Search for a command to run...
Myndighed
Dato
Dokumenttype
Resultat
Sted
Emner
Dokument
Parter
Tiltalte
T
Anklagemyndigheden
Anklagemyndigheden
Relaterede love
Tiltalte A/S, en hotelvirksomhed, blev tiltalt for overtrædelse af Databeskyttelsesforordningen (Europa-Parlamentet og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse)) artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2.
Anklagemyndigheden påstod en bødestraf på 350.000 kr. for Tiltalte A/S' undladelse af at opfylde sin forpligtelse som dataansvarlig i perioden fra den 25. maj 2018 til december 2018. Virksomheden havde opbevaret personoplysninger i sit system Opera i længere tid end nødvendigt til de formål, hvortil oplysningerne blev behandlet. Dette skyldtes manglende procedurer for automatisk sletning og fravær af nedskrevne retningslinjer for manuel sletning. Omkring 500.000 tidligere kundeprofiler, indeholdende navn, adresse, telefonnummer, e-mailadresse, besøgshistorik, pasoplysninger og præferencer, var opbevaret, uagtet at opbevaringen ikke længere var nødvendig.
Tiltalte A/S nægtede sig skyldig og forklarede, at de havde prioriteret GDPR-arbejdet højt og igangsatte en data compliance proces i efteråret 2017 i samarbejde med Bech Bruun, der udførte en Gap Analyse. Virksomheden havde fastsat en automatisk slettefrist på 380 dage for inaktive profiler i deres Opera-system, som leveres af Oracle. Det viste sig dog i foråret 2018, at den automatiske sletning ikke fungerede fuldt ud på grund af tekniske forhold i systemet, såsom "sendefaktura" eller "history flag", der blokerede sletning.
Virksomheden var i dialog med Oracle om en GDPR-version af systemet, men løsningen trak ud. I september 2018 iværksatte Tiltalte A/S en begrænset manuel sletning, og i november 2018 blev en mere omfattende sletning iværksat, delvist ved hjælp af digitale assistenter (robotter). Omkring 500.000-600.000 profiler blev slettet i perioden efter december 2018.
Datatilsynet foretog et tilsynsbesøg den 1. oktober 2018, hvor de konstaterede problemer med opbevaring af gamle profiler, herunder en profil fra 2010. Datatilsynet anmeldte Tiltalte A/S til Nordsjællands Politi den 28. juli 2020 og indstillede oprindeligt en bøde på 1.100.000 kr. baseret på virksomhedens nettoomsætning i 2018. Efter en bindende afgørelse fra Det Europæiske Databeskyttelsesråd (EDPB) i en lignende sag (WhatsApp) og en ny vurdering baseret på Tiltalte A/S' nettoomsætning i 2020, justerede Datatilsynet sin indstilling til en bøde på 350.000 kr.
Datatilsynet lagde i skærpende retning vægt på overtrædelsens omfang og virksomhedens viden om, at behandlingen af personoplysninger ikke overholdt forordningen. I formildende retning lagde Datatilsynet vægt på dialogen med Oracle, at oplysningerne ikke var fortrolige eller følsomme, og at de ikke blev aktivt benyttet.
Retten fandt, at Tiltalte A/S som dataansvarlig for behandling af personoplysninger i systemet Opera, senest i december 2017, blev opmærksom på, at personoplysninger omfattet af Databeskyttelsesforordningen artikel 6 blev opbevaret i længere tid end nødvendigt. Virksomhedens procedure for automatisk sletning af kundeprofiler var ikke indrettet til at understøtte automatisk sletning i alle relevante tilfælde.
Ved gerningsperiodens begyndelse den 25. maj 2018 valgte virksomheden forsætligt at opretholde den ulovlige opbevaring og undlod at indføre nedskrevne retningslinjer for manuel sletning, ligesom manuel sletning ikke blev iværksat på dette tidspunkt. Retten fandt det sandsynliggjort, at en fuldstændig sletning af alle kundeprofiler den 25. maj 2018 ville have været teknisk mulig, men kommercielt ødelæggende.
Selvom virksomheden fra gerningsperiodens begyndelse havde forsæt til at opretholde den ulovlige opbevaring, fandt retten det bevist, at virksomheden på dette tidspunkt ikke havde et fuldt overblik over omfanget af de ulovligt opbevarede personlige kundeprofiler. Efter vidneforklaringer blev det bevist, at omfanget af ulovligt opbevarede tidligere kundeprofiler lå på ca. 500.000. Hver profil indeholdt i al væsentlighed informationer om en identificerbar fysisk person, selvom ikke alle profiler nødvendigvis indeholdt navn, adresse, telefonnummer, e-mailadresse, besøgshistorik, pasoplysninger og præferencer for opholdet.
Retten fandt det bevist, at Tiltalte A/S først i september 2018 fik viden om det fulde omfang af ulovligt opbevarede personprofiler. Selvom virksomheden ikke indførte nedskrevne procedurer for manuel sletning, iværksatte den i september 2018 en begrænset manuel sletning, hvorefter den i november 2018 iværksatte den omfattende sletning, der medførte, at de ulovligt opbevarede kundeprofiler blev slettet (anonymiseret) i perioden efter december 2018.
I dette omfang fandt retten Tiltalte A/S skyldig i overtrædelse af Databeskyttelsesforordningen artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2, hvilket er strafbart i dansk ret, jf. Databeskyttelsesloven § 41, stk. 1, nr. 4, jf. stk. 3 og stk. 6. Retten bemærkede, at bestemmelserne i den danske lovgivning burde have været citeret i anklageskriftet.
To dommere stemte for at tildele Tiltalte A/S en advarsel, hvorved straffen bortfalder, jf. Straffeloven § 83, 2. pkt.. En dommer stemte for at fastsætte straffen til en bøde på 175.000 kr. Dom blev afsagt efter stemmeflertallet.
Både flertallet og mindretallet tiltrådte principperne og beregningerne for udmåling, der fremgår af Datatilsynets notat af 27. januar 2022 vedrørende fastsættelse af bødeniveau. De lagde vægt på de samme skærpende og formildende forhold, som nævnt i notatet. Retten lagde i formildende retning tillige vægt på, at der var tale om en førstegangsovertrædelse af formel karakter, og at Tiltalte A/S efter opdagelsen har anvendt omfattende ressourcer på at rette op. Endelig lagde retten vægt på, at sagens behandlingstid har varet i mere end 3 år, uden at dette kunne tilskrives Tiltalte A/S' forhold.
Den af Tiltalte A/S forskyldte straf bortfalder. Statskassen betaler sagens omkostninger.
Retten i Aarhus har idømt møbelkæden Ilva en bøde for at have opbevaret 350.000 personoplysninger i et udfaset it-system i strid med GDPR-reglerne.
DatatilsynetDatatilsynetTiltalte ApS blev tiltalt for overtrædelse af Databeskyttelsesloven § 8, stk. 4, jf. stk. 3, jf. Databeskyttelsesloven § 41, stk. 2, nr. 1, jf. stk. 6, jf. stk. 3, samt databeskyttelsesforordningens artikel 83, stk. 2 og stk. 5, litra a, jf. stk. 9.
Anklagen vedrørte en hændelse den 27. januar 2020, hvor Tiltalte ApS som dataansvarlig uberettiget videregav oplysninger om Forurettedes strafbare forhold. Dette skete via en e-mail til virksomhedens kunder, hvori det blev oplyst, at Forurettede havde begået underslæb mod Tiltalte ApS.
Videregivelsen skete uden Forurettedes samtykke og uagtet at hensynet til Tiltalte ApS' interesser ikke klart oversteg Forurettedes interesse i hemmeligholdelse.
Datatilsynet anmelder Det Kongelige Teater til politiet for ikke at have fastsat regler for sletning af kundeoplysninger til markedsføringsbrug. Teateret indstilles til en bøde på 250.000 kr.
Datatilsynet har valgt at politianmelde Lyngby-Taarbæk Kommune, da tilsynet vurderer, at kommunen ikke har levet op til kravene om et passende sikkerhedsniveau i databeskyttelsesforordningen.
Person 1, direktør og ejer af Tiltalte ApS, forklarede, at han var medejer i januar 2020, da mailen blev sendt. Han forfattede mailen, som Person 2 sendte ud til kunder, Forurettede havde været involveret med.
Baggrunden for mailen var, at Forurettede tidligere havde begået underslæb og indgået et forlig. I 2020 blev det konstateret, at Forurettede igen havde manipuleret systemer og påført sit eget kontonummer på kundefakturaer.
Det blev anset for nødvendigt at informere kunderne om Forurettedes fratræden, da han havde optaget lån hos flere kunder, og der var risiko for, at han ville tage kunder med sig, da han startede eget revisionsfirma.
Forurettede forklarede, at han blev afskediget den 20. januar 2020. Han blev dømt for forhold vedrørende virksomheden, men ikke mod kunder. Han hørte først om mailen fra en kunde i februar 2020 og anmeldte det til Datatilsynet to år senere, da han håbede på en mindelig løsning. Han følte sig dårligt behandlet og oplevede, at kunder og banker afviste at bruge ham som revisor på grund af rygter startet af Tiltalte ApS.
Vidne, stifter af Tiltalte ApS, forklarede, at Forurettede misbrugte selskabets dankort kort tid efter stiftelsen. Forurettede havde tidligere begået underslæb i 2018, hvilket resulterede i et forlig. I 2020 blev det igen konstateret, at Forurettede havde begået underslæb. Vidne var ikke involveret i afsendelsen af mailen.
### Formål og baggrund Lovforslaget, kaldet "datadelingsloven", har til formål at supplere og gennemføre Europa-Parlamen...
Læs mere
Sagen omhandler to sammenhængende sager anlagt af **BLUE ENERGY A/S** mod tre konkurrerende selskaber i energibranchen: ...
Læs mereNye regler for elektronisk kontrol med fodlænke ved opholdsforbud
