Da databeskyttelsesretten trådte i kraft i maj 2018 var det især bøderne, som var i fokus. Forventningen var et bødeniveau på flere millioner, da bøderne ifølge GDPR kan udgøre op til mellem to og fire procent af en virksomheds globale årlige omsætning. Men siden da har bøderne givet af de danske domstole været i størrelsesordenen omkring 100.000. kr. indtil nu, hvor Østre Landsret har givet den hidtil største bøde for overtrædelse af GDPR.
Sagen vedrørte bevidst manglende sletning
Sagen vedrører hotelkæden Arp-Hansen Group A/S' manglende sletning af cirka 500.000 kundeprofiler opbevaret i hotelkædens it-systemer, som i henhold til hotelkædens egne slettefrister burde være blevet slettet. Datatilsynet havde indstillet til en bøde på 1,1 mio. kr., men byretten endte med at give en "advarsel". Nu har sagen været for Østre Landsret.
I sagen havde hotelkæden selv fastsat slettefrister for kundeprofilerne, og hotelkæden havde op til databeskyttelsesforordningen fik virkning i foråret 2018 været i dialog med leverandøren af den it-løsning, hvori personoplysningerne blev opbevaret. It-løsningen var sat op til at foretage automatisk sletning i overensstemmelse med de slettefrister, som hotelkæden selv havde fastsat. Den automatiske slettefunktion virkede dog i visse tilfælde ikke.
Hotelkæden havde i et spørgeskema til Datatilsynet forud for et tilsynsbesøg oplyst, at de foretog stikprøvekontrol af, om oplysningerne blev slettet inden for de fastsatte frister. Under Datatilsynets efterfølgende tilsynsbesøg hos hotelkæden kunne Datatilsynet dog konstatere, at der ikke blev foretaget tilstrækkelig stikprøvekontrol af sletningen.
Landsretten lagde derfor til grund, at virksomheden ikke gennemførte effektiv kontrol med, om sletningen skete i overensstemmelse med deres slettefrister. Landsretten lagde ligeledes til grund, at dette var en forsætlig – altså bevidst - overtrædelse af databeskyttelsesforordningen.
Lang sagsbehandlingstid var ikke en formildende omstændighed
Byretten lagde i dens afgørelse vægt på den lange sagsbehandlingstid, herunder ved domstolene. Landsretten udtalte dog, at henset til sagens kompleksitet var der ikke grundlag for en formildelse af straffen med henvisning til sagsbehandlingstiden.
Spørgsmålet om lange sagsbehandlingstider er interessant, da Retten på Frederiksberg – tilsvarende byretten i sagen mod hotelkæden - også fandt, at bøden skulle nedsættes på grund af den lange sagsbehandlingstid i sagen mod et taxaselskab - og endte med at give en bøde på 100.000 kr. til trods for, at Datatilsynets indstilling var en bøde på 1,2 mio. kr. Denne sag er også anket af anklagemyndigheden. Uanset, at byretterne altså har nedsat bøderne med henvisning til sagsbehandlingstiden, vil en lang sagsbehandlingstid altså ikke umiddelbart udgøre en formildende omstændighed.
Første bøde i millionklassen
Østre Landsret endte med at give hotelkæden en bøde på 1 mio.kr. Dette er den hidtil største bøde, som er givet af de danske domstole. Dommen understreger, at de databeskyttelsesretlige regler skal tages alvorligt, herunder at organisationer skal huske at slette i overensstemmelse med egne slettefrister.
Sagen må antages at have principiel betydning for bødeniveauet generelt. Det må forventes, at bødeniveauet fremover vil være højere for i hvert fald private virksomheder, og at domstolene i højere grad vil skele til Datatilsynets indstilling. Det vil være forventningen, udtaler Datatilsynets direktør. Læs mere på Datatilsynets hjemmeside.
Det er værd at være opmærksom på, at dommen vedrørte en privat virksomhed. Det er usikkert, hvordan sagen vil få betydning for sager mod offentlige myndigheder. I databeskyttelsesloven er der beskrevet et bødeloft, som er væsentligt lavere for offentlige myndigheder end for private virksomheder. Det bliver derfor interessant at følge med i, om der i kommende retssager mod offentlige myndigheder også vil ske en stigning i bødeniveauet.
Andre sager afventer landsrettens dom
Sagen mod hotelkæden er ikke den eneste, som er anket til landsretten. Sagerne mod Taxa 4x35 og IDdesign (Ilva) er ligeledes blevet anket til landsretten og afventer på nuværende tidspunkt stadig gennemførsel af straffesagen. Derudover venter en række sager også at komme for byretterne. I de fremtidige sager vil der med stor sandsynlighed blive skelet til denne principielle dom.
Læs Østre Landsrets resumé og præmisser her.