ILVA-dommen - med link til selve dommen fra Retten i Århus

By 
Jacob Høedt Larsen
February 23, 2021

Hvad har vi lært efter ILVA-dommen? Svaret er nok ikke overraskende: Få styr på din mapning og fortegnelser (RoPa)

Datatilsynet havde forelagt møbelfirmaet ILVA en bøde på 1,5 mio. kroner. 12. februar afsagde Retten i Århus dom i sagen og nedsatte bøden til 100.000 kr. I bunden af artiklen finder du link til selve dommen. Læren af dommen: Få styr på din mapning og din fortegnelse.

Dommen i ILVA-sagen er den første bødesag, der har ført til dom efter persondatafordningen (GDPR) trådte i kraft i maj 2016 - og med håndhævelse fra 2018.

Sagen var, at ILVA opbevarede oplysninger om flere end 350.000 tidligere kunders navne, adresser, telefonnumre, e-mails og købshistorik i et gammelt system, selvom oplysningerne burde have været slettet. Det gamle system var en form for arkiv, idet ILVA havde implementeret et andet og nyere kundesystem. Som dommeren i sagen formulerer det, var der formentlig tale om en “forglemmelse” fra ILVAs side. Da Datatilsynet havde været på besøg, indarbejdede de da også en sletteprocedure i det gamle system.

Bødenedsættelse

Det mest interessante i dommen er, at retten tager stilling til bøden og bødens niveau. Dommeren overvejer faktisk, om sagen er så lille, at den blot burde have medført en advarsel. Den store mængde data, skriver han, gør dog, at det er passende at give en bøde.

Men dommeren nedsætter altså bøden fra Datatilsynets 1,5 mio. kr. til 100.000 kr. Du kan læse den fulde begrundelsen i dommen, men her er den helt korte version:

  1. Dommeren mener kun, at bøden skal beregnes på baggrund af ILVAs omsætning på 1,8 mia. og ikke Lars Larsen Groups omsætning på godt 6,5 mia. kroner. Som mange vil vide, tager bødeniveauet i GDPR-sager udgangspunkt i virksomhedens omsætning. Da ILVAs omsætning er ca. ¼ af Lars Larsen Groups, må det medføre, at bøden skal nedsættes væsentligt - ifølge dommeren.
  2. Derudover mener dommeren ikke, at Datatilsynet har taget tilstrækkelig højde for formildende omstændigheder:
  3. At det var en førstegangsovertrædelse
  4. At der ikke var tale om det, der i dommen kaldes personfølsomme oplysninger 
  5. At Datatilsynet selv havde udtalt, at overtrædelsen var af “formel karakter”. 

Samlet set førte det til, at bøden blev sat til 100.000 kr.

Få styr på mapning og fortegnelser

Hele sagen viser, hvor vigtigt det er, at have styr på sin mapning af systemer, leverandører og behandlingsaktiviteter. Når man læser vidneforklaringerne i sagen, får man en fornemmelse af, at ILVA simpelthen har “misset” systemet i deres mapning af personoplysninger og dermed glemt at forholde sig til blandt andet sletteprocedurer omkring lige præcis dette system.

Data mapning er en stor udfordring mange steder, men her er lidt værktøjer fra os:

Hvis du vil se, hvordan data mapning og fortegnelsen håndteres i Wired Relations, så book en demo lige her.