Dom
Retten i Lyngby
Udskrift af dombogen
D O M
afsagt den 11. februar 2022
Rettens nr. 1-1471/2021
Politiets nr. 0900-84266-00001-19
Anklagemyndigheden
mod
Tiltalte A/S
CVR nr.
Anklageskrift er modtaget den 17. maj 2021.
Tiltalte A/S er tiltalt for overtrædelse af
Databeskyttelsesforordningens (Europa-Parlamentet og Rådets Forord-ning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2,
ved i perioden fra den 25. maj 2018 og indtil december 2018, at have undladt at opfylde sin forpligtelse som dataansvarlig for behandling af personoplys-ninger i systemet Opera til at sikre og kunne påvise, at personoplysninger omfattet af databeskyttelsesforordningens artikel 6 ikke blev opbevaret på en sådan måde, at det var muligt at identificere de registrerede i et længere tids-rum end det, der var nødvendigt til de formål, hvortil personoplysningerne behandledes, idet virksomheden ikke kunne påvise tilstrækkelige procedurer, der sikrede at sletning skete, idet virksomhedens procedure for sletning for-udsatte, at systemet slettede automatisk, uagtet at virksomheden var vidende om, at systemet ikke var indrettet på en sådan måde, at det understøttede au-tomatisk sletning, og idet virksomheden ikke havde nedskrevne retningslinjer for manuel sletning, ligesom virksomheden, blandt andet som følge af de mangelfulde procedurer, opbevarede oplysninger om ca. 500.000 tidligere kundeprofiler, herunder navn, adresse, telefonnummer, e-mailadresse, be-søgshistorik, pasoplysninger og præferencer for opholdet, som er informatio-ner om en identificerbar fysisk person, jf. databeskyttelsesforordningens art. 4, stk. 1, nr. 1, uagtet at opbevaring ikke længere var nødvendig.
Påstande
Std 75271
side 2
Anklagemyndigheden har nedlagt påstand om bødestraf på 350.000 kr.
Tiltalte har nægtet sig skyldig.
Sagens oplysninger
Der er i sagen afgivet vidneforklaringer af Vidne 1, Vidne 2, Vidne 3, Vidne 4, Vidne 5, Vidne 6 og Vidne 7.
Forklaringerne er i retsbogen gengivet som følger:
”Vidne 1 forklarede, at hun været administrerende direktør i Tiltalte A/S i knapt 19 år. Hun har været i firmaet i 30 år. Der er i alt Antal hoteller i kæden. Det er Udeladt med Antal værelser. De har haft Antal ansatte men er for tiden nede på Antal på grund af corona. Hun har ikke personligt haft med sletning af data at gøre. Tiltalte A/S er privatejet, der ejer og driver egne ho-teller siden 1960. Det er familiejet. Familien har altid prædiket ordentlighed og ansvarlighed. Det forløb, som vi nu er i gang med, huer hende ikke. Når hun møder kolleger og kunder, bliver hun tit foreholdt, at Tiltalte A/S er blevet dømt for at overtræde GDPR-reglerne. Det har skadet firmaets image. Det er et firma, der normalt er kendt for at opføre sig ordent-ligt. I forhold til persondatareglerne har firmaet også forsøgt at udvise kor-rekt adfærd. Man vidste godt, at reglerne var på vej. Det vidste alle. I efterå-ret 2017 igangsatte hun en data compliance proces i samarbejde med kon-cernledelsen. Bech Bruun foretog en Gap Analyse for dem. Samtlige syste-mer blev gennemgået med analyse af mulige udfordringer i forhold til GDPR. Der kom en lang rapport omkring årsskiftet 2017-18 om alle afarter af spørgsmål vedrørende GDPR-udfordringer i virksomheden. Eksempelvis blev alt markedsføringsmateriale gennemgået m.h.p. at fjerne billeder af folk, der ikke havde givet samtykke. Personaleforhold og alle it-systemerne blev til-svarende gennemgået. Der blev brugt mange ressourcer i koncernledelsen på processen. Det har også kostet meget i konsulentforbrug og interne omkost-ninger. Hver eneste ansat ned til receptionisten skal være opmærksom på for-ordningens krav. Der har vel været 100 mennesker inde og lave "Best Practi-ce" på alle enkelte områder. Der er lavet komplette regler for, hvordan virk-somheden skal leve livet under iagttagelse af GDPR. Der har ikke været ønske om at skære hjørner i processen. Det har været et krav fra ejerne, at regler overholdes. Forordningen har ikke været nem at navigere i, og der har ikke været nogen, man kunne spørge. De har derfor famlet, men kørt på bed-ste beskub. Datatilsynet har ikke været til meget hjælp i den indledende pro-ces.
Reglerne trådte i kraft den 25. maj 2018, og det var hendes opfattelse, at de havde håndteret de huller, som Gap Analysen havde afdækket. Hun var der-for ikke nervøs, da de blev udvalgt til kontrol. Hun havde det fint med det. Det var en trykprøve af hendes og kollegernes arbejde med at gennemføre
side 3
kravene. Det ville give en vejledning i, om det, som hendes advokater havde anbefalet, var korrekt. Hun følte, at der var blevet slettet ganske rigeligt og følte, at de måske havde skudt gråspurve med kanoner. Gæster kan jo godt lide at blive genkendt, når de kommer igen; de lever jo af stamkunder. De har i normale tider Antal overnatninger om året, hvoraf en god del er stamgæ-ster. Deres gæster er af alle slags. Halvdelen er erhvervskunder booket gen-nem store danske virksomheder. Den anden halvdel er turister af forskellig slags. De driver også Kongres Center, hvor der afvikles mange konfe-rencer. Kongresser forudbestilles måske flere år i forvejen, andre overnatnin-ger bliver bestilt med timers varsel. Den konkrete sag omhandler oplysninger fra bookinger, hvor gæsten selv har bestilt en overnatning. Historikken om kunderne er vigtig af hensyn til gæsternes mulighed for dokumentation og muligheden for at køre loyalitetssystemer. De er forpligtet til at logge deres gæster.
