GDPR-håndhævelse: Danmarks første GDPR-dom
ILVA-dommen – Danmarks første GDPR-dom
Datatilsynet offentliggjorde den 11. juni 2019 en pressemeddelelse om, at tilsynsmyndigheden havde politianmeldt IDdesign A/S (i dag ILVA A/S) og indstillet virksomheden til en bøde på kr. 1,5 mio. for manglende sletning af oplysninger om ca. 385.000 kunder. Enkelte af virksomhedens butikker anvendte et ældre system, der ellers var blevet erstattet i de øvrige butikker, hvilket indeholdte oplysninger om ca. 385.000 kunders navn, adresse, telefonnummer, e-mail og købshistorisk. Virksomheden havde desuden ikke fastsat nogle slettefrister i systemet, hvilket resulterede i, at personoplysninger blev opbevaret væsentlig længere end nødvendigt.
Retten i Århus afsagde dom den 12. februar 2021, hvor ILVA A/S blev dømt for overtrædelse af GDPR artikel 5, stk. 1, litra e, vedrørende kravet om opbevaringsbegrænsning, da de ca. 350.000 kundeprofiler (antallet af profiler er reduceret i dommen ift. Datatilsynets afgørelse) skulle have været slettet eller anonymiserede. Bøden blev imidlertid reduceret fra kr. 1,5 mio. til 100.000 kr. Reduceringen skete bl.a. som følge af, at Datatilsynet havde baseret deres fastsættelse af bøden på den samlede omsætning for hele Lars Larsen Group-koncernen, men at ILVA A/S alene er et datterselskab og det eneste selskab, der i sagen var rejst tiltale mod. Bøden skulle ifølge retten derfor fastsættes ud fra ILVA A/S’ omsætning, der blot var en fjerdedel af koncernens samlede omsætning. Retten lagde desuden vægt på, at ILVA A/S alene var skyldig i uagtsomt at have overtrådt GDPR, hvilket betyder, at ILVA A/S ikke havde til hensigt at overtræde GDPR og altså ikke gjorde det ”med vilje”. Derudover blev der lagt vægt på, at det var en førstegangsovertrædelse fra ILVA A/S, og at der alene var tale om almindelige personoplysninger og ikke følsomme personoplysninger.
Anklagemyndigheden har anket dommen til landsretten. Det betyder, at sagen skal køre igen med chance for et andet resultat. Du kan læse mere om dommen hos Retten i Århus her.
Der er mange, der venter i spænding på landsretssagens udfald, idet den endelige dom må forvente at få afgørende indflydelse på bødeniveauet i Danmark. Dog er der særligt én del af byrettens begrundelse, som man allerede nu kan glæde sig over, hvis man i sit daglige arbejde har ansvaret for at overholde GDPR: Retten udtalte således også, at det ”skulle indgå med betydelig vægt i vurderingen, at det var godtgjort, at tiltalte havde udfoldet ganske betydelige bestræbelser på at sikre, at mange af virksomhedens i alt 57 datasystemer både IT-teknisk og juridisk havde været i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt.”
Eller sagt på en anden måde: Hvis man kan dokumentere, at man har gjort betydelige bestræbelser, så vil dette være en vægtig formidlende omstændighed, hvis man en dag bliver mødt med kritik af Datatilsynet.
Datatilsynet – hvad er deres opgaver og beføjelser egentlig?
ILVA-Dommen skaber en øget opmærksomhed omkring på den egentlige håndhævelse af GDPR og hvilke beføjelser og kompetencer, Datatilsynet har.
Kort sagt er Datatilsynet den centrale og uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynets opgaver indebærer bl.a. at føre tilsyn og håndhæve GDPR, hvilket typisk sker gennem planlagte tilsynsbesøg, sager taget op af egen drift eller sager, der indledes på baggrund af klager. Samtidig indebærer Datatilsynets opgaver at fremme kendskabet til GDPR samt rådgive og vejlede relevante parter, hvilket bl.a. sker gennem udarbejdelse af vejledninger. Datatilsynet er derudover tillagt både undersøgelsesbeføjelser og korrigerende beføjelser, hvilket bl.a. består i at udtale kritik samt meddele påbud.
Ny bødevejledning fra Datatilsynet
Datatilsynet har i forbindelse med ILVA-dommen udarbejdet en ny vejledning om fastsættelsen af bødeniveauet, der skal skabe en større gennemsigtighed omkring, hvordan Datatilsynet fastsætter bødens størrelse. Formålet med udstedelse af en bøde er, at den skal være effektiv og have afskrækkende virkning. Vejledningen oplister bl.a. kategorier af overtrædelser med angivelse af det forventede niveau af bøder for hver kategori.
Vejledningen oplister en række skærpende og formidlende omstændigheder, der kan indgå i vurderingen af bødens størrelse. En skærpende omstændighed vil bl.a. kunne foreligge, når overtrædelsen har været foretaget forsætligt, dvs. ved en bevidst handling eller undladelse. Dette kunne eksempelvis være, hvis en virksomhed tager et valg om ikke at bruge ressourcer på overholdelse af GDPR. Det vil modsat være en formildende omstændighed, såfremt overtrædelsen var uagtsom, som ved ILVA-dommen. Her lagde retten vægt på, at virksomheden burde have tilrettelagt sit compliancearbejde på en anden måde, men at der ikke var tale om en bevidst undladelse. En skærpende omstændighed vil ligeledes kunne foreligge, såfremt der er tale om følsomme eller fortrolige personoplysninger, fremfor almindelige personoplysninger. For så vidt angår ILVA-dommen var der alene tale om almindelige personoplysninger, som retten lagde til grund som en formildende omstændighed.
Det bemærkes, at vejledningen er et arbejdsdokument, der løbende vil blive udbygget efterhånden som Datatilsynet, anklagemyndigheden og domstolene håndterer flere straffesager på området, og i takt med at praksis både nationalt og international udvikles.
Det internationale perspektiv: Samarbejdet mellem tilsynsmyndighederne
Alle EU-medlemslande er omfattet af GDPR og skal derfor også have en tilsynsmyndighed som Datatilsynet. De enkelte medlemsstater har alle samme beføjelser, opgaver og kompetencer, men der ses i praksis stor forskel på tilsynsmyndighedernes arbejde.
Sammen med de nationale tilsyn findes der også Det Europæiske Databeskyttelsesråd (EDPB), som er et uafhængigt europæisk organ, der bl.a. har til formål at bidrage til en konsekvent anvendelse af reglerne om databeskyttelse i hele EU. EDPB vejleder medlemsstaterne om anvendelse af GDPR gennem retningslinjer, vejledninger og anbefalinger, hvilket bidrager til en konsekvent anvendelse af GDPR i hele EU. Den forsat varierende anvendelse skyldes - udover forskel på de tildelte nationale ressourcer - formentligt en differentieret fortolkning af forordningen, altså at medlemsstaterne forstår de enkelte bestemmelser i GDPR på forskellige måder. Den tydeligste forskel på anvendelse af GDPR hos medlemsstaterne ses i forbindelse med bødesager.
ILVA-dommen er som bekendt den første sag i Danmark, der er endt med en bøde og sågar en ”lille” af slagsen. Derudover er der blot syv andre sager i Danmark, der er endt med en indstilling til bøde og overdraget til anklagemyndigheden. Retter man derimod blikket mod resten af EU, er der f.eks. i Spanien tale om et datatilsyn (AEPD), der udsteder bøder på næsten daglig basis og sågar meget høje bøder, blandt andet en bøde på EUR 6 mio. til en spansk bank for manglende lovligt samtykke og opfyldelse af oplysningspligten. Danmarks nabolande udsteder ligeledes store bøder, som f.eks. det norske datatilsyn, der for nyligt udstedte en bøde på EUR 10 mio. til appen Grindr for manglende overholdelse af reglerne om samtykke samt det tyske datatilsyn, der udstedte en bøde på EUR 10,4 mio. for ulovlig overvågning af medarbejdere.