04 mar ILVA-sagen – Virksomhedsperspektiv: Er 100.000 kroner i bøde for at g(l)emme gamle kundelister nok?
4. marts 2021
Den 12. februar blev ILVA af Retten i Aarhus idømt en bøde på 100.000 kroner i den første danske retssag om brud på GDPR.
Hvor kringlet er det?
Datatilsynet valgte tilbage i 2019 at politianmelde ILVA for brud på et af GDPRs fundamentale principper – princippet om opbevaringsbegrænsning – da ILVA ikke havde slettet kundeoplysninger på op imod 385.000 kunder i et gammelt it-system.
Retten i Aarhus gav anklagemyndigheden medhold i sin påstand om, at lovovertrædelsen skulle resultere i en bøde for manglende overholdelse af GDPR. Anklagemyndigheden havde krævet en bøde på 1.500.000 kroner, men Retten i Aarhus satte bøden til 100.000 kroner, da Retten fandt, at ILVA kun havde handlet uagtsomt og ikke forsætligt.
Retten i Aarhus anfører i dommens præmisser, at bødens beregning ikke skulle tage udgangspunkt i JYSK’s årlige koncernomsætning på 6,4 milliarder for regnskabsåret 2016/2017, som anklagemyndigheden havde lagt op til, men alene ILVA’s årlige koncernomsætning på 1,8 milliarder for regnskabsåret 2016/2017. Rettens begrundelse var blandt andet, at anklagemyndigheden alene havde rejst tiltale mod ILVA og ikke JYSK, hvorfor der efter anklageprincippet ikke kan ske domfældelse for noget forhold, der ikke omfattes af tiltalen.
Disse ting er særligt vigtige, idet retssagen er den første på databeskyttelsesområdet, og det er derfor en principiel sag, der vil lægge grundstenen for hvordan fremtidige sager på området vil blive afgjort.
Sagen er nu også blevet anket til landsretten af anklagemyndigheden.
Sagen kort – 385.000 personers kundedata opbevaret uden grund
I efteråret 2018 førte Datatilsynet tilsyn med ILVA med fokus på sletning. Her fandt Datatilsynet, at enkelte butikker fortsat anvendte et ældre system – AX 2.5 – til behandling af personoplysninger.
Systemet indeholdt ved tilsynsbesøget almindelige personoplysninger på ca. 385.000 tidligere kunder, som ILVA ikke længere havde grund til at opbevare, eftersom oplysningerne var opbevaret i længere end de 5 år, som ILVA havde opsat som deres yderste slettefrist i overensstemmelse med bogføringsloven. De ældste personoplysninger gik helt tilbage til den 1. april 2010.
Datatilsynet mente dermed, at ILVA havde overtrådt databeskyttelsesforordningens artikel 5, stk. 1, litra e, der fastsætter et grundprincip om opbevaringsbegrænsning, hvor data skal slettes rettidigt, og man ikke må opbevare data, man ikke længere har et nødvendigt behov for at gemme.
Er 100.000 kr. i bøde ved en omsætning på 1,8 milliarder afskrækkende nok?
Umiddelbart kan en bøde på 100.000 kr. virke stor – især set i lyset af, at den største bøde for brud på persondataretten før GDPR lå på 25.000 kr.
Men ser man på stemningen efter den 25. maj 2018, så frygtede mange, at der ville blive uddelt bøder i millionstørrelse, fordi GDPR muliggør bøder på op til 20 millioner euro eller 4% af en koncerns årlige globale nettoomsætning, hvad end der er størst. En bøde på 100.000 kr. til en virksomhed, der i regnskabsåret 2016/2017 havde en omsætning på 1,8 mia. kr., er ikke proportionel med GDPRs bødemuligheder, da ILVA med byrettens dom reelt er blevet idømt en bøde på 0,01 % af ILVAs omsætning.
Der er meget langt til de 4 %, og det kan diskuteres, om en bøde i den størrelsesorden har en afskrækkende effekt, og giver Datatilsynet rygstøtte til at håndhæve, at virksomhederne (og offentlige myndigheder) løbende sikrer overholdelsen af databeskyttelselsreglerne.
Anklagemyndigheden meldte også ud den 23. februar, at dommen nu er anket til landsretten.
Dommens betydning for kommende sager
Da dommen er blevet anket, er sagens resultat stadig åbent. Datatilsynet og anklagemyndigheden har derfor endnu ikke et dansk referencepunkt i forhold til fremtidige politianmeldelser og ventende straffesager, som fx Taxa-sagen, når den engang kommer for retten.
Det er positivt, at sagen er blevet anket, da den som principiel sag kan bidrage til, at vi – flere år efter, siden databeskyttelsesforordningen har fundet anvendelse fra den 25. maj 2018 – endelig vil få et grundlag for, hvordan brud på databeskyttelsesreglerne sanktioneres i Danmark.
Tre hurtige: Hvad kan I tage med fra ILVA-sagen allerede nu?
- Få styr på jeres gamle IT-systemer. Hvis I skifter til et nyt og opdateret system, så husk at slette – eller anonymisere – data på det gamle system.
- Sørg for at have defineret klare frister for, hvor længe I opbevarer data – og hav en begrundelse for, hvorfor I har behov for at opbevare persondata i den periode, I har defineret. Med andre ord: Begræns opbevaring af data til det, der er højst nødvendigt. Har I udarbejdet en fortegnelse over behandlingsaktiviteter, kan I med fordel inkludere disse frister i den.
- Hvis I er i tvivl om, hvad en passende slettefrist vil være, så undersøg, hvad der fremgår af relevant lovgivning for jeres branche. Hvis der ikke findes relevant lovgivning, så undersøg, hvad jeres virksomhedspraksis har været hidtil. Hvis I lader jer inspirere af jeres virksomheds ”gamle” praksis så sæt kritisk spørgsmålstegn ved, om det er nødvendigt at opbevare de forskellige typer af informationer i den periode, I har fastsat.
DPO, partner, adm. direktør
Michael Nielsen
Mail: mni@nulldpo-danmark.dk
Mobil: 77341734