Ilva får Danmarks første GDPR-bøde: Halvanden million blev til 100.000 kroner

Illustration: Rie/Bigstock
Ilva har fået Danmarks første GDPR-bøde for ulovligt at have gemt oplysninger på 350.000 kunder. Anklagemyndigheden krævede halvanden million - men bøden blev kun 100.000 kroner. Nu overvejer Anklagemyndigheden at tage sagen i Landsretten.

Møbelkæden Ilva har i dag fået Danmarks første GDPR-bøde.

Det skriver Østjyllands Politi i en pressemeddelelse.

Anklagemyndigheden krævede en bøde på halvanden million kroner i sagen, der startede tilbage i 2019 og bunder i, at Ilva har gemt et ulovligt kundekartotek med 350.000 kunders oplysninger i form af navne, adresser, telefonnumre, e-mails og købshistorik.

Alligevel blev bøden blot på 100.000 kroner.

Sagen har fået særlig opmærksomhed, fordi det er den første af sin slags herhjemme - og derfor er den afgørende i forhold til fastsættelse af bødeniveauet for GDPR-forseelser i Danmark.

Derfor overvejer Anklagemyndigheden nu at anke dommen.

»Dette er den første sag mod en virksomhed, hvor vi har skullet fastsætte bødeniveauet efter de skærpede EU-regler om udmåling. Udgangspunktet for os har været Datatilsynets bødemodel, der blandt andet er baseret på koncernens omsætning. Vi har noteret os, at byretten har vurderet, at bøden skulle være meget lavere, og det får os da til at overveje, om sagen skal prøves ved Vestre Landsret,« udtalerspecialanklager ved Østjyllands Politi Jan Østergaard i pressemeddelelsen.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (20)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#2 Christian Provstgaard

Artikel 83 i GDPR-forordningen fastslår ellers, at bøder skal have "afskrækkende virkning".

100.000 kr. kan næppe afskrække nogen.

Oftest vil investeringen i en lovmedholdig IT-løsning vel langt overstige dette beløb - så alene af den grund vil ingen blive "afskrækket" af denne bøde - snarere det modsatte.

Artikel 83, stk 1: "Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning."

  • 20
  • 3
#8 Emil Kampp

Det er domstolen der har fastsat beløbet.

Det virker som om de dommere der sidder og dømmer IT sager ikke ved, hvor mange penge der går gennem en virksomhed i et moderne samfund, og ikke forstår, hvor stor person skade det gør på individet at få deres personlige information lækket.

  • 12
  • 4
#11 Peter Tagesen

https://finans.dk/erhverv/ECE12461134/hm-faar-kaempeboede-for-brud-paa-g...

Jeg er godt klar over at de to sager dårligt kan sammenlignes. Men der blev i sin tid udtalt, at GDPR-bøder skulle have en størrelse, der kunne mærkes på en virksomheds pengepung.

Det signal er så ikke nået helt til tops herhjemme. For 100.000 kr følger tilsyneladende dansk sædvane med lave legetøjsbøder, der nærmest kan betales med matadorpenge.

  • 4
  • 4
#13 Henrik Eriksen

Med bøder i den størrelse er det billigere at betale bøden end at rydde op i sit IT System.

Ja, og udgangspunktet på 1½ million er da meget bedre.

Ud af en omsætning på næsten to milliarder er det ikke engang en promille.

Noget helt andet er, at give bøder til en virksomhed er komplet godnat! Hvem betaler dén bøde når det kommer til stykket? Kunderne! Lad være med at bilde mig ind at direktørerne eller afdelingslederne får denne bøde modregnet i deres lønninger.

Det burde kunne lade sig gøre at finde den eller de ansvarlige, og så give bøden til dem!

Alt andet er da pip.

  • 2
  • 5
#14 Bjørn Grønbæk

Retten i Århus skriver selv mere detaljeret om hvorfor bøden sættes så lavt: https://domstol.dk/aarhus/aktuelt/2021/2/selskab-idoemt-en-boede-paa-100...

Uanset om man er enig eller ej er det også interessante betragtninge. De lægger bl.a. vægt på at det ikke er bevist at det er var en forsætlig overtrædelse og at de registrerede ikke har lidt skade. Desuden har de taget udgangspunkt i selskabets omsætning, og ikke i koncernens omsætning.

  • 9
  • 0
#15 Snurre Jensen

Dejligt med en mere udførlig beskrivelse.

Detaljerytteren i mig kunne dog godt tænke sig at vide om de "ca. 350.000 personoplysninger" er det samme som oplysninger om 350K unikke personer? Eller om antallet af personer er lavere og at man så har talt navn, adresse, tlf. nummer etc. sammen?

På positivsiden synes jeg det er godt at se at selv indenfor GDPR er man uskyldig indtil andet er bevist og at det er op til anklagemyndigheden at løfte bevisbyrden.

På negativsiden synes jeg dog det er lidt beskæmmende at se at der gives rabat fordi det der med IT og data åbenbart er svært. Det er godtnok tyndt!

  • 6
  • 0
#16 Knud Larsen

Bødens størrelse er måske rimelig nok. Det var et gammelt system der var parkeret. Ingen havde forestillet sig i 1990, at det vill blive så vildt med GDPR. Meget få systemer var bygget til at slette data dengang. Kun en dygtig database administrator kunne gøre det med risiko for inkonsekvens. Databaser var ofte noget man betalte for også for hver udvidelse, så de var nærmest konstrueret til at gemme så meget som muligt for så udløste det frlere licenser. Skat er helt vilde med, at man skal gemme data i mange år så de kan krydsrevidere med andre. Mere end 10 år er påkrævet.

Så det var vel på tide at vi igen fik en grundig debat og ajourføring af dette emne i lys af forældet lovgivning. Det Medicinske direktiv er også krævende. Der er ikke nogen forældelsesfrist. Du skal gemme data så læmge et produkt er i burg, det rækker altså langt ud over produktionsstop. Skal man så bruge ekstra penge for at anonymisere data? Man er pga. af tracking pålagt at kunne identificere alt? Disse forhold har jeg aldrig set belyst? Hvorfor mon? Og dommere lever i en helt anden verden rigtigt nok.

  • 5
  • 0
Log ind eller Opret konto for at kommentere