Alle vidste, at GDPR var nyt land. Der var ingen retningslinjer; men de havde altså selv lavet retningslinjer om f.eks. sletninger. De havde sat en periode på 380 dage. Da Datatilsynet kom på besøg, sagde den tilsynsførende, at man også kunne have sat sletningsfristen til mere end 700 dage. De 380 dage gik fra det tidspunkt, hvor der ikke var aktivitet på en profil. De 380 dage har de selv fastsat. Det fremgår ikke af loven. Slettefristerne blev afstemt med hen-de. Hun havde foretrukket 5 års frist, men de valgte ambitiøst at sætte fristen til 380 dage. Hun indledte mødet med at fortælle om de problemer, som de havde med Oracle, der driver Opera, som er verdens største booking-system. På tilsynsbesøget fik hun ikke det indtryk, at Datatilsynet havde nogen vejle-dende funktion. "Kløerne var fremme". Hun er ret sikker på, at Tiltalte A/S inden for hotelbranchen lå i førerfeltet på implementeringen af GDPR. Efter tilsynsbesøget iværksatte Horesta et vejledningsforløb for an-dre hoteller. Hos Tiltalte A/S så Datatilsynet ikke på det samlede billede, men kun på den ene ting, hvor der kunne være noget galt. Alle hoteller, der bruger Opera-systemet og må have haft samme problemer som Tiltalte A/S. Tilsynet nævnte ikke noget om, at data, der var mere end 380 dage gammelt, var for gammelt. Stemningen var, at det så meget fornuftigt ud, men der var flere spørgsmål end anerkendelser. Hun fortalte selv Datatilsynet om den tekniske udfordring, der ikke var blevet løst af Oracle endnu. Oracle havde lovet opdateringer, men de var endnu ikke kommet. Hun har ikke personligt talt med Oracle. Hun er blevet briefet om dialogen, der fandt sted i foråret 2018. De havde i mellemtiden iværksat pro-cedure med manuel sletning. Det var en meget omfattende procedure. De havde allerede i 2018 slettet rigtigt meget. De kan reelt ikke selv slette, men man kan anonymisere ved at x'e ud. Det tager ca. 3 minutter pr. profil. Det skal sættes i forhold til, at de har 1 mio. overnatninger pr. år. Hun kunne hur-tigt regne ud, at de tyve folk, der var sat til arbejdet, ikke ville kunne nå det. Det var for at vise den gode vilje. De manuelle sletninger var sat i værk hen over sommeren 2018, da det stod klart, at Oracle ikke rettidigt kom med den lovede løsning. Der kom nogle opdateringer, men de løste ikke problemet. Foreholdt Tiltalte A/S' svar af maj 2019 på Datatilsynets
side 4
spørgsmål (Bilag 20, Fane 17, side 3 af 7) har hun forklaret, at det kan passe, at det var den 13. september 2018, at den manuelle sletning blev iværksat. Det kan passe, at sletningen først rigtigt tog fart, da de fik sat robotter på op-gaven. Hun deltog ved hele tilsynsbesøget. De var inde i rummet, hvor ansat-te manuelt anonymiserede profiler. Det er korrekt, at der blev fundet en pro-fil, der havde været inaktiv siden 2010. Den havde bare ligget der. Der var også en profil fra 2016. Sådan var det på daværende tidspunkt.
Tiltalte A/S har ikke haft datalæk, har ikke haft klager over datamisbrug, og foretager ikke markedsføring på baggrund af opbevare-de persondata, bortset fra når folk selv har bedt om det.
De har været hårdt ramt af Covid 19-krisen. Deres omsætning faldt fra Beløb kr. til Beløb kr. i 2020 med et underskud på Beløb kr.
Vidne 2 … forklarede, at han var økonomi- og it direktør hos Tiltalte A/S fra 1. november 1996 til den 1. maj 2019. I dag er han data compliance specialist i samme firma.
Virksomhedens GDPR arbejde har været højt prioriteret og meget omfatten-de. Der har ikke været begrænsninger fra ledelsens side i, hvad der skulle gø-res. De har altid haft centrale og udkommunikerede arbejdsprocesbeskrivel-ser ud til de enkelte hoteller. Der er løbende fulgt op i forhold til de enkelte hoteller. Der har været mere end 300 arbejdsprocesbeskrivelser. Allerede i 2009 var der kommet en slettefunktion i Opera baseret på et antal dages in-aktivitet på en profil. I 2016 kom der ekstra opmærksomhed på spørgsmålet, da reglerne blev strammet. I 2016 begyndte man i virksomheden at kigge på, hvordan man skulle håndtere de kommende GDPR-regler. De brugte en del af 2016 på at finde frem til, hvilke eksterne eksperter, de havde behov for at rådføre sig med. Derefter blev der lavet en Gap Analyse på baggrund af en interviewrunde blandt de ansatte. Tiltalte A/S har anvendt programmet Opera siden 2004 og har derfor haft et samarbejde med Oracle i mange år. Han havde tillid til, at denne leverandør ville levere dem en speci-alversion længe før GDPRs ikrafttræden. Det skulle sikre, at den nødvendige sletning blev optimeret.
Foreholdt bilag 20, fane 11, Bilag 11A "Best Practice Merge / Purge", date-ret 12. maj 2011, har han forklaret, at man kan være nødt til at sammenlægge profiler, hvis samme person har booket hotelværelser via forskellige kanaler. Der er også en version af dokumentet fra januar 2010. Man havde fastsat en automatisk slettefrist i Opera på 380 dage. Det var først i foråret 2018, hvor de afventede GDPR-versionen af Opera, at de opdagede, at der ikke skete automatisk sletning i fuldt omfang. Hvis der eksempelvis havde været en "sendefaktura", blokerede det for den automatiske sletning. Vilkår om kom-missionsafregning blokerede også for den automatiske sletning. "History flag" medførte også, at profilen ikke kunne slettes. Det var fint, hvis det an-gik en virksomhedsprofil. Den har man hele tiden været opmærksom på. Det
side 5
gjaldt imidlertid ikke i "AR-tilfældene". "Outstanding Commissions handler om, at nogen skal have kommission som følge af et besøg. Der har fast været automatisk sletning. Purge-delen skulle køre automatisk, hvorfor det ikke var noget, man holdt øje med. Person 1 blev ansat i den funktion i 2009 til at styre dataflowprocesserne. De oplevede for tit, at der kunne være for-ståelsesproblemer. Person 1 lavede de nødvendige arbejdsprocesser på cen-tralt hold. Det var nødvendigt, fordi koncernen voksede, og ensretning var nødvendig.
I maj 2018 var de ikke opmærksomme på, at en åbentstående post i debitor-modulet forhindrede Opera i at slette en profil. En profil kunne godt være meget gamle, hvis der var tale om tilbagevendende kunder. Profilen omfatte-de jo ophold på samtlige af deres hoteller. De har løbende kunnet se, at der forsvandt profiler, hvorfor de først senere opdagede, at ikke alle inaktive profiler forsvandt. Da de nærmede sig 25. maj 2018, var han i dialog med Oracle. Det var dog primært deres it-chef og en anden, der deltog i dialogen. Han blev dog holdt orienteret. I slutningen af 2017 talte de med Oracle om, hvad man kunne forvente af GDPR-versionen af Opera. Oracle lovede, at den nye version ville leve fuldt ud op til kravene i databeskyttelsesforordnin-gen. I slutningen af maj 2018 havde de fortsat tillid til, at Oracle ville løse problemet. De blev holdt hen af Oracle, indtil de i august 2018 besluttede at iværksætte manuel procedure. De havde orienteret Oracle om, at der ville komme tilsynsbesøg fra Datatilsynet. Det tager et stykke tid manuelt at slette hver enkelt profil. Det er en treskridtprocedure, hvor debitorsaldo skal sættes i 0, navnene skal X'es ud, og purgeproceduren derefter skal køres. Processen varer ca. 2½ - 3 minutter pr. profil. Den 25. maj 2018 havde den ingen viden om robotmuligheden. Det er en funktion, der er udviklet konkret. Robotten arbejder hurtigere og vedvarende. Robotten bruger måske 2 minutter om hver profil. Foreholdt Bilag 20, fane 17, sidste side, har han forklaret, at det kan passe, at den manuelle proces har krævet 4.000 mandetimer, ud over ro-bottimerne.
Han deltog ved Datatilsynets besøg på virksomheden. Han blev overrasket over, hvad der foregik. Han havde regnet med at møde vidende personer. Det var imidlertid en kontorchef og to uerfarne medarbejdere. Tilsynet frem-stod amatøragtigt. De havde gjort klar til at fremvise diverse forhold. Alt syntes imidlertid at komme bag på besøgets deltagere. Han havde regnet med at der ville deltage erfarne folk. Medarbejderne fra Datatilsynet havde nogle spørgsmål med og læste dem op uanset svaret på det foregående spørgsmål. Slettefunktionen i Opera blev drøftet under besøget. De lagde ikke skjul på, at de havde et problem, hvor løsningen trak ud. De oplyste også, at de havde iværksat manuel sletning. Der blev foretaget nogle opslag i Opera i forbin-delse med tilsynsbesøget. Kontorchefen refererede til sin bryllupsfest i 2010 på Hotel. De søgte i systemet på kontorchefens hustru. Hun kunne ikke findes på sit navn, men derimod på sit telefonnummer. Hun var ved en fejl sat ind som en firmakontaktperson.
side 6
En manuel sletteprocedure var sat i værk i efteråret 2018. Det kan passe, at det for alvor blev sat i værk den 13. september 2018. I november 2018 havde de fundet ud af, at det aldrig blev færdigt, hvis arbejdet skulle udføres af per-soner. De fik sat digitale assistenter på opgaven i stedet, hvorefter sletningen kom op i et meget højere tempo. Til sidst arbejdede 40 personer og 15 robot-ter på opgaven. De havde ikke et overblik over, hvor mange profiler, der skulle anonymiseres. I begyndelsen af oktober 2018 havde han møde med Oracles direktør. Han fik lovning på, at Oracle ville gøre alt, hvad der stod i deres magt for at få systemet til at fungere. Der kom dog ikke hurtigt nok en løsning. Ved årsskiftet 2018-19 måtte han dog på ny skrive til Oracles direk-tør og rykke for en fungerende sletteløsning. Sideløbende blev de ved med at køre de manuelle processer. Det kan passe, at der blev slettet 500.000 profi-ler, som havde hængt i systemet. I dag lever Oracles system hos dem op til kravene, men det skete først i 2019.
Foreholdt forsvarets bilag A har han forklaret, at "Merge hvordan gør man"er en procesbeskrivelse. Dokumentet "Merge" omhandler selve Merge-pro-cessen. Dokumentet "Purge omhandler purge-processen. I purgedokumentet omhandles såvel den automatiske som den manuelle sletning. Den manuelle sletning handler dog ikke om sletning, men om hvordan man fjerner eksem-pelvis et flueben, der hindrer en sletning.
Foreholdt forsvarets bilag B har han forklaret, at dette regneark udtrykker den opfattelse, de har fra centralt hold om behovet for at få sammenlagt pro-filer. Der var mange profiler, man skulle kigge på. Det skete på de enkelte hoteller. Det er en procedure, der har været fulgt siden august 2011 og sta-dig følges. Der er ikke et tilsvarende dokument vedrørende purge, da der føl-ges forskellige procedurer. En gang om måneden bliver der til brug for audit trukket lister over sletninger.
Forholdt bilag 20, fane 3, bilag 3A Best "Practice - Persondataforordningen"har han forklaret, at det er en beskrivelse, der er lavet for at sikre, at bookin-ger ikke indeholder personfølsomme data. Det er kommunikeret ud i forhold til medarbejderne på de enkelte hoteller. De har gennem audits fulgt op på, at kravene i arbejdsbeskrivelsen er blevet overholdt. Denne instruktion er lavet i perioden frem mod 25. maj 2018. Det er en ud af 40 instruktioner, der kom på baggrund af GDPR.
Foreholdt Fane 4, "Best Practice - Persondataforordningen" har han forkla-ret, at det er en opdateret version af Merge/purge-proceduren fra 2011, der er tilrettet efter GDPR. Foreholdt bilagets 6. side med underoverskriften "Purge:" har han forklaret, at de oprindeligt havde en grænse på 380 dage. Den blev senere ændret til 550 dage, men sidenhen ændret tilbage til 380 da-ge. Det var en selvpålagt begrænsning, som Datatilsynet fandt hård. I under-punkterne kan man se de omstændigheder, der medførte, at en profil ikke blev automatisk slettet. Det var det, som man i løbet af 2018 var blevet op-mærksom på. Oracle havde i første række ikke helt forstået, hvad GDPR gik
side 7
ud på. Denne markering hindrede også automatisk sletning.
Den 25. maj 20018 kunne man ikke bare slette det hele. Det er ikke fysisk muligt, således som systemet er konstrueret. Man kunne ikke slette det hele, bl.a. på grund af bogføringslovens krav. De fakturerer gennem Opera, men debitorstyringen kører i deres finanssystem. Gæsteregistreringskort for bor-gere uden for EU skal efter loven gemmes i to år. Det ville have været fysisk umuligt at skifte til et andet system end Opera i løbet af kort tid.
Foreholdt Bilag 20, fane 4, sidste side, har han forklaret, at han kan nikke genkendende til tallene 850.000 og 1.670.000 profiler. Det er skønnede tal. I dag er der ca. 800.000 åbne filer i systemet. Der har i tidens løb været mere end 8 mio. profiler.
I dag bliver der lavet stikprøver efter, om det går, som det skal m.h.t. slet-ning. Tiltalte A/S kontrollerer bl.a. ved hjælp af robotter, om systemet til stadighed fungerer.
Vidne 3 … forklarede, at hun var it chef i Tiltalte A/S fra primo 2012 til 31. december 2021, hvor hun gik på pension. Hun var med i implementeringen af GDPR-reglerne i fimraet. Det var et større team, der arbejdede på sagen. Opera er et større hotelsystem, der giver et overblik om, hvem der bor på hotellerne. Hun er ikke selv specialist i systemet, men ken-der det godt. Virksomheden har vist anvendt Opera siden 2005. Der var en Best Practice vedrørende Merge, der gjorde, at sammenfaldende profiler blev samlet i én. De overskydende profiler blev slettet. Der var derudover en pro-cedure, der slettede profiler, som ikke var aktive. Foreholdt Bilag 20, fane 11, bilag 11A, har hun forklaret, at det var en instruks, der allerede gjaldt, da hun blev ansat. Det var nu ikke noget, hun havde med at gøre på det tids-punkt. Det er en automatik, der har kørt, og som har ligget i firmaets DNA. Fristen på 380 dage var for komplette filer. Ukomplette filer blev ofte mer-get. De så, at profilerne blev slettet. Til gengæld overså de, at der var profi-ler, som ikke blev slettet. Det var nok i forbindelse med arbejdet med GDPR-reglerne, at de fandt ud af, at der var profiler, som ved en fejl ikke blev slet-tet.
