Ilva GDPR bøde
Ilva GDPR bøde

ILVA har fået Danmarks første GDPR-bøde – men hvorfor er det vigtigt?

ABT

ILVA modtog den 12. februar 2021 Danmarks første GDPR-bøde, som lyder på 100.000 kroner. Men hvorfor er det vigtigt for dig? Det er det, fordi denne bøde er den første indikation af, hvad der kan ende i bøder, samt den første indikation på, hvor store bøder man kan forvente. Det er f.eks. værd at bemærke, at Datatilsynet indstillede ILVA til en bøde på 1,5 million kroner, hvilket er væsentligt højere end de 100.000 kroner, som bøden endte på. Læs her om sagen, og hvad vi kan lære af den.

Sagen kort fortalt

ILVA indstillet til en bøde på 1,5 mio. for ikke at følge kravet om sletning af forældet persondata

Den 11. juni 2019 indstillede Datatilsynet ILVA (dengang IDdesign A/S) til en bøde på 1,5 million for ikke at have slettet persondata på ca. 350.000 kunder. Problemet lå i, at ILVA ikke havde sat en slettefrist på denne persondata, hvilket betyder at ILVA ikke har taget stilling til, hvornår de ikke længere har et formål med at have denne persondata. Datatilsynet vurderede derfor, at ILVA ikke overholdte databeskyttelsesforordningens krav om sletning.

Den data ILVA havde gemt var i et gammelt system, som de brugte som et arkiv. Det var altså gammelt data, som burde have været slettet for længst.

Derfor endte bøden ikke på 1,5 million

Den 30. marts i 2020 rejste Østjyllands politi tiltale mod ILVA, og sagen skulle derfor for retten. Selvom Datatilsynet indstillede ILVA til en bøde på 1,5 million kroner, så er det retten, der afgør, om der har været en strafbar handling, og hvor stor bøden rent faktisk skal være.

Som nævnt faldt der dom den 12. februar 2021 og bøden endte på 100.00, altså væsentligt lavere end de 1.5 millioner, som Datatilsynet indstillede ILVA til. Hvilket der ifølge retten var flere årsager til:

  1. Datatilsynet havde sat bøden på baggrund af Lars Larsen Groups omsætning (det er Jysk-koncernen, der ejer ILVA), men retten mente, at bøden skulle udstedes på baggrund af ILVAs omsætning
  2. Der var tale om almindelige personoplysninger – ikke personfølsomme oplysninger
  3. Det var en førstegangsovertrædelse, når det kommer til GDPR
  4. Overtrædelsen var ifølge både retten og Datatilsynet af ”formel karakter”, da systemet med persondata ikke var et aktivt system, eller noget der blev brugt i dagligdagen. Overtrædelsen var derfor af teknisk karakter mere end af handling i ond tro.
  5. Ingen involverede havde lidt skade grundet sikkerhedsbruddet

Alle disse omstændigheder betød altså, at bøden endte på 100.000 kroner.

Bøden bærer præg af at være den første bøde

De 5 punkter, som retten lagde vægt på i deres begrundelse for nedsættelsen, viser, at GDPR-loven stadig er i en tidlig fase. Der blev lagt vægt på, at det var en førstegangsovertrædelse, og at det var af formel karakter som begrundelse for en nedsættelse. Det kan indikere, at bøder på et senere tidspunkt kan stige, når først der er blevet sat en streg i sandet om, hvad der er acceptabelt, og hvad der er et no-go.

Dommen kan også åbne en diskussion af, hvorvidt det rent faktisk har betydning, hvorvidt persondata er blevet udnyttet af IT-kriminelle eller ej. Bøden blev bl.a. nedsat, da ingen havde lidt skade af, at der ikke var blevet slettet persondata, men er det rent faktisk relevant for håndteringen af data?

Der er stadig mange spørgsmål, der skal besvares i fremtiden, men dommen illustrerer, at der formentlig skal ske en udnyttelse eller et tab af data for, at store GDPR-bøder vil blive givet i Danmark.

Det er også interessant, at bøden bliver afmålt ud fra ILVA’s omsætning og ikke Lars Larsen Group som koncern. Bøden havde uden tvivl været større, hvis det var blevet målt op imod moderselskabets omsætning. Det indikerer også, hvor GDPR-ansvaret i datterselskaber og virksomheder ligger. Den ligger på hver enkel virksomheds bord og ikke på koncernniveau.

Overblik og god struktur over persondata

Men hvad kan vi lære af sagen og bøden? Vi kan lære forskellige ting af bøden. Den oplagte er, at det er vigtigt at have styr på sine systemer, og hvor man opbevarer data. ILVA brugte som sådan ikke det gamle system fyldt med persondata, hvilket kan være årsagen til, at man ikke fik slettet data. Det kan vi kun gisne om, men bøden viser, at det er vigtigt at have overblik og struktur over, hvor og hvor længe man opbevarer persondata.

God struktur over ens data hænger også godt sammen med det fokus, som Datatilsynet havde i deres 15 tilsyn i efteråret. Her lagde de store vægt på, hvor god struktur virksomheder havde, når det kom til at dokumentere sikkerhedsbrud. Det er tydeligt, at GDPR-arbejdet i høj grad handler om struktur og god dokumentation af persondata. Man skal have styr på, hvorfor man opbevarer data, og hvor denne data ligger. Det er altså vigtigt at indtænke f.eks. dataminimering i sit GDPR-arbejde.

Størrelse på bøde kan blive et mønster

Da bøden er den første GDPR-bøde i Danmark, holder mange ekstra godt øje med udfaldet. Det skyldes, at den første bøde kan være med til at sætte dagsordenen for, hvilken størrelse de næste mange bøder kan få. En enkel dom er selvfølgelig ikke altafgørende for fremtidige bøder, men når bøden er så lille sammenlignet med Datatilsynet vurdering, så bliver der løftet nogle øjenbryn.

Taxa 4X35 står f.eks. over for en sag, hvor de er indstillet til en bøde på 1,2 millioner kroner. Bøden til ILVA kan give Taxa 4X35 forhåbninger om en lige så stor reduktion. Derudover nævner Henrik Udsen i et interview med Version 2, at der er en risiko for, at virksomheder simpelthen vurderer, at risikoen for store bøder ikke er høj nok til, at de behøver tage GDPR alvorligt i Danmark.

Det gode ved den lille bøde er, at virksomheder ikke skal frygte at gå konkurs grundet en fejl ved et uheld. Faren er altså, at virksomheder måske begynder at tage GDPR mindre seriøst, da bøderne ikke er en stor nok trussel imod virksomheden. Især hvis de næste bøder bliver reduceret lige så meget som ILVA-bøden.

I resten af Europa er bøderne større

Det kan godt være, at ILVA-bøden var den første GDPR-bøde i Danmark, men der er givet flere bøder uden for landets grænser. Der er både givet flere, men også væsentligt større bøder. Nogle af dem kan du læse om i ”Her er de sikkerhedsbrud, der giver bøder- og hvordan du undgår dem”. I fremtiden bliver det spændende at sammenligne, hvordan det danske bødeniveau ligger sammenlignet med de andre europæiske lande.

Tilmeld dig vores nyhedsbrev

Modtag nyheder om gratis skabeloner, værktøjer og blogindlæg fra CyberPilot

Gør som 2000+ andre og tilmeld dig vores nyhedsbrev. Her modtager du løbende inspiration, værktøjer og historier om god IT-sikkerhed – direkte i din indbakke. Vi sender ca. én gang om måneden.

Top

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..

Kontakt os

Du er altid velkommen til at kontakte os
for en uformel snak om IT-sikkerhedsudfordringer..