Datatilsynet valgte tilbage i 2019 at politianmelde ILVA for brud på et af GDPRs fundamentale principper – princippet om opbevaringsbegrænsning – da ILVA ikke havde slettet kundeoplysninger på op imod 385.000 kunder i et gammelt it-system.

Retten i Aarhus gav anklagemyndigheden medhold i sin påstand om, at lovovertrædelsen skulle resultere i en bøde for manglende overholdelse af GDPR. Anklagemyndigheden havde krævet en bøde på 1.500.000 kroner, men Retten i Aarhus satte bøden til 100.000 kroner, da Retten fandt, at ILVA kun havde handlet uagtsomt og ikke forsætligt.

Retten i Aarhus anfører i dommens præmisser, at bødens beregning ikke skulle tage udgangspunkt i JYSK’s årlige koncernomsætning på 6,4 milliarder for regnskabsåret 2016/2017, som anklagemyndigheden havde lagt op til, men alene ILVA’s årlige koncernomsætning på 1,8 milliarder for regnskabsåret 2016/2017. Rettens begrundelse var blandt andet, at anklagemyndigheden alene havde rejst tiltale mod ILVA og ikke JYSK, hvorfor der efter anklageprincippet ikke kan ske domfældelse for noget forhold, der ikke omfattes af tiltalen.

Disse ting er særligt vigtige, idet retssagen er den første på databeskyttelsesområdet, og det er derfor en principiel sag, der vil lægge grundstenen for hvordan fremtidige sager på området vil blive afgjort.

Sagen er nu også blevet anket til landsretten af anklagemyndigheden.

Sagen kort – 385.000 personers kundedata opbevaret uden grund

I efteråret 2018 førte Datatilsynet tilsyn med ILVA med fokus på sletning. Her fandt Datatilsynet, at enkelte butikker fortsat anvendte et ældre system – AX 2.5 – til behandling af personoplysninger.

Systemet indeholdt ved tilsynsbesøget almindelige personoplysninger på ca. 385.000 tidligere kunder, som ILVA ikke længere havde grund til at opbevare, eftersom oplysningerne var opbevaret i længere end de 5 år, som ILVA havde opsat som deres yderste slettefrist i overensstemmelse med bogføringsloven. De ældste personoplysninger gik helt tilbage til den 1. april 2010.

Datatilsynet mente dermed, at ILVA havde overtrådt databeskyttelsesforordningens artikel 5, stk. 1, litra e, der fastsætter et grundprincip om opbevaringsbegrænsning, hvor data skal slettes rettidigt, og man ikke må opbevare data, man ikke længere har et nødvendigt behov for at gemme.

Er 100.000 kr. i bøde ved en omsætning på 1,8 milliarder afskrækkende nok?

Umiddelbart kan en bøde på 100.000 kr. virke stor – især set i lyset af, at den største bøde for brud på persondataretten før GDPR lå på 25.000 kr.

Men ser man på stemningen efter den 25. maj 2018, så frygtede mange, at der ville blive uddelt bøder i millionstørrelse, fordi GDPR muliggør bøder på op til 20 millioner euro eller 4% af en koncerns årlige globale nettoomsætning, hvad end der er størst. En bøde på 100.000 kr. til en virksomhed, der i regnskabsåret 2016/2017 havde en omsætning på 1,8 mia. kr., er ikke proportionel med GDPRs bødemuligheder, da ILVA med byrettens dom reelt er blevet idømt en bøde på 0,01 % af ILVAs omsætning.

Der er meget langt til de 4 %, og det kan diskuteres, om en bøde i den størrelsesorden har en afskrækkende effekt, og giver Datatilsynet rygstøtte til at håndhæve, at virksomhederne (og offentlige myndigheder) løbende sikrer overholdelsen af databeskyttelselsreglerne.

Anklagemyndigheden meldte også ud den 23. februar, at dommen nu er anket til landsretten.

Dommens betydning for kommende sager

Da dommen er blevet anket, er sagens resultat stadig åbent. Datatilsynet og anklagemyndigheden har derfor endnu ikke et dansk referencepunkt i forhold til fremtidige politianmeldelser og ventende straffesager, som fx Taxa-sagen, når den engang kommer for retten.

Det er positivt, at sagen er blevet anket, da den som principiel sag kan bidrage til, at vi – flere år efter, siden databeskyttelsesforordningen har fundet anvendelse fra den 25. maj 2018 – endelig vil få et grundlag for, hvordan brud på databeskyttelsesreglerne sanktioneres i Danmark.