Foreholdt Bilag 20, Fane 3, bilag 3B "Spørgeskema om procedure for slet-ning", side 2, har hun forklaret, at der hvert fald var 27 systemer i virksomhe-den, som håndterede personoplysninger. I 2018 afventede de først en GDPR-version af Opera fra Oracle; men det viste sig, at den ikke løste problemet. Foreholdt bilag 16, side 15 f., har hun forklaret, at version 5.50 skulle leveres i begyndelsen af maj 2018. Hun bestilte versionen ved mail af 6. april 2018. En upgrade indebærer typisk, at hele systemet lukkes ned. Det er en ressour-cetung proces, hvor man skal holde tungen lige i munden. Det er nødt til at foregå om natten af hensyn til hoteldriften. Hun husker ikke, om det var i ef-teråret 2017 eller senere, at de opdagede, at der var sletninger, som fejlede. Omkring jul 2017 fik de lovning fra Oracle om, at den nye version ville kom-
side 8
me. En ny version kom i starten af maj. De testede den nye version i et par måneder, men problemet blev ikke løst. Det var fuldstændig udelukket selv at løse systemets "Bugs". De ville risikere at smadre alt data, hvis de selv be-gyndte at rode i systemet. Det er Oracle og kun Oracle, der roder med syste-met. I modsat fald bortfalder garantien og servicedelen. Foreholdt bilag 16, side 8 har hun forklaret, at det var noget, som Vidne 4 arbejdede meget med. De opdagede fejlen i den nye version allerede den 10. maj 2018. Man forsøgte at løse problemet lokalt hos Tiltalte A/S. Oracle har ikke meldt tilbage, at de ikke ville kunne løse problemet. De kunne se, hvor sletningen stoppede og rapporterede dette til Oracle. De havde dog svært ved at komme i kontakt med de rette folk hos Oracle. Vidne 2 måtte tage fat i nogle højtstående folk hos Oracle for at få kontakt med de rette ressourcer i firmaet. Processen var dog fortsat meget tung, da de kom i kontakt med de relevante folk. Foreholdt Bilag 20, fane 19, 3. sidste side, 3. sidste afsnit, har hun forklaret, at det kan passe, at det allerede var dagen efter installationen, den 10. maj 2018, at de rapporterede fejl til Oracle. Der var nogle AR accounts, som medførte, at profilen ikke blev slet-tet automatisk. Det var i løbet af processen, at de identificerede denne fejl.
Manuel sletning blev først sat i værk i efteråret. De ville jo gerne have den automatiske løsning fra Oracle. Hen over sommeren drøftede de, hvad de skulle gøre, hvis Oracle ikke kunne levere en løsning. I september 2018 iværksatte de den manuelle sletning med bistand fra personale fra hotellerne. Siden kom den forbedrede løsning med de digitale assistenter. I efteråret 2018 slettede de vist 500-600.000 profiler. Det var ved den lejlighed hun blev opmærksom på problemets omfang.
Datatilsynets tilsynsbesøg den 1. oktober 2018 betød noget for deres arbejde med sletninger.
Vidne 4 … forklarede, at hun har været ansat som it-specialist i Tiltalte A/S. Hun havde med Opera og tilknyttede programmer at gøre. De andre programmer var økonomisystemer, og rapporteringssyste-mer (ERP), statistiksystemer mv. Hun var systemadministrator og projekt-specialist. Hun er selvlært inden for it gennem mange år. Hun var i stillingen fra 2017 til 2020, hvor hun stoppede i forbindelse med coronaen. I dag er hun ansat i Oracle. Omkring 2008 var hun også ansat i Tiltalte A/S i en kort periode. Opera har hun arbejdet med, lige siden pro-grammet kom på markedet. Hun har også beskæftiget sig med Opera på de andre arbejdspladser. Hun husker ikke, hvornår man specifikt begyndte at ta-le om opbevaring af personoplysninger i Opera, men det blev aktualiseret, da GDPR-reglerne var vedtaget.
Systemet er meget indrettet til, at man kan gemme informationer, så man kan give gæsten en nem vej, hvis de vender tilbage. Der har været regler for ænd-ring af password m.v. Hun ved ikke noget om, at der var slettefrister på 380 dage vedrørende personprofiler. Hun er heller ikke bekendt med, at der har
side 9
været slettefrister i nogen af de andre firmaer, som hun har arbejdet i. Fore-holdt Bilag 20, Fane 11, bilag 11A, har hun forklaret, at det ikke var et do-kument, hun havde med at gøre. Hun var god til Opera og blev derfor ofte spurgt til råds. Hun arbejdede med at sikre en bedre udnyttelse af systemer-ne.
Hun kom ind over spørgsmålet om opdatering af Opera til GDPR-reglerne. Det skete i 2017. I 2018 var hun med til at teste ny version af Opera.
Foreholdt korrespondancen i Bilag 20, Fane 19, har hun forklaret, at Oracle godt vidste, at GDPR ville komme til at gælde i hele Europa. Oracle er imid-lertid et stort firma, og ting kommer gerne efter et stykke tid. De ventede længe på opdateringen og rykkede ofte. Der var en løbende dialog med Oracle om rettelse af fejl i 2018.
Det kan passe, at de fik en opdatering den 9. maj 2018. Hun var med til at te-ste den version, og var med til at finde ud af, at den ikke fungerede. Man var nødt til at sætte nogle manuelle procedurer i værk. Det havde hun ikke med at gøre. Det var et ledelsesanliggende. Hun bistod med udviklingen af robot-løsningen i efteråret 2018. Det kan passe, at det kom i drift i november 2018.
Hun var med på Datatilsynets første besøg og ved den senere ransagning. Hun var med til at vise, hvordan systemet fungerede og var med til at tage stikprøver. Spørgsmålet om stikprøver var noget, der kom mere fokus på i 2018. Hun har ikke været med til det tidligere. Hun husker chefen for tilsy-net. Det virkede, som om han havde en forhåndsviden om systemet. Han søgte på sin hustrus mobiltelefonnummer, hvilket hun syntes var mærkeligt.
Det var ikke nogen enkel proces at få sat sletningerne op ved hjælp af robot-ter. Der blev brugt rigtigt mange timer på det. Det var vigtigt, at man ikke kom til at slette for meget.
Hun kender ingen i branchen, hvor man har gjort lige så meget for at over-holde GDPR-reglerne som hos Tiltalte A/S. Det kan ikke bebrejdes Tiltalte A/S, at Oracle ikke leverede til tiden. Man kunne måske være gået i gang tidligere, men det havde forudsat, at man var opmærksom på problemets omfang.
På rettens forespørgsel oplyste vidnet, at der ikke var egentlige fejl (”bugs”) i Oracles software, der medførte de manglende automatiske sletninger. Det var brugerbetingede forhold som eksempelvis fravalg af debitorstyringsmodulet. Det var imidlertid forhold, som Oracle kunne have forudset som led i sit sam-arbejde med de mange hoteloperatører rundt om i verden.
…
Vidne 5 … forklarede, at han er har været ansat i Datatilsynet siden
side 10
oktober 2017. I 2018 fungerede han som it-sikkerhedskonsulent, men har si-den skiftet stilling til dataarkitekt. Han er uddannet som kandidat i matema-tisk modulering. Derudover har han en ph.d. i kryptografi.
I 2018 var hans opgaver at understøtte den del af tilsynets arbejde, der havde et teknisk aspekt, herunder vedrørende indsigt i, hvordan it-systemer funge-rer. Han var på tilsynsbesøg vedrørende retshåndhævelsesloven før besøget hos Tiltalte A/S. Besøget hos Tiltalte A/S var det første tilsynsbesøg vedrørende GDPR, som vidnet deltog på. Han deltog i planlægningen af tilsynsbesøget hos Tiltalte A/S. De havde fokus på sletning af persondata. Han var ikke involveret i udvæl-gelsen af de virksomheder, der skulle have tilsynsbesøg. Han var med til at tilrettelægge tilsynets varsling (bilag 20, fane 2). Tiltalte A/S havde mange systemer - så vidt han husker omkring 40. Datatilsynet bad på forhånd om at få besvaret en række spørgsmål vedrørende alle systemer og besluttede på baggrund af svarende at fokusere på bl.a. systemet Opera. Datatilsynet fik tilsendt en procedure af ældre dato vedrørende sletning (bilag 20, fane 3, bilag 3b om slettefrister). Han husker ikke, om det var før eller under tilsynet, at de fik oplyst, at der var problemer med den automatiske sletning. Tilsynsbesøget varede vel et par timer. Han deltog sammen med Vidne 7 og kontorchef Person 2. Virksomhedens re-præsentanter fortalte om Opera-systemet under tilsynsbesøget. Slettefristen på 550 dage var blevet ændret til 380 dage. De fik en forklaring på de 380 dage, nemlig at det var sat for at tage hensyn til de årligt tilbagevendende gæster. Der var en tidligere version og en opdateret version af slettefristerne. På tilsynsbesøget foretog de stikprøvekontrol. De havde på forhånd aftalt at søge på kontorchefen, der i 2010 havde haft et bryllup på et af virksomhe-dens hoteller. De søgte på hans navn uden resultat, men ved en søgning på hustruens navn var der resultat. De fik oplyst, at der blev foretaget manuel anonymisering af de profiler, der ikke blev automatisk slettet. De instruerede ikke Tiltalte A/S i, hvordan man skulle håndtere proble-met. Datatilsynet indsamler oplysninger, som bearbejdes på kontoret. Man vil gerne vejlede, men det er ikke altid muligt. Essensen af databeskyttelsesreg-lerne var uændret før og efter 25. maj 2018. Man skal slette personoplysnin-ger, når man ikke længere har brug for dem. Tiltalte A/S havde haft udfordringer med den automatiske sletning. På tilsynsbesøget virksomheden også om sletteproceduren fra 2011, herunder at den automa-tiske sletning ikke fungerede, hvorfor Tiltalte A/S var nødt til at foretage manuelle sletninger. Han husker ikke, at det blev oplyst, hvor mange profiler, der var tale om. Ved tilsynet havde de ikke styr på, hvilken bevissikring, der må foretages. Det afventer de fortsat svar på fra Justitsmini-steriet.
Datatilsynet har ikke foretaget opfølgende tilsynsbesøg efter besøget i 2018. Han deltog i udarbejdelsen af tilsynsrapporten. Han og Vidne 7 havde løben-de taget noter og skrev bagefter et referat sammen. Der blev sendt et udkast af referatet til virksomheden, som vendte tilbage med nogle bemærkninger.
side 11
Nogle af bemærkninger medførte ændringer, andre ikke. Der blev således ik-ke opnået fuld enighed. Efter tilsynsbesøget var der opfølgende spørgsmål. De ville gerne kende omfanget af de profiler, som fejlagtigt ikke var slettet. Foreholdt brev af 23. november 2018 med fire spørgsmål fra Datatilsynet til Tiltalte A/S' advokat (Bilag 20, fane 10) har han forklaret, at han mener, at de fik svar på de fire spørgsmål ved brev af 30. november 2018 fra Tiltalte A/S' advokat til Datatilsynet (Bilag 20, fane 11, side 2). Da han havde modtaget brevet fra advokaten, var det fortsat et åbent spørgsmål, hvorfor sletningen ikke fungerede. Han undrede sig over, hvorfor man ikke havde fået det ordnet tidligere. Det var jo et gammelt sy-stem med ophobede kundeoplysninger. Systemet burde allerede i 2011 være sat op til automatisk sletning.
Den 6. december 2018 sendte de et brev til Tiltalte A/S' advokat med syv yderligere spørgsmål (Bilag 20, fane 12). Tiltalte A/S bad på baggrund af brevet om et møde, hvilket Datatilsynet afslog. Herefter afslog Tiltalte A/S i brev af 8. januar 2019 at besvare spørgsmålene (Bilag 20, fane 13). Datatilsynet bad herefter politiet om bistand til at opklare sagen yderligere (bilag 20, fane 14). Han deltog ik-ke ved politiets ransagning i marts 2019. Han deltog til gengæld ved it-ran-sagningen via fjernadgang. De bad om data fra den 25. maj 2018 og frem. Han fik udtræk af slettelogs i pdf-format. Det er en masse sider med tabeller, der bl.a. indeholder de oplysninger, herunder personnavne, fra de slettede profiler. Det tog lang tid at trække ”purge-logs” , da datamængden var meget omfattende. ”Purge-log” kiggede han på i juli-august 2019, da han kom tilba-ge fra orlov. Han fandt noget software, der kunne analysere de tabeller, som Tiltalte A/S havde forsynet dem med. Han husker ikke, om han i sin gennemgang har taget højde for komplette og ukomplette filer. Man kunne ikke af sletteloggen se alderen på de slettede profiler. Foreholdt graf over sletninger i 2018 (Bilag 20, fane 16) har han forklaret, at der blev slettet nogle få i september 2018. I november 2018 fandt omfattende sletning sted. Den blå streg er det kumulative antal sletninger. De 500.000 profiler, der blev slettet, må være opbygget over lang tid. Det bestyrkede Datatilsynets opfattelse af, at noget havde været galt i lang tid. Systemet skal sørge for procedurer, der løbende sletter for gamle data. Man skal sørge for, at sletnin-gen håndhæves og kontrolleres. Det kan være svært at få en automatisk slet-tefunktion op at køre korrekt. Man bør derfor gå i gang i god tid. Han ved ikke, hvordan Opera kører sammen med andre systemer. Selv om man starter i god tid, er det ikke sikkert, at man kommer i mål. Man kan være nødt til at migrere til et andet system. Det er et trade off. Ingen af delene er nemt. Tiltalte A/S burde for mange år siden have fulgt op på, om den procedure for automatisk sletning, der blev sat i værk i 2011 fungerede. Man blev for sent opmærksom på, at dette ikke var tilfældet. Man kunne så have iværksat manuel sletning, men det sket jo heller ikke. Det havde ikke været relevant at etablere et alternativt bookingsystem på de Antal hoteller.
Foreholdt pkt. 2.8. ”Gennemgang af systemet” i rapporten vedrørende til-
side 12
synsbesøget (Bilag 20, fane 6, 1. klips, pkt. 2.8) har han forklaret, at dette af-snit omtaler kontorchefens søgning på bl.a. eget navn og på hustruens. De søgte på efternavn, postnummer og telefonnummer. De fandt to gamle profi-ler, en fra 2010 og en fra 2016. De kunne på profilen se personnavn og dato-en for brylluppet m.v. De fik senere at vide, at der nu var slettet. Han foretog selv samme søgning igen og fandt på ny hustruen. Som svar på det blev det oplyst, at det skyldtes, at det var en erhvervsprofil, og disse var endnu ikke slettet.
