Retten i Lyngby: Afgørelse om overtrædelse af Databeskyttelsesforordningen vedrørende opbevaring af personoplysninger

Tiltalte A/S, en hotelvirksomhed, blev tiltalt for overtrædelse af Databeskyttelsesforordningen (Europa-Parlamentet og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)) artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2.

Sagens Baggrund

Anklagemyndigheden påstod en bødestraf på 350.000 kr. for Tiltalte A/S' undladelse af at opfylde sin forpligtelse som dataansvarlig i perioden fra den 25. maj 2018 til december 2018. Virksomheden havde opbevaret personoplysninger i sit system Opera i længere tid end nødvendigt til de formål, hvortil oplysningerne blev behandlet. Dette skyldtes manglende procedurer for automatisk sletning og fravær af nedskrevne retningslinjer for manuel sletning. Omkring 500.000 tidligere kundeprofiler, indeholdende navn, adresse, telefonnummer, e-mailadresse, besøgshistorik, pasoplysninger og præferencer, var opbevaret, uagtet at opbevaringen ikke længere var nødvendig.

Virksomhedens Bestræbelser og Udfordringer

Tiltalte A/S nægtede sig skyldig og forklarede, at de havde prioriteret GDPR-arbejdet højt og igangsatte en data compliance proces i efteråret 2017 i samarbejde med Bech Bruun, der udførte en Gap Analyse. Virksomheden havde fastsat en automatisk slettefrist på 380 dage for inaktive profiler i deres Opera-system, som leveres af Oracle. Det viste sig dog i foråret 2018, at den automatiske sletning ikke fungerede fuldt ud på grund af tekniske forhold i systemet, såsom "sendefaktura" eller "history flag", der blokerede sletning.

Virksomheden var i dialog med Oracle om en GDPR-version af systemet, men løsningen trak ud. I september 2018 iværksatte Tiltalte A/S en begrænset manuel sletning, og i november 2018 blev en mere omfattende sletning iværksat, delvist ved hjælp af digitale assistenter (robotter). Omkring 500.000-600.000 profiler blev slettet i perioden efter december 2018.

Datatilsynets Inddragelse

Datatilsynet foretog et tilsynsbesøg den 1. oktober 2018, hvor de konstaterede problemer med opbevaring af gamle profiler, herunder en profil fra 2010. Datatilsynet anmeldte Tiltalte A/S til Nordsjællands Politi den 28. juli 2020 og indstillede oprindeligt en bøde på 1.100.000 kr. baseret på virksomhedens nettoomsætning i 2018. Efter en bindende afgørelse fra Det Europæiske Databeskyttelsesråd (EDPB) i en lignende sag (WhatsApp) og en ny vurdering baseret på Tiltalte A/S' nettoomsætning i 2020, justerede Datatilsynet sin indstilling til en bøde på 350.000 kr.

Datatilsynet lagde i skærpende retning vægt på overtrædelsens omfang og virksomhedens viden om, at behandlingen af personoplysninger ikke overholdt forordningen. I formildende retning lagde Datatilsynet vægt på dialogen med Oracle, at oplysningerne ikke var fortrolige eller følsomme, og at de ikke blev aktivt benyttet.

Rettens Afgørelse

Retten fandt, at Tiltalte A/S som dataansvarlig for behandling af personoplysninger i systemet Opera, senest i december 2017, blev opmærksom på, at personoplysninger omfattet af Databeskyttelsesforordningen artikel 6 blev opbevaret i længere tid end nødvendigt. Virksomhedens procedure for automatisk sletning af kundeprofiler var ikke indrettet til at understøtte automatisk sletning i alle relevante tilfælde.

Ved gerningsperiodens begyndelse den 25. maj 2018 valgte virksomheden forsætligt at opretholde den ulovlige opbevaring og undlod at indføre nedskrevne retningslinjer for manuel sletning, ligesom manuel sletning ikke blev iværksat på dette tidspunkt. Retten fandt det sandsynliggjort, at en fuldstændig sletning af alle kundeprofiler den 25. maj 2018 ville have været teknisk mulig, men kommercielt ødelæggende.

Selvom virksomheden fra gerningsperiodens begyndelse havde forsæt til at opretholde den ulovlige opbevaring, fandt retten det bevist, at virksomheden på dette tidspunkt ikke havde et fuldt overblik over omfanget af de ulovligt opbevarede personlige kundeprofiler. Efter vidneforklaringer blev det bevist, at omfanget af ulovligt opbevarede tidligere kundeprofiler lå på ca. 500.000. Hver profil indeholdt i al væsentlighed informationer om en identificerbar fysisk person, selvom ikke alle profiler nødvendigvis indeholdt navn, adresse, telefonnummer, e-mailadresse, besøgshistorik, pasoplysninger og præferencer for opholdet.

Retten fandt det bevist, at Tiltalte A/S først i september 2018 fik viden om det fulde omfang af ulovligt opbevarede personprofiler. Selvom virksomheden ikke indførte nedskrevne procedurer for manuel sletning, iværksatte den i september 2018 en begrænset manuel sletning, hvorefter den i november 2018 iværksatte den omfattende sletning, der medførte, at de ulovligt opbevarede kundeprofiler blev slettet (anonymiseret) i perioden efter december 2018.

Domfældelse og Strafudmåling

I dette omfang fandt retten Tiltalte A/S skyldig i overtrædelse af Databeskyttelsesforordningen artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2, hvilket er strafbart i dansk ret, jf. Databeskyttelsesloven § 41, stk. 1, nr. 4, jf. stk. 3 og stk. 6. Retten bemærkede, at bestemmelserne i den danske lovgivning burde have været citeret i anklageskriftet.

To dommere stemte for at tildele Tiltalte A/S en advarsel, hvorved straffen bortfalder, jf. Straffeloven § 83, 2. pkt.. En dommer stemte for at fastsætte straffen til en bøde på 175.000 kr. Dom blev afsagt efter stemmeflertallet.

Både flertallet og mindretallet tiltrådte principperne og beregningerne for udmåling, der fremgår af Datatilsynets notat af 27. januar 2022 vedrørende fastsættelse af bødeniveau. De lagde vægt på de samme skærpende og formildende forhold, som nævnt i notatet. Retten lagde i formildende retning tillige vægt på, at der var tale om en førstegangsovertrædelse af formel karakter, og at Tiltalte A/S efter opdagelsen har anvendt omfattende ressourcer på at rette op. Endelig lagde retten vægt på, at sagens behandlingstid har varet i mere end 3 år, uden at dette kunne tilskrives Tiltalte A/S' forhold.

Afgørelse

Den af Tiltalte A/S forskyldte straf bortfalder. Statskassen betaler sagens omkostninger.