtsomt og lagde til grund, at IDdesign ved en forglemmelse ikke havde fået slettet oplysningerne som følge af en for ensidig fokusering på selskabets aktive IT-systemer. Derudover fandt retten, at det kun var IDdesigns egen omsætning og ikke koncernen (IDdesign er en del af JYSK-koncernen), der skulle lægges til grund for bødens beregning, og der skulle tages hensyn til, at overtrædelsen var begået uagtsomt. Anklagemyndigheden har efterfølgende anket dommen, der endnu ikke har været for landsretten.
Datatilsynet indstiller danske bank til en bøde på kr. 10 millioner
Senest har Datatilsynet indstillet Danske Bank til en rekordstor bøde på 10 millioner kroner for ikke at kunne dokumentere sletning af personoplysninger i 400 systemer. Det er den største bøde, som Datatilsynet indtil nu har indstillet.
njords bemærkninger
På nuværende tidspunkt har vi meget få domme, der vedrører bødeniveauet for overtrædelser af databeskyttelsesforordningen i Danmark. På trods af, at det den 25. maj i år er fire år siden, at GDPR trådte i kraft, har domstolene alene idømt to bøder på henholdsvis kr. 100.000 til IDdesign A/S og Lejre Kommune på kr. 50.000. Disse afgørelser står i skarp kontrast til de bødeniveauer, vi på nuværende tidspunkt har set i de øvrige EU-lande, hvor der idømmes bøder i millionklassen.
Hvis vi fortsætter denne tendens i Danmark, er der en betydelig risiko for, at Danmark vil blive betragtet som et ”safe haven” i forhold til bøder. Det kan medføre, at udenlandske virksomheder vælger at placere sig i Danmark netop for at undgå større bøder, hvis de overtræder databeskyttelsesforordningen. Virksomhederne kan dermed spekulere i at undlade at overholde databeskyttelseslovgivningen (eller kun delvist overholde den), fordi bøden for non-compliance er meget lavere end de omkostninger, både økonomisk og ressourcemæssigt, som der kræves for at overholde databeskyttelseslovgivningen. Det er næppe et ønskeligt scenarie for Danmark som digitalt foregangsland.
Den manglende håndhævelse af reglen, om at bøder skal have en afskrækkende effekt, vil tillige i sidste ende føre til lemfældig omgang med personoplysninger og kan på sigt få store konsekvenser for beskyttelsen af fysiske personers grundlæggende rettigheder.
Det bliver interessant at følge med i, hvad domstolene kommer frem til i sagen mod Danske Bank og sagen mod IDdesign, som er anket til landsretten.