Generelt har Oracle et godt ry; men det er svært at spille mod nogen, der har større muskler end en selv. Han ved ikke, om der er andre hoteller i Dan-mark, der bruger Oracle. De har ikke undersøgt, om Oracle er førende leve-randør til hoteller. Han har ikke tænkt på at følge op, fordi han fik at vide, at der var en fejl i Oracles system.
Ophobning af persondata indebærer en risiko for misbrug i tilfælde af læk, eksempelvis i tilfælde af hacking eller ransomware.
Vidne 6 … forklarede, at han er ansat i NSK, NC3, som fagkoordinator i det tekniske kvalitetsteam. De gennemgår nye versioner af værktøjer og gennemgår procedurer m.h.p. at identificere fejl. De bistår også i konkrete sager i kredsene. Han er uddannet i politiet med en efteruddannel-se inden for it. I den foreliggende sag blev han kontaktet af en fra sit team, der bad ham hjælpe. Sagen var i gang, da han kom ind i den. Der var opsat en fjernskrivebordsadgang til Tiltalte A/S' server. Han sad i NC3 og skulle finde frem til, hvordan man skulle finde slettelogs. Han fandt purge-logs og departed customers og en tredje ting, der også handlede om sletning. Det var ham, der forestod it-ransagningen. Han videregav de data, som han fandt frem. Han analyserede ikke de data, han fandt.
Han spurgte ind til, hvilket system og version, der var tale om, og han læste derefter op på Oracles Opera-system. Han ved ikke, om Tiltalte A/S kunne stille spørgsmål til ransagningens udkomme. Han har truk-ket de relevante data ud for nærmere angivne perioder. Han har printet vold-somt store pdf'er ud. Nogle var på 4-5.000 sider. En purge-log indeholder dato for sletning. Man kan også se navnet på den person, der var slettet.
Foreholdt bilag 20, fane 9, sidste klips, har han forklaret, at man ikke kunne søge på purges for mange måneder ad gangen, i modsat fald fejlede ekspor-ten af data. Han husker i dag ikke nærmere, hvilke servere, der blev søgt på. Han ransagede det, som han havde adgang til.
Vidne 7 … forklarede, at hun var jurist i Datatilsynet fra maj 2016 til den 10. december 2018. Hun var fuldmægtig og sad primært med klagesager. Hun deltog dog også i nogle Datatilsynets tilsynsbesøg. Reglerne om opbevaringsbegrænsning var de samme før og efter maj 2018. Det nye i 2018 var, at de grundlæggende regler og principper vedrørende
side 13
persondataret nu lå i form af en forordning. Der kom nye dokumentations-krav samt et nyt bødeniveau. For virksomhederne var der for så vidt ikke no-get nyt at indrette sig på; men bødeniveauet var mere afskrækkende. Ved ud-vælgelsen af virksomheder til tilsynsbesøg har man lagt vægt på, om der blev behandlet mange personoplysninger med en deraf følgende større risiko for overtrædelse. Man prioriterede også at føre tilsyn inden for forskellige bran-cher. Fremgangsmåden ved tilsynet med forudgående fremsendelse af spørgsmål er i overensstemmelse med den sædvanlige praksis. Den praksis blev også fulgt før maj 2018.
Foreholdt varslingsskrivelse af 15. august 2018 med tilhørende spørgeskema (Bilag 20, fane 2) har vidnet forklaret, at ordlyden i denne skrivelse var iden-tisk med tilsvarende varslingsskrivelser til andre firmaer. Så vidt hun husker har de udpeget nogle systemer på baggrund af de oplysninger, som de mod-tog fra Tiltalte A/S som svar på spørgeskemaet.
På tilsynsbesøget hos Tiltalte A/S blev det oplyst, at der var komplette og ukomplette filer i bookingsystemet. For førstnævnte var slettefristen 380 dage og for sidstnævnte var den 180 dage. Der blev ikke før besøget oplyst noget om, at der var problemer med sletninger i systemet. Til-synsbesøget varede 2 timer. De var tre deltagere fra tilsynet. Det var det før-ste af tre slettetilsyn det efterår. Derfor var hendes kontorchef med. Det var primært kontorchefen, som førte ordet, men de to andre supplerede med spørgsmål. Der var nogle procedurer, som var dateret senere end deres vars-lingsbrev. Det havde de som opmærksomhedspunkt. Det lød som om, der var en god procedure for, hvordan man fulgte op på slettefristerne. Det hav-de dog vist sig, at der var profiler, som ikke var blevet slettet alligevel. Det blev oplyst, at der havde været drøftelser med leverandøren for en løsning med automatisk sletning. Det var dog ikke gået i orden. Derfor havde virk-somheden i stedet iværksat manuel sletning, og der var fastsat en procedure for den manuelle sletning. Ved stikprøvesøgningen fandt de personprofiler, der burde være slettet. Det viste, at kravet om sletning ikke reelt var over-holdt, selv om der var fastsat korrekte procedurer vedrørende sletning. Før de foretog stikprøvekontrollen, havde de fået oplyst, at der var foretaget ma-nuelle sletninger med henblik på at sikre overholdelsen af sletteproceduren. Foreholdt pkt. 2.8. ”Gennemgang af systemet” i rapporten vedrørende til-synsbesøget (Bilag 20, fane 6, 1. klips, pkt. 2.8) med mark up af kommenta-rer fra Tiltalte A/S har hun forklaret, at når en søgning på et navn fra 2010 ikke gav udslag, kan betyde, at der er sket en sletning, eller at der ikke har været en profil med det pågældende navn.
Skulle virksomheden overholde reglerne, skulle den have nedskrevne slette-procedure med angivelse af sletteansvarlig og frister for sletning. Det er imidlertid ikke nok, hvis proceduren ikke følges i praksis. Der skulle derfor være ført opfølgende kontrol med, om sletningen faktisk fandt sted. Gør man ikke det, har man ikke levet op til kravene. Hun husker ikke, om der var pro-cedurer fra før 2018, som omhandlede sletning af profiler. Der burde været
side 14
lavet procedurer for, hvordan man sikrede sig, at forskrifter om sletning rent faktisk blev overholdt. Virksomheden var bekendt med problemet, og at pro-blemet havde et stort omfang. Foreholdt rapporten vedrørende tilsynsbesøget (Bilag 20, fane 6, 1. klips, pkt. 2.1, sidste afsnit) med mark up af kommenta-rer fra Tiltalte A/S har hun forklaret, at de på tilsynsbesø-get sikkert har talt om længden af slettefrister. Man har dog ikke nødvendig-vis ment, at det var noget, som skulle med i en rapport.
Foreholdt bilag 20, fane 11, bilag 11 a, har hun forklaret, at det godt kan passe, at hun har modtaget orientering om denne procedure. På tilsynsbesø-get spurgte de ind til slettefristernes nærmere begrundelse, hvilket blev be-svaret. Hun husker ikke, om de drøftede, hvorvidt fristerne kunne være læn-gere. Det er jo virksomheden, der i første række ved, hvor længe de har brug for personoplysningerne. Det lytter man meget nøje til i Datatilsynet. Har virksomheden først foretaget vurderingen af, hvor længe den har behov for personoplysningerne, er dette retningsgivende for, hvornår der bør slettes. Forordningens slettefrister er ikke skrevet i sten. Hvis en virksomhed har fastslået en slettefrist, lægges den som udgangspunkt til grund. Datatilsynet har retten til at tilsidesætte fristen, hvis den er for lang og efter omstændighe-derne er for kort.
Der var ikke andet ved tilsynsbesøget, som hun særligt hæftede sig ved. Der var ikke i hendes tid yderligere tilsynsbesøg hos Tiltalte A/S. Der blev lavet en rapport om tilsynet. Den blev først sendt i udkast til Tiltalte A/S i oktober 2018. Tiltalte A/S vendte tilbage med bemærkninger, men hun husker i dag ikke hvilke. Det var vist meget blandet. Der var fokus på Opera. De var igennem flere versioner, før den endelige rapport. Der var nogle punkter fra Tiltalte A/S, som de ikke ville følge. Rapporten handlede primært om, hvad der var sket, og hvad der var set. Nogle af virksomhedens bemærkninger lå uden for denne ramme.
Foreholdt brev af 23. november 2018 med fire spørgsmål fra Datatilsynet til Tiltalte A/S' advokat (Bilag 20, fane 10) har hun forklaret, at hun ikke husker, hvilket svar der kom på denne forespørgsel. Hun havde været med til at formulere spørgsmålene. Hun var også med til at formulere de syv spørgsmål i brevet af 6. december 2018 (Bilag 20, fane 12). Datatilsy-net var på det tidspunkt opmærksom på, at det kunne ende med en politisag; men hun var på det tidspunkt endnu ikke orienteret om, hvor mange kunde-profiler, sagen angik.”
Der har været fremlagt Datatilsynets notat af 27. januar 2022 vedrørende fastsættelse af bødeniveau. Af notatet fremgår bl.a.:
”1 . Datatilsynet har den 28. juli 2020 anmeldt Tiltalte A/S til Nordsjællands Politi for overtrædelse af databeskyttelsesforordningen.
side 15
Datatilsynet indstillede ved politianmeldelsen, at anklagemyndigheden nedlagde påstand om
en bødestraf på 1.100.000 kr. Bødepåstanden blev fastsat på baggrund af Tiltalte A/S' nettoomsætning i 2018. Tilsynet havde i den forbindelse taget en række skærpende og formildende omstændigheder i betragt-ning.
2. Den 28. juli 2021 traf Det Europæiske Databeskyttelsesråd (EDPB) en bindende afgørelse vedrørende WhatsApps privatlivspolitik1. EDPB består af en ledende repræsentant for en tilsynsmyndighed fra samtlige medlemsstater, og rådets opgave er at sikre ensartet anvendelse af for-ordningen på tværs af medlemsstaterne, herunder blandt andet at sikre korrekt anvendelse af bestemmelserne i konkrete sager. EDPB har efter forordningens artikel 65, stk. i litra a, kompetencen til at træffe afgørelse i sager, der berører flere medlemsstater, når disse ikke kan nå til enighed om sagens afgørelse. Når EDPB træffer en sådan afgørelse, er afgørelsen bindende over for den tilsynsmyndighed, der behandler sagen (den leden-de tilsynsmyndighed), jf. artikel 65, stk. 6, men rådets afgørelse om prin-cipielle problemstillinger er desuden et væsentligt fortolkningsbidrag for tilsynsmyndighederne.
Sagen handlede om WhatsApps grænseoverskridende behandling af per-sonoplysninger og behandling af brugeres og ikke-brugeres personoplys-ninger, herunder deling af personoplysninger mellem WhatsApp og an-dre Facebook-selskaber. Det fremgår af sagen, at der var tale om 326 millioner brugere og 125 millioner ikke-brugere i EU.
EDPB pålagde i afgørelsen det irske datatilsyn (DPC Irland) at revurde-re beregningen af den bøde, som det irske tilsyn var kommet frem til i sagen.
EDPB anførte i afgørelsen blandt andet, at EU-Domstolen, for så vidt angår betegnelsen “foregående regnskabsår” , som der henvises til i data-beskyttelsesforordningens artikel 83, stk. 5, på konkurrencerettens om-råde har præciseret, at Europa-Kommissionens delegerede kompetencer til at pålægge virksomheder bøder, herunder fastsættelse af bødens mak-simumstørrelse, skal beregnes på baggrund af nettoomsætningen i det foregående år forud for Europa Kommissionens afgørelse. Databeskyt-telsesforordningen er for en stor del bygget på de samme principper som inden for konkurrenceretten, og der drages flere steder, blandt andet i præambelbetragtning I 50, paralleller til konkurrenceretten. EDPB fandt således, at den endelige beregning af bødens maksimumstørrelse skal ske ved at anvende nettoomsætningen i det foregående regnskabsår, der skal beregnes ud fra datoen for tilsynsmyndighedens endelige afgørelse.
Datatilsynet har drøftet denne bindende afgørelse med Rigsadvokaten
side 16
med henblik på at få klarlagt, hvad dette betyder i en dansk kontekst, hvor det som bekendt ikke er tilsynsmyndigheden, der træffer endelig af-gørelse om bøde.
Ud fra en betragtning om, at bøden skal være effektiv, afskrækkende og proportional, vil det senest reviderede regnskabsår i forhold til domsafsi-gelsen give det mest retvisende billede af virksomhedens aktuelle økono-miske forhold, og dermed give det bedste grundlag for vurderingen af, hvilket bødeniveau, der vil være effektivt, have en afskrækkende virk-ning og være proportionalt.
Det vil således være Datatilsynets indstilling, at bøden fremover skal be-regnes på baggrund af det senest reviderede regnskabsår forud for den endelige dom, hvorfor tilsynet finder, at der er grund til at foretage en ny vurdering af bødens størrelse, som kan træde i stedet for den oprindelige bødeindstilling af 28. juli 2018.
3. Datatilsynet har herudover løbende fulgt udviklingen i den europæiske administrative praksis inden for databeskyttelsesforordningens område, ligesom der pågår et nationalt samarbejde mellem tilsynet, Rigsadvoka-ten og Rigspolitiet om udarbejdelse af retningslinjer for håndteringen af straffesager om overtrædelse af de databeskyttelsesretlige regler, herun-der om bødeudmålingen. Myndighederne har i den forbindelse — også med henblik på at gøre bødeudmålingen mere gennemsigtig — konkret arbejdet på en vejledning om fastsættelse af bøder for virksomheders overtrædelser af de databeskyttelsesretlige regler, der blev offentliggjort i januar 2021. De europæiske datatilsynsmyndigheder arbejder for tiden i regi af EDPB også på at udfærdige en fælleseuropæisk vejledning om bødeudmålingen som i det væsentlige bygger på de samme beregnings-principper som den danske nationale bødevejledning. Dette arbejde for-ventes afsluttet i løbet af 2022.
Bødevejledningen giver en nærmere beskrivelse af Datatilsynets metode til beregning af bøder på baggrund af virksomheders nettoomsætning.
4. I det følgende vil bødevejledningens beregningsmodel kort blive gen-nemgået. Herefter følger først en beregning af bøden med afsæt i Tiltalte A/S' nettoomsætning i 2018, og endelig en bereg-ning af bøden med afsæt i Tiltalte A/S' nettoomsæt-ning i 2020. Begge beregninger er medtaget med henblik på at synliggø-re, hvordan Datatilsynets oprindelige bødeindstilling på i ,1 mio. kr., der byggede på regnskabet fra 2018, fulgte bødevejledningens principper, for herefter at lave den parallelle beregning på baggrund af det senere regnskab fra 2020, som efter Rigsadvokatens beslutning skal lægges til grund.
Kort gennemgang af bødevejledningens beregningsmodel
side 17
Bødeudmålingen tager overordnet hensyn til to forhold: 1) Overtrædels-ens alvor, karakter og varighed, herunder andre skærpende og formil-dende omstændigheder, og 2) virksomhedens økonomiske forhold, som kan have en betydning for, hvornår bødens størrelse er proportional i forhold til overtrædelsens grovhed, særligt henset til den indvirkning bø-den vil have på den pågældende virksomheds økonomi.
Databeskyttelsesforordningen fastsætter et bødeloft på ca. 75.000.000 kr. /.1.150.000.000 kr. (det statiske bødeloft) for virksomheder med en nettoomsætning på op til og med 3.750.000.000 kr. Bødeloftet for virk-somheder med en nettoomsætning derover er hhv. 2% og 4% af netto-omsætningen (det dynamiske bødeloft).
I arbejdet med bødeudmålingen tages udgangspunkt i et grundbeløb fast-sat på baggrund af en generel vurdering af overtrædelsens alvor ud fra en vurdering af bestemmelsens grovhed, dens plads i databeskyttelses-forordningen og det underliggende mål, som bestemmelsen søger at be-skytte. Grundbeløbet for en overtrædelse af artikel 5 er eksempelvis fast-sat til 15.000.000 kr. — hvilket svarer til 10% af bødeloftet.
Som det er tilfældet inden for konkurrenceretten, har Datatilsynet, Rigs-advokaten og Rigspolitiet i lyset af den ovenfor nævnte proportionali-tetsbetragtning fundet, at bødens størrelse bør kunne justeres i forhold til virksomhedens størrelse med henblik på at imødekomme forordningens krav om, at bøderne skal være effektive, afskrækkende og proportionelle og for samtidig at undgå en skævvridning i, hvordan bøderne rammer virksomheder af forskellig størrelse.
Europa-Kommissionen har udarbejdet en definition af mikro-, små og mellemstore virksomheder (SMV’er), hvoraf det fremgår, at virksomhe-der med en nettoomsætning, der ikke overstiger 15.000.000 kr. define-res som mikrovirksomheder, at virksomheder med en nettoomsætning, der ikke overstiger 75.000.000 kr. defineres som små virksomheder, og at virksomheder med en nettoomsætning, der ikke overstiger 375.000.000 kr. defineres som mellemstore virksomheder. De angivne beløb svarer til hhv. 0,4%, 2% og 10% af de 3.750.000.000 kr. som ud-gør skellet mellem de store virksomheder med det statiske bødeloft og de meget store virksomheder med det dynamiske bødeloft.
Da grundbeløbet er fastsat i forhold til de store virksomheder med en nettoomsætning på op til 3.750.000.000 kr., som er udgangspunktet i forordningen, vil der med den nye bødeberegning blive lagt op til, at grundbeløbet kan justeres ned til henholdsvis 0,4%, 2% og 10% for SMV’er.
Når det er angivet, at bøden kan justeres ned til et lavere beløb, og der ikke er angivet et fast lavere grundbeløb, hænger det sammen med, at
side 18
der er flere ting, der indgår i vurderingen af, hvor tungt virksomhedens økonomi skal vægte i bødeudmålingen. Det indgår således, at jo lavere en nettoomsætning, virksomheden har, desto større effekt vil en høj bøde have på virksomhedens økonomi. Endvidere indgår det, at overtrædelser generelt set kan antages at have en mindre effekt på markedet, jo mindre virksomheden er, og i særdeleshed jo mindre markedsandel virksomhe-den har. Begge disse forhold skal således vægtes i vurderingen af, i hvil-ket omfang grundbeløbet kan nedjusteres.
Når grundbeløbet er fastlagt ud fra overtrædelsens generelle alvor og eventuelt justeret i forhold til virksomhedens økonomiske forhold, kan der justeres for overtrædelsens konkrete alvor og øvrige formildende og skærpende omstændigheder.
5. Bødeberegning på baggrund af regnskabet fra 2018
Datatilsynet har forbindelse med politianmeldelsen i nærværende sag be-grundet den indstillede bødes størrelse, hvilken begrundelse tilsynet i det hele skal henvise til.
Det fremgår af sagen, at Tiltalte A/S havde en samlet nettoomsætning i 2018 på Beløb kr.
I overensstemmelse med det ovenfor anførte, indebærer det, at virksom-heden ligger inden for kategorien “store virksomheder” , for hvilke grundbeløbet for en overtrædelse af artikel 5 er 15.000.000 kr. — hvil-ket svarer til 10% af bødeloftet på 150.000.000 kr. — henset til over-trædelsens generelle alvor.
Datatilsynets oprindelige indstilling på 1.100.000 kr. udgør 7,3 % af det grundbeløb, der som udgangspunkt er fastsat for en overtrædelse af for-ordningens artikel 5 ifølge bødeberegningsmodellen.
I forhold til den danske retstradition er en bøde på 1.100.000 kr. i den høje ende, men set i forhold til bødemaksimum og i forhold til bødebe-regningsmodellen, er det som redegjort for oven for en forholdsvis lille bøde.
Datatilsynet har i den forbindelse navnlig lagt vægt på, at Tiltalte A/S' nettoomsætning ligger i den nedre halvdel i forhold til kategorien “stor virksomhed” .
Datatilsynet har i skærpende retning lagt vægt på overtrædelsens om-fang, jf. artikel 83, stk. 2, litra a. Tiltalte A/S' databeskyttelsesretlige adfærd i relation til sletning af personoplysninger, som er videre beskre-vet i Datatilsynets politianmeldelse, er efter Datatilsynets opfattelse ud-tryk for et grundlæggende problem, og udtryk for, at Tiltalte A/S ikke har behandlet personoplysningerne med den alvorlighed og seriøsitet,
side 19
som databeskyttelsesforordningen kræver. Der er endvidere tale om en stor mængde personoplysninger, som har været opbevaret i en meget lang periode uden sagligt formål og som dermed kunne risikere at blive misbrugt til skade for de registrerede, hvis virksomheden eksempelvis i perioden var blevet ramt af et hackerangreb eller andet brud på sikkerhe-den, som kunne kompromittere de opbevarede data.
Datatilsynet har videre lagt vægt på tilregnelsesgