ILVA-dommen – med link til selve dommen fra Retten i Århus

23. februar 2021

Jacob Høedt Larsen

Datatilsynet havde forelagt Ilva en bøde på 1,5 mio. kroner. 12. februar afsagde Retten i Århus dom i sagen og nedsatte bøden til 100.000 kr. I bunden af artiklen finder du link til selve dommen. Læren af dommen: Få styr på din mapning og din fortegnelse.

Dommen i Ilva-sagen er den første bødesag, der har ført til dom efter persondatafordningen trådte i kraft i maj 2016 – og med håndhævelse fra 2018.

Sagen var, at Ilva opbevarede oplysninger om ikke under 350.000 tidligere kunders navne, adresser, telefonnumre, e-mails og købshistorik i et gammelt system, selvom de burde have været slettet. Det gamle system var en form for arkiv, idet Ilva havde implementeret et andet og nyere kunde-system. Som dommeren i sagen formulerer det, var der formentlig tale om en “forglemmelse” fra Ilvas side. Da Datatilsynet havde været på besøg, indarbejdede de da også en sletteprocedure i det gamle system.

Bødenedsættelse

Det mest interessante i dommen er, at retten tager stilling til bøden og bødens niveau. Dommeren overvejer faktisk, om sagen er så lille, at den blot burde have medført en advarsel. Den store mængde data, skriver han, gør dog, at det er passende at give en bøde

Men, han nedsætter altså bøden fra Datatilsynets 1,5 mio. kr. til 100.000 kr. Du kan læse den fulde begrundelsen i dommen, men her er den helt korte version:

  1. Dommeren mener kun, at bøden skal beregnes på baggrund af Ilvas omsætning på 1,8 mia. og ikke Lars Larsen Groups omsætning på godt 6,5 mia. kroner. Som mange vil vide, tager bødeniveauet i GDPR-sager udgangspunkt i virksomhedens omsætning. Da Ilvas omsætning er ca. ¼ af Lars Larsen Groups, må det medføre, at bøden skal nedsættes væsentligt – siger dommeren.
  2. Derudover mener dommeren ikke, at Datatilsynet har taget tilstrækkelig højde for formildende omstændigheder:
    1. At det var en førstegangsovertrædelse
    2. At der ikke var tale om det, der i dommen kaldes personfølsomme oplysninger 
    3. At Datatilsynet selv havde udtalt, at overtrædelsen var af “formel karakter”. 

Samlet set førte det til, at bøden blev sat til 100.000 kr.

Få styr på mapning og fortegnelse

Hele sagen viser, hvor vigtigt det er, at have styr på sin mapning af systemer, leverandører og behandlingsaktiviteter. Når man læser vidneforklaringerne i sagen, får man en fornemmelse af, at Ilva simpelt hen har “misset” systemet i deres mapning af personoplysninger og dermed glemt at forholde sig til blandt andet sletteprocedurer omkring lige præcis det system.

Data mapning er en stor udfordring mange steder, men her er lidt værktøjer fra os:

Hvis du vil se, hvordan data mapning og fortegnelsen håndteres i Wired Relations, så book en demo lige her.

Jacob Høedt Larsen

Head of Communications hos Wired Relations

Du er måske også interesseret i

Ny i GDPR II – processen

Ny i GDPR II – processen

Kom godt i gang med GDPR-arbejdet i din virksomhed – hvad enten I som virksomhed er nye i det, eller du har fået...

Notat om Schrems II

Notat om Schrems II

EDPBs anbefalinger bl.a. om supplerende foranstaltninger til standardkontrakterne ved tredjelandsoverførsler i lyset...