ILVA Har Fået Danmarks Første GDPR-Bøde – Men Hvorfor Er Det Vigtigt?

Den 11. juni 2019 indstillede Datatilsynet ILVA (dengang IDdesign A/S) til en bøde på 1,5 million for ikke at have slettet persondata på ca. 350.000 kunder. Problemet lå i, at ILVA ikke havde sat en slettefrist på denne persondata, hvilket betyder at ILVA ikke har taget stilling til, hvornår de ikke længere har et formål med at have denne persondata. Datatilsynet vurderede derfor, at ILVA ikke overholdte databeskyttelsesforordningens krav om sletning.

Den data ILVA havde gemt var i et gammelt system, som de brugte som et arkiv. Det var altså gammelt data, som burde have været slettet for længst.

Den 30. marts i 2020 rejste Østjyllands politi tiltale mod ILVA, og sagen skulle derfor for retten. Selvom Datatilsynet indstillede ILVA til en bøde på 1,5 million kroner, så er det retten, der afgør, om der har været en strafbar handling, og hvor stor bøden rent faktisk skal være.

Som nævnt faldt der dom den 12. februar 2021 og bøden endte på 100.00, altså væsentligt lavere end de 1.5 millioner, som Datatilsynet indstillede ILVA til. Hvilket der ifølge retten var flere årsager til:

1. Datatilsynet havde sat bøden på baggrund af Lars Larsen Groups omsætning (det er Jysk-koncernen, der ejer ILVA), men retten mente, at bøden skulle udstedes på baggrund af ILVAs omsætning

2. Der var tale om almindelige personoplysninger – ikke personfølsomme oplysninger

3. Det var en førstegangsovertrædelse, når det kommer til GDPR

4. Overtrædelsen var ifølge både retten og Datatilsynet af ”formel karakter”, da systemet med persondata ikke var et aktivt system, eller noget der blev brugt i dagligdagen. Overtrædelsen var derfor af teknisk karakter mere end af handling i ond tro.

5. Ingen involverede havde lidt skade grundet sikkerhedsbruddet

Alle disse omstændigheder betød altså, at bøden endte på 100.000 kroner.

De 5 punkter, som retten lagde vægt på i deres begrundelse for nedsættelsen, viser, at GDPR-loven stadig er i en tidlig fase. Der blev lagt vægt på, at det var en førstegangsovertrædelse, og at det var af formel karakter som begrundelse for en nedsættelse. Det kan indikere, at bøder på et senere tidspunkt kan stige, når først der er blevet sat en streg i sandet om, hvad der er acceptabelt, og hvad der er et no-go.

Dommen kan også åbne en diskussion af, hvorvidt det rent faktisk har betydning, hvorvidt persondata er blevet udnyttet af IT-kriminelle eller ej. Bøden blev bl.a. nedsat, da ingen havde lidt skade af, at der ikke var blevet slettet persondata, men er det rent faktisk relevant for håndteringen af data?

Der er stadig mange spørgsmål, der skal besvares i fremtiden, men dommen illustrerer, at der formentlig skal ske en udnyttelse eller et tab af data for, at store GDPR-bøder vil blive givet i Danmark.

Det er også interessant, at bøden bliver afmålt ud fra ILVA’s omsætning og ikke Lars Larsen Group som koncern. Bøden havde uden tvivl været større, hvis det var blevet målt op imod moderselskabets omsætning. Det indikerer også, hvor GDPR-ansvaret i datterselskaber og virksomheder ligger. Den ligger på hver enkel virksomheds bord og ikke på koncernniveau.

Men hvad kan vi lære af sagen og bøden? Vi kan lære forskellige ting af bøden. Den oplagte er, at det er vigtigt at have styr på sine systemer, og hvor man opbevarer data. ILVA brugte som sådan ikke det gamle system fyldt med persondata, hvilket kan være årsagen til, at man ikke fik slettet data. Det kan vi kun gisne om, men bøden viser, at det er vigtigt at have overblik og struktur over, hvor og hvor længe man opbevarer persondata.

God struktur over ens data hænger også godt sammen med det fokus, som Datatilsynet havde i deres 15 tilsyn i efteråret. Her lagde de store vægt på, hvor god struktur virksomheder havde, når det kom til at dokumentere sikkerhedsbrud. Det er tydeligt, at GDPR-arbejdet i høj grad handler om struktur og god dokumentation af persondata. Man skal have styr på, hvorfor man opbevarer data, og hvor denne data ligger. Det er altså vigtigt at indtænke f.eks. dataminimering i sit GDPR-arbejde.

Da bøden er den første GDPR-bøde i Danmark, holder mange ekstra godt øje med udfaldet. Det skyldes, at den første bøde kan være med til at sætte dagsordenen for, hvilken størrelse de næste mange bøder kan få. En enkel dom er selvfølgelig ikke altafgørende for fremtidige bøder, men når bøden er så lille sammenlignet med Datatilsynet vurdering, så bliver der løftet nogle øjenbryn.

Taxa 4X35 står f.eks. over for en sag, hvor de er indstillet til en bøde på 1,2 millioner kroner. Bøden til ILVA kan give Taxa 4X35 forhåbninger om en lige så stor reduktion. Derudover nævner Henrik Udsen i et interview med Version 2, at der er en risiko for, at virksomheder simpelthen vurderer, at risikoen for store bøder ikke er høj nok til, at de behøver tage GDPR alvorligt i Danmark.

Det gode ved den lille bøde er, at virksomheder ikke skal frygte at gå konkurs grundet en fejl ved et uheld. Faren er altså, at virksomheder måske begynder at tage GDPR mindre seriøst, da bøderne ikke er en stor nok trussel imod virksomheden. Især hvis de næste bøder bliver reduceret lige så meget som ILVA-bøden.

Det kan godt være, at ILVA-bøden var den første GDPR-bøde i Danmark, men der er givet flere bøder uden for landets grænser. Der er både givet flere, men også væsentligt større bøder. Nogle af dem kan du læse om i ”Her er de sikkerhedsbrud, der giver bøder- og hvordan du undgår dem”. I fremtiden bliver det spændende at sammenligne, hvordan det danske bødeniveau ligger sammenlignet med de andre europæiske lande.