GDPR AFGØRELSE OG DOG!
Så faldt der endelig afgørelse i en af de første straffesager mod en virksomhed for overtrædelse af GDPR.
Datatilsynet havde sammen med anklagemyndigheden indstillet virksomheden til en bøde på 1,5 million kr. som Byretten i Aarhus dog valgte at sænke til en bøde på 100.000 kr.
Dommen er nu af anklagemyndigheden anket til Landsretten.
Sagens forhold:
Datatilsynet fandt ved et tilsyn hos IdDesign, som står bag ILVA, at de i et ældre ERP system, ikke havde foretaget de sletninger som Persondatareglerne foreskrev. Der var således i dette ERP system registreret kunders navn, adresse, telefonnummer, mail og købshistorik. Nogle af de registrere kunder havde ikke handlet hos IdDesign de seneste 5 år, hvorfor deres data burde have været slettet.
Datatilsynet vurderede, at for ca. 350.000 kunder i systemet, var der ikke længere gyldig behandlingshjemmel, hvorfor Datatilsynet politianmeldte IdDesign og indstillede til en bøde på 1,5 million.
Byrettens afgørelse:
Århus byret nåede i sin afgørelse til en langt lavere bøde. Bøden blev således nedsat til 100.000 kr. Retten mente ikke det var en forsætlig overtrædelse, som IdDesign have foretaget, men at de alene havde handlet uagtsom.
Ved udmålingen af bødens størrelse, mente Byretten, at det kun skulle være ILVA’ omsætning der skulle danne grundlag og ikke hele JYSK koncernens omsætning. Retten tillagde det ligeledes vægt, at det var en førstegangsovertrædelse samt at ERP systemet alene havde indeholdt almindelige persondata og ikke følsomme. Dertil anførte retten, at ingen af de registrere havde lidt skade.
Landsretten:
Nu må vi så vente på Landsrettens afgørelse. Her bliver det spændende at se, hvad de ligger til grund ved udmålingen af bøde. Skal det være hele Jysk koncernens omsætning eller bliver det som i byretten alene ILVA’ omsætning der skal ligges til grund.