Første danske GDPR-dom giver bøde på – kun - 100.000 kr.

Retten fandt det alene bevist, at overtrædelsen var begået uagtsomt, og at det var sket ved en forglemmelse.

Retten kritiserede anklagemyndigheden og Datatilsynet for ikke i formildende retning at have taget behørigt hensyn til de formildende omstændigheder, der følger direkte af GDPR.

Som formildende omstændigheder indgik, at der var tale om en førstegangsovertrædelse, at de omhandlede oplysninger var af en almindelig og ikke personfølsom karakter, at de befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvist, at ingen registrerede havde lidt nogen skade, og at overtrædelsen alene var af formel karakter.

Desuden indgik det med betydelig vægt i vurderingen, at selskabet havde udført en række compliance-foranstaltninger for at sikre, at virksomhedens i alt 57 datasystemer både IT-teknisk og juridisk havde været i overensstemmelse med GDPR’s ikke ukomplicerede regelsæt.

I dag er det ikke muligt for Datatilsynet at afgøre sager om overtrædelse af databeskyttelseslovgivningen med administrative bødeforelæg. Dette vil først være muligt, når sanktionsniveauet for overtrædelse af de enkelte artikler i forordningen er tilstrækkelig afklaret i retspraksis.

Det vil derfor - indtil sanktionsniveaet er fastlagt - være anklagemyndigheden, der efter indstilling fra Datatilsynet, indbringer sager for retten, der herefter - muligvis efter behandling i flere instanser - træffer den endelige afgørelse om bødens størrelse.

Dommen, er er den første sag afgjort ved domstolene, vil utvivlsomt blive anket, og det bliver derfor interessant at se landsrettens afgørelse.