Møbelkæden Ilva har i dag fået Danmarks første GDPR-bøde.
Det skriver Østjyllands Politi i en pressemeddelelse.
Anklagemyndigheden krævede en bøde på halvanden million kroner i sagen, der startede tilbage i 2019 og bunder i, at Ilva har gemt et ulovligt kundekartotek med 350.000 kunders oplysninger i form af navne, adresser, telefonnumre, e-mails og købshistorik.
Alligevel blev bøden blot på 100.000 kroner.
Sagen har fået særlig opmærksomhed, fordi det er den første af sin slags herhjemme - og derfor er den afgørende i forhold til fastsættelse af bødeniveauet for GDPR-forseelser i Danmark.
Derfor overvejer Anklagemyndigheden nu at anke dommen.
»Dette er den første sag mod en virksomhed, hvor vi har skullet fastsætte bødeniveauet efter de skærpede EU-regler om udmåling. Udgangspunktet for os har været Datatilsynets bødemodel, der blandt andet er baseret på koncernens omsætning. Vi har noteret os, at byretten har vurderet, at bøden skulle være meget lavere, og det får os da til at overveje, om sagen skal prøves ved Vestre Landsret,« udtalerspecialanklager ved Østjyllands Politi Jan Østergaard i pressemeddelelsen.
- Datatilsynet politianmelder Vejle Kommune: Kræver GDPR-bøde på 200.000 kroner
- Anklagemyndigheden anker ILVA-dommen: Næste stop landsretten
- Svenskerne delte GDPR-bøder ud for 110 millioner kroner i 2020
- Anklager: GDPR-bøde på 0,01 procent af omsætningen kan danne præcedens
- Med ILVA-bøden risikerer Danmark at blive et europæisk bødely: »100.000 kroner i bøde til en større virksomhed er peanuts«
- Denne artikel
- Nu starter den første GDPR-retssag: Anklagemyndigheden går efter stor bøde
- Politiet rejser sag mod dansk møbelfirma i principiel GDPR-sag
- emailE-mail
- linkKopier link

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
Fortsæt din læsning
- Sortér efter chevron_right
- Trådet debat
Bogføringsloven kræver altså ikke 10 år, men 5 år. Og der kan sagtens være informationer som bogføringsloven ikke kræver opbevaret ...
Ja så er der noget galt med at være compliant
Klart billigere end hvad det koster at være compliant...
Bødens størrelse er måske rimelig nok. Det var et gammelt system der var parkeret. Ingen havde forestillet sig i 1990, at det vill blive så vildt med GDPR. Meget få systemer var bygget til at slette data dengang. Kun en dygtig database administrator kunne gøre det med risiko for inkonsekvens. Databaser var ofte noget man betalte for også for hver udvidelse, så de var nærmest konstrueret til at gemme så meget som muligt for så udløste det frlere licenser. Skat er helt vilde med, at man skal gemme data i mange år så de kan krydsrevidere med andre. Mere end 10 år er påkrævet.
Så det var vel på tide at vi igen fik en grundig debat og ajourføring af dette emne i lys af forældet lovgivning. Det Medicinske direktiv er også krævende. Der er ikke nogen forældelsesfrist. Du skal gemme data så læmge et produkt er i burg, det rækker altså langt ud over produktionsstop. Skal man så bruge ekstra penge for at anonymisere data? Man er pga. af tracking pålagt at kunne identificere alt? Disse forhold har jeg aldrig set belyst? Hvorfor mon? Og dommere lever i en helt anden verden rigtigt nok.
Dejligt med en mere udførlig beskrivelse.
Detaljerytteren i mig kunne dog godt tænke sig at vide om de "ca. 350.000 personoplysninger" er det samme som oplysninger om 350K unikke personer? Eller om antallet af personer er lavere og at man så har talt navn, adresse, tlf. nummer etc. sammen?
På positivsiden synes jeg det er godt at se at selv indenfor GDPR er man uskyldig indtil andet er bevist og at det er op til anklagemyndigheden at løfte bevisbyrden.
På negativsiden synes jeg dog det er lidt beskæmmende at se at der gives rabat fordi det der med IT og data åbenbart er svært. Det er godtnok tyndt!
Retten i Århus skriver selv mere detaljeret om hvorfor bøden sættes så lavt: https://domstol.dk/aarhus/aktuelt/2021/2/selskab-idoemt-en-boede-paa-100000-kr/
Uanset om man er enig eller ej er det også interessante betragtninge. De lægger bl.a. vægt på at det ikke er bevist at det er var en forsætlig overtrædelse og at de registrerede ikke har lidt skade. Desuden har de taget udgangspunkt i selskabets omsætning, og ikke i koncernens omsætning.
Med bøder i den størrelse er det billigere at betale bøden end at rydde op i sit IT System.
Ja, og udgangspunktet på 1½ million er da meget bedre.
Ud af en omsætning på næsten to milliarder er det ikke engang en promille.
Noget helt andet er, at give bøder til en virksomhed er komplet godnat! Hvem betaler dén bøde når det kommer til stykket? Kunderne! Lad være med at bilde mig ind at direktørerne eller afdelingslederne får denne bøde modregnet i deres lønninger.
Det burde kunne lade sig gøre at finde den eller de ansvarlige, og så give bøden til dem!
Alt andet er da pip.
Med bøder i den størrelse er det billigere at betale bøden end at rydde op i sit IT System. Kalkuleret risiko. Bliver vi opdaget, så betaler vi.
https://finans.dk/erhverv/ECE12461134/hm-faar-kaempeboede-for-brud-paa-gdpr/?ctxref=forside
Jeg er godt klar over at de to sager dårligt kan sammenlignes. Men der blev i sin tid udtalt, at GDPR-bøder skulle have en størrelse, der kunne mærkes på en virksomheds pengepung.
Det signal er så ikke nået helt til tops herhjemme. For 100.000 kr følger tilsyneladende dansk sædvane med lave legetøjsbøder, der nærmest kan betales med matadorpenge.
Mon ikke den dom bliver anket? Eftersom det er den første på sit område bliver den efter al sandsynlighed anket, en byretsdom får næppe lov til at skabe præcedens
Det er domstolen der har fastsat beløbet.
Det virker som om de dommere der sidder og dømmer IT sager ikke ved, hvor mange penge der går gennem en virksomhed i et moderne samfund, og ikke forstår, hvor stor person skade det gør på individet at få deres personlige information lækket.
Det er en flok kolbøtter og amatører, der sidder på Dansk Datatilsynet!
Det er domstolen der har fastsat beløbet.
Det er en flok kolbøtter og amatører, der sidder på Dansk Datatilsynet!
Det bliver bedre med tiden!
Kan det overhovedet mærkes hos dem?
... hvis det var en selvstændig butik, vil der være hårdt. For en landsdækkende kæde ???
Det er jo til grin, det er jo ikke særlig meget for sådan en virksomhed? Kan det overhovedet mærkes hos dem?
Så det betyder vel reelt så at værdien af personfølsomme oplysninger kan fastsættes (indtil videre) til sølle 29 øre pr person
Artikel 83 i GDPR-forordningen fastslår ellers, at bøder skal have "afskrækkende virkning".
100.000 kr. kan næppe afskrække nogen.
Oftest vil investeringen i en lovmedholdig IT-løsning vel langt overstige dette beløb - så alene af den grund vil ingen blive "afskrækket" af denne bøde - snarere det modsatte.
Artikel 83, stk 1: "Hver tilsynsmyndighed sikrer, at pålæggelse af administrative bøder i henhold til denne artikel for overtrædelse af denne forordning som omhandlet i stk. 4, 5 og 6 i hver enkelt sag er effektiv, står i rimeligt forhold til overtrædelsen og har afskrækkende virkning."
Latterligt.
Alle hackerne har ret persondata har ingen værdi, der er derfor de sælger kreditkort info i store bundles til ingen penge.