Ilva får Danmarks første GDPR-bøde: Halvanden million blev til 100.000 kroner

20 kommentarer.  Hop til debatten
Ilva får Danmarks første GDPR-bøde: Halvanden million blev til 100.000 kroner
Illustration: Rie/Bigstock.
Ilva har fået Danmarks første GDPR-bøde for ulovligt at have gemt oplysninger på 350.000 kunder. Anklagemyndigheden krævede halvanden million - men bøden blev kun 100.000 kroner. Nu overvejer Anklagemyndigheden at tage sagen i Landsretten.
Adam Fribo
12. februar 2021 kl. 14:19
errorÆldre end 30 dage
Adam Fribo
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Møbelkæden Ilva har i dag fået Danmarks første GDPR-bøde.

Det skriver Østjyllands Politi i en pressemeddelelse.

Anklagemyndigheden krævede en bøde på halvanden million kroner i sagen, der startede tilbage i 2019 og bunder i, at Ilva har gemt et ulovligt kundekartotek med 350.000 kunders oplysninger i form af navne, adresser, telefonnumre, e-mails og købshistorik.

Alligevel blev bøden blot på 100.000 kroner.

Artiklen fortsætter efter annoncen

Sagen har fået særlig opmærksomhed, fordi det er den første af sin slags herhjemme - og derfor er den afgørende i forhold til fastsættelse af bødeniveauet for GDPR-forseelser i Danmark.

Derfor overvejer Anklagemyndigheden nu at anke dommen.

»Dette er den første sag mod en virksomhed, hvor vi har skullet fastsætte bødeniveauet efter de skærpede EU-regler om udmåling. Udgangspunktet for os har været Datatilsynets bødemodel, der blandt andet er baseret på koncernens omsætning. Vi har noteret os, at byretten har vurderet, at bøden skulle være meget lavere, og det får os da til at overveje, om sagen skal prøves ved Vestre Landsret,« udtalerspecialanklager ved Østjyllands Politi Jan Østergaard i pressemeddelelsen.

add
add
20 kommentarer.  Hop til debatten
Fortsæt din læsning
Debatten
Log ind for at deltage i debatten.
settingsDebatindstillinger
20
Kell Ørhøj
19. februar 2021 kl. 22:38

Bogføringsloven kræver altså ikke 10 år, men 5 år. Og der kan sagtens være informationer som bogføringsloven ikke kræver opbevaret ...

  • more_vert
    • insert_linkKopier link
18
Knud Larsen
16. februar 2021 kl. 08:51

Ja så er der noget galt med at være compliant

  • more_vert
    • insert_linkKopier link
17
Denny Christensen
16. februar 2021 kl. 07:49

Klart billigere end hvad det koster at være compliant...

  • more_vert
    • insert_linkKopier link
16
Knud Larsen
15. februar 2021 kl. 12:49

Bødens størrelse er måske rimelig nok. Det var et gammelt system der var parkeret. Ingen havde forestillet sig i 1990, at det vill blive så vildt med GDPR. Meget få systemer var bygget til at slette data dengang. Kun en dygtig database administrator kunne gøre det med risiko for inkonsekvens. Databaser var ofte noget man betalte for også for hver udvidelse, så de var nærmest konstrueret til at gemme så meget som muligt for så udløste det frlere licenser. Skat er helt vilde med, at man skal gemme data i mange år så de kan krydsrevidere med andre. Mere end 10 år er påkrævet.

Så det var vel på tide at vi igen fik en grundig debat og ajourføring af dette emne i lys af forældet lovgivning. Det Medicinske direktiv er også krævende. Der er ikke nogen forældelsesfrist. Du skal gemme data så læmge et produkt er i burg, det rækker altså langt ud over produktionsstop. Skal man så bruge ekstra penge for at anonymisere data? Man er pga. af tracking pålagt at kunne identificere alt? Disse forhold har jeg aldrig set belyst? Hvorfor mon? Og dommere lever i en helt anden verden rigtigt nok.

  • more_vert
    • insert_linkKopier link
15
Snurre Jensen
15. februar 2021 kl. 09:36

Dejligt med en mere udførlig beskrivelse.

Detaljerytteren i mig kunne dog godt tænke sig at vide om de "ca. 350.000 personoplysninger" er det samme som oplysninger om 350K unikke personer? Eller om antallet af personer er lavere og at man så har talt navn, adresse, tlf. nummer etc. sammen?

På positivsiden synes jeg det er godt at se at selv indenfor GDPR er man uskyldig indtil andet er bevist og at det er op til anklagemyndigheden at løfte bevisbyrden.

På negativsiden synes jeg dog det er lidt beskæmmende at se at der gives rabat fordi det der med IT og data åbenbart er svært. Det er godtnok tyndt!

  • more_vert
    • insert_linkKopier link
14
Bjørn Grønbæk
15. februar 2021 kl. 09:13

Retten i Århus skriver selv mere detaljeret om hvorfor bøden sættes så lavt: https://domstol.dk/aarhus/aktuelt/2021/2/selskab-idoemt-en-boede-paa-100000-kr/

Uanset om man er enig eller ej er det også interessante betragtninge. De lægger bl.a. vægt på at det ikke er bevist at det er var en forsætlig overtrædelse og at de registrerede ikke har lidt skade. Desuden har de taget udgangspunkt i selskabets omsætning, og ikke i koncernens omsætning.

  • more_vert
    • insert_linkKopier link
13
Henrik Eriksen
15. februar 2021 kl. 09:07

Med bøder i den størrelse er det billigere at betale bøden end at rydde op i sit IT System.

Ja, og udgangspunktet på 1½ million er da meget bedre.

Ud af en omsætning på næsten to milliarder er det ikke engang en promille.

Noget helt andet er, at give bøder til en virksomhed er komplet godnat! Hvem betaler dén bøde når det kommer til stykket? Kunderne! Lad være med at bilde mig ind at direktørerne eller afdelingslederne får denne bøde modregnet i deres lønninger.

Det burde kunne lade sig gøre at finde den eller de ansvarlige, og så give bøden til dem!

Alt andet er da pip.

  • more_vert
    • insert_linkKopier link
12
Lars Jensen
15. februar 2021 kl. 08:02

Med bøder i den størrelse er det billigere at betale bøden end at rydde op i sit IT System. Kalkuleret risiko. Bliver vi opdaget, så betaler vi.

  • more_vert
    • insert_linkKopier link
11
Peter Tagesen
14. februar 2021 kl. 12:42

https://finans.dk/erhverv/ECE12461134/hm-faar-kaempeboede-for-brud-paa-gdpr/?ctxref=forside

Jeg er godt klar over at de to sager dårligt kan sammenlignes. Men der blev i sin tid udtalt, at GDPR-bøder skulle have en størrelse, der kunne mærkes på en virksomheds pengepung.

Det signal er så ikke nået helt til tops herhjemme. For 100.000 kr følger tilsyneladende dansk sædvane med lave legetøjsbøder, der nærmest kan betales med matadorpenge.

  • more_vert
    • insert_linkKopier link
10
Jakob Dahl
14. februar 2021 kl. 10:46

Mon ikke den dom bliver anket? Eftersom det er den første på sit område bliver den efter al sandsynlighed anket, en byretsdom får næppe lov til at skabe præcedens

  • more_vert
    • insert_linkKopier link
9
Lars Vosgerau
14. februar 2021 kl. 02:44

Det er imponerende!

  • more_vert
    • insert_linkKopier link
8
Emil Kampp
13. februar 2021 kl. 12:53

Det er domstolen der har fastsat beløbet.

Det virker som om de dommere der sidder og dømmer IT sager ikke ved, hvor mange penge der går gennem en virksomhed i et moderne samfund, og ikke forstår, hvor stor person skade det gør på individet at få deres personlige information lækket.

  • more_vert
    • insert_linkKopier link
6
Lars Vosgerau
12. februar 2021 kl. 21:11

Det er en flok kolbøtter og amatører, der sidder på Dansk Datatilsynet!

Det bliver bedre med tiden!

  • more_vert
    • insert_linkKopier link
5
Chriztoffer Hansen
12. februar 2021 kl. 20:27

Kan det overhovedet mærkes hos dem?

... hvis det var en selvstændig butik, vil der være hårdt. For en landsdækkende kæde 😆😆😆

  • more_vert
    • insert_linkKopier link
4
Michael Madsen
12. februar 2021 kl. 16:48

Det er jo til grin, det er jo ikke særlig meget for sådan en virksomhed? Kan det overhovedet mærkes hos dem?

  • more_vert
    • insert_linkKopier link
3
brian hansen
12. februar 2021 kl. 15:51

Så det betyder vel reelt så at værdien af personfølsomme oplysninger kan fastsættes (indtil videre) til sølle 29 øre pr person

  • more_vert
    • insert_linkKopier link
2
Christian Provstgaard
12. februar 2021 kl. 14:48

Artikel 83 i GDPR-forordningen fastslår ellers, at bøder skal have "afskrækkende virkning".

100.000 kr. kan næppe afskrække nogen.

Oftest vil investeringen i en lovmedholdig IT-løsning vel langt overstige dette beløb - så alene af den grund vil ingen blive "afskrækket" af denne bøde - snarere det modsatte.

Artikel 83, stk 1: "Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning."

  • more_vert
    • insert_linkKopier link