Virksomhed idømt bøde på 100.000 kroner for overtrædelse af GDPR

Byretten i Aarhus har i dag truffet afgørelse i den første straffesag mod en virksomhed for overtrædelse af databeskyttelsesforordningen (GDPR). Den tiltalte virksomhed blev idømt en bøde på 100.000 kr. for mangelfuld sletning af personoplysninger og dermed overtrædelse af GDPRs krav om opbevaringsbegrænsning. Retten idømte virksomheden en betydeligt lavere bøde end beløbet på 1,5 mio. kr., som Datatilsynet og anklagemyndigheden havde indstillet til.

Efter et tilsynsbesøg hos virksomheden om sletning af personoplysninger valgte Datatilsynet i juni 2019 at anmelde virksomheden til politiet. Det anmeldte forhold vedrørte virksomhedens opbevaring af kunders personoplysninger i et ældre ERP-system. I systemet blev der behandlet oplysninger om kundernes navn, adresse, telefonnummer, e-mail og købshistorik. 

Datatilsynet vurderede, at der for ca. 350.000 af disse kunder ikke længere var et gyldigt behandlingsformål, og at disse kunders personoplysninger derfor blev behandlet i strid med kravet om opbevaringsbegrænsning. Personoplysningerne skulle i sagen have været slettet efter 5-årsreglen i bogføringsloven. På den baggrund indgav Datatilsynet politianmeldelse og indstillede til en bøde på 1,5 mio. kr.

Til trods for, at der var nedlagt påstand om en væsentligt højere bøde, valgte retten i Aarhus i dag, at virksomheden skulle betale en bøde på 100.000 kr. Selv om retten fandt det bevist, at der var sket en overtrædelse af GDPR, mente retten ikke at der var tale om en forsætlig overtrædelse af reglerne om sletning, men at der kun var tale om et uagtsomt forhold. Retten lagde i den forbindelse vægt på, at det beroede på en forglemmelse, at virksomheden ikke havde fået slettet oplysningerne som følge af et for ensidigt fokus på virksomhedens aktive IT-systemer.

Ved udmålingen af bøden lagde retten vægt på følgende forhold:


  • Det var kun virksomhedens egen omsætning, der skulle danne grundlaget for udmålingen, og ikke koncernens samlede omsætning.
  • Der var tale om en førstegangsovertrædelse af databeskyttelsesforordningen.
  • Personoplysningerne var af en almindelig og ikke følsom karakter, der befandt sig i et ældre og til dels udfaset system, der kun blev tilgået lejlighedsvis.
  • Ingen registrerede havde lidt skade, og overtrædelsen var – også efter Datatilsynets egen opfattelse – mest af formel karakter.


Samtidig fastslog retten, at det skulle indgå med betydelig vægt, at virksomheden havde udfoldet ganske betydelige bestræbelser på at sikre, at virksomhedens øvrige systemer havde været indrettet i overensstemmelse med databeskyttelsesforordningen. 

Begge parter har nu 14 dage til at tage stilling til en eventuel anke af dommen. 

Det må forventes, at afgørelsen i sagen bliver tillagt betydning i forhold til den anden sag, der p.t. verserer hos domstolene om overtrædelse af reglerne om sletning af personoplysninger.

Vi følger begge sager nøje og vil holde jer orienteret om deres videre forløb.

Læs vores tidligere omtale af den konkrete sag på vores hjemmeside.