Ilva får Danmarks første GDPR-bøde: Halvanden million blev til 100.000 kroner

12. februar 2021 kl. 14:1920
Ilva får Danmarks første GDPR-bøde: Halvanden million blev til 100.000 kroner
Illustration: Rie/Bigstock.
Ilva har fået Danmarks første GDPR-bøde for ulovligt at have gemt oplysninger på 350.000 kunder. Anklagemyndigheden krævede halvanden million - men bøden blev kun 100.000 kroner. Nu overvejer Anklagemyndigheden at tage sagen i Landsretten.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Møbelkæden Ilva har i dag fået Danmarks første GDPR-bøde.

Det skriver Østjyllands Politi i en pressemeddelelse.

Anklagemyndigheden krævede en bøde på halvanden million kroner i sagen, der startede tilbage i 2019 og bunder i, at Ilva har gemt et ulovligt kundekartotek med 350.000 kunders oplysninger i form af navne, adresser, telefonnumre, e-mails og købshistorik.

Alligevel blev bøden blot på 100.000 kroner.

Artiklen fortsætter efter annoncen

Sagen har fået særlig opmærksomhed, fordi det er den første af sin slags herhjemme - og derfor er den afgørende i forhold til fastsættelse af bødeniveauet for GDPR-forseelser i Danmark.

Derfor overvejer Anklagemyndigheden nu at anke dommen.

»Dette er den første sag mod en virksomhed, hvor vi har skullet fastsætte bødeniveauet efter de skærpede EU-regler om udmåling. Udgangspunktet for os har været Datatilsynets bødemodel, der blandt andet er baseret på koncernens omsætning. Vi har noteret os, at byretten har vurderet, at bøden skulle være meget lavere, og det får os da til at overveje, om sagen skal prøves ved Vestre Landsret,« udtalerspecialanklager ved Østjyllands Politi Jan Østergaard i pressemeddelelsen.

20 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
20
19. februar 2021 kl. 22:38

Bogføringsloven kræver altså ikke 10 år, men 5 år. Og der kan sagtens være informationer som bogføringsloven ikke kræver opbevaret ...

18
16. februar 2021 kl. 08:51

Ja så er der noget galt med at være compliant

17
16. februar 2021 kl. 07:49

Klart billigere end hvad det koster at være compliant...

16
15. februar 2021 kl. 12:49

Bødens størrelse er måske rimelig nok. Det var et gammelt system der var parkeret. Ingen havde forestillet sig i 1990, at det vill blive så vildt med GDPR. Meget få systemer var bygget til at slette data dengang. Kun en dygtig database administrator kunne gøre det med risiko for inkonsekvens. Databaser var ofte noget man betalte for også for hver udvidelse, så de var nærmest konstrueret til at gemme så meget som muligt for så udløste det frlere licenser. Skat er helt vilde med, at man skal gemme data i mange år så de kan krydsrevidere med andre. Mere end 10 år er påkrævet.

Så det var vel på tide at vi igen fik en grundig debat og ajourføring af dette emne i lys af forældet lovgivning. Det Medicinske direktiv er også krævende. Der er ikke nogen forældelsesfrist. Du skal gemme data så læmge et produkt er i burg, det rækker altså langt ud over produktionsstop. Skal man så bruge ekstra penge for at anonymisere data? Man er pga. af tracking pålagt at kunne identificere alt? Disse forhold har jeg aldrig set belyst? Hvorfor mon? Og dommere lever i en helt anden verden rigtigt nok.

15
15. februar 2021 kl. 09:36

Dejligt med en mere udførlig beskrivelse.

Detaljerytteren i mig kunne dog godt tænke sig at vide om de "ca. 350.000 personoplysninger" er det samme som oplysninger om 350K unikke personer? Eller om antallet af personer er lavere og at man så har talt navn, adresse, tlf. nummer etc. sammen?

På positivsiden synes jeg det er godt at se at selv indenfor GDPR er man uskyldig indtil andet er bevist og at det er op til anklagemyndigheden at løfte bevisbyrden.

På negativsiden synes jeg dog det er lidt beskæmmende at se at der gives rabat fordi det der med IT og data åbenbart er svært. Det er godtnok tyndt!

14
15. februar 2021 kl. 09:13

Retten i Århus skriver selv mere detaljeret om hvorfor bøden sættes så lavt: https://domstol.dk/aarhus/aktuelt/2021/2/selskab-idoemt-en-boede-paa-100000-kr/

Uanset om man er enig eller ej er det også interessante betragtninge. De lægger bl.a. vægt på at det ikke er bevist at det er var en forsætlig overtrædelse og at de registrerede ikke har lidt skade. Desuden har de taget udgangspunkt i selskabets omsætning, og ikke i koncernens omsætning.

13
15. februar 2021 kl. 09:07

Med bøder i den størrelse er det billigere at betale bøden end at rydde op i sit IT System.

Ja, og udgangspunktet på 1½ million er da meget bedre.

Ud af en omsætning på næsten to milliarder er det ikke engang en promille.

Noget helt andet er, at give bøder til en virksomhed er komplet godnat! Hvem betaler dén bøde når det kommer til stykket? Kunderne! Lad være med at bilde mig ind at direktørerne eller afdelingslederne får denne bøde modregnet i deres lønninger.

Det burde kunne lade sig gøre at finde den eller de ansvarlige, og så give bøden til dem!

Alt andet er da pip.

12
15. februar 2021 kl. 08:02

Med bøder i den størrelse er det billigere at betale bøden end at rydde op i sit IT System. Kalkuleret risiko. Bliver vi opdaget, så betaler vi.

11
14. februar 2021 kl. 12:42

https://finans.dk/erhverv/ECE12461134/hm-faar-kaempeboede-for-brud-paa-gdpr/?ctxref=forside

Jeg er godt klar over at de to sager dårligt kan sammenlignes. Men der blev i sin tid udtalt, at GDPR-bøder skulle have en størrelse, der kunne mærkes på en virksomheds pengepung.

Det signal er så ikke nået helt til tops herhjemme. For 100.000 kr følger tilsyneladende dansk sædvane med lave legetøjsbøder, der nærmest kan betales med matadorpenge.

10
14. februar 2021 kl. 10:46

Mon ikke den dom bliver anket? Eftersom det er den første på sit område bliver den efter al sandsynlighed anket, en byretsdom får næppe lov til at skabe præcedens

9
14. februar 2021 kl. 02:44

Det er imponerende!

8
13. februar 2021 kl. 12:53

Det er domstolen der har fastsat beløbet.

Det virker som om de dommere der sidder og dømmer IT sager ikke ved, hvor mange penge der går gennem en virksomhed i et moderne samfund, og ikke forstår, hvor stor person skade det gør på individet at få deres personlige information lækket.

6
12. februar 2021 kl. 21:11

Det er en flok kolbøtter og amatører, der sidder på Dansk Datatilsynet!

Det bliver bedre med tiden!

5
12. februar 2021 kl. 20:27

Kan det overhovedet mærkes hos dem?

... hvis det var en selvstændig butik, vil der være hårdt. For en landsdækkende kæde ???

4
12. februar 2021 kl. 16:48

Det er jo til grin, det er jo ikke særlig meget for sådan en virksomhed? Kan det overhovedet mærkes hos dem?

3
12. februar 2021 kl. 15:51

Så det betyder vel reelt så at værdien af personfølsomme oplysninger kan fastsættes (indtil videre) til sølle 29 øre pr person

2
12. februar 2021 kl. 14:48

Artikel 83 i GDPR-forordningen fastslår ellers, at bøder skal have "afskrækkende virkning".

100.000 kr. kan næppe afskrække nogen.

Oftest vil investeringen i en lovmedholdig IT-løsning vel langt overstige dette beløb - så alene af den grund vil ingen blive "afskrækket" af denne bøde - snarere det modsatte.

Artikel 83, stk 1: "Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning."