Byretten i Aarhus har truffet afgørelse i den første danske retssag for overtrædelse af databeskyttelsesforordningen (GDPR). Sagen omhandler en virksomhed, der blev politianmeldt af Datatilsynet for manglende sletning af kundeoplysninger. Retten nedsatte Anklagemyndighedens bødepåstand med over 90 procent (fra oprindeligt 1,5 mio. kr. til 100.000 kr.) Bech-Bruun har igennem de seneste par år hjulpet den pågældende virksomhed i denne principielle sag.

På baggrund af et tilsynsbesøg hos virksomheden i efteråret 2018 om sletning af personoplysninger valgte Datatilsynet i juni 2019 at anmelde virksomheden til politiet. Det anmeldte forhold vedrørte virksomhedens opbevaring af kunders personoplysninger i et ældre ERP-system. I systemet blev der behandlet oplysninger om kundernes navn, adresse, telefonnummer, e-mail og købshistorik. Der har ikke været tilfælde af brug af oplysningerne eller sikkerhedsbrud. Sagen omhandlede alene spørgsmålet om opbevaringsbegrænsning og den mulige sanktion for overtrædelse af GDPR.

Det er første gang, at en dansk domstol tager stilling til skyldspørgsmål, beviskrav og mulige sanktioner under EU's persondataregler. Som følge af sagens principielle karakter og store betydning for samfundet imødekom retten Bech-Bruuns anmodning om at føre sagen som en domsmandsret.

Dommen

Manglende sletning
Retten fandt det bevist, at der var sket en overtrædelse af GDPR, ved at der ikke længere var et gyldigt behandlingsformål for ca. 350.000 kunder, og at disse kunders personoplysninger derfor blev behandlet i strid med kravet om opbevaringsbegrænsning. Personoplysningerne skulle efter rettens vurdering have været slettet efter 5-årsreglen i bogføringsloven. Retten var således enig med Anklagemyndigheden og Datatilsynet i skyldsspørgsmålet.I forhold til sanktionsspørgsmålet var retten imidlertid enig med Bech-Bruun.

Formildende omstændigheder
Datatilsynet og Anklagemyndigheden havde som eneste formildende omstændighed fremhævet det forhold, at der alene var tale om almindelige personoplysninger og ikke følsomme oplysninger eller oplysninger af særlig karakter.

Retten imødekom Bech-Bruuns argumenter om at inddrage følgende formildende omstændigheder i vurderingen af sanktionen:

  • Virksomheden havde ikke fortilfælde for overtrædelse af databeskyttelsesforordningen.
  • Oplysninger befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvis.
  • Ingen registrerede havde lidt skade. 
  • Overtrædelsen var af formel karakter.
  • Virksomheden havde udfoldet ganske betydelige bestræbelser på at sikre overholdelse af reglerne.
  • Virksomheden havde alene udvist uagtsomhed og ikke forsæt.

Bødeberegningen
I forhold til bødeberegning imødekom retten Bech-Bruuns argumenter om alene at fokusere på virksomhedens egen omsætning og ikke koncernomsætningen. Dette punkt var et af de dominerende stridspunkter i sagen.

Herudover afviste retten, at der i forhold til den rejste tiltale var selvstændigt retligt indhold i Artikel 5, stk. 2 i databeskyttelsesforordningen, som Anklagemyndigheden havde påberåbt under sagens behandling.

Bech-Bruuns kommentar
”Rettens afgørelse er et nederlag for Anklagemyndighedens og Datatilsynets strafferetlige håndtering af GDPR-overtrædelser. Afgørelsen skaber desuden betydelig usikkerhed om bødeniveauet i sager om påstået overtrædelse af GDPR. Anklagemyndigheden forsøgte at få bøden fastlagt under anvendelse af Datatilsynets bødevejledning offentliggjort d. 29. januar 2021. Byrettens afgørelse lægger sig ikke op ad Datatilsynets bødevejledning, selvom det var et kardinalpunkt for Anklagemyndigheden”, siger partner Dan B. Geary

Han forsætter: ”Det må forventes, at afgørelsen i sagen får stor betydning for strategien i de fremtidige sager om overtrædelse af GDPR, som domstolene skal behandle.”

Sagen blev ført af partner Dan B. Geary og senioradvokat Poul Gade bistået af Bech-Bruuns GDPR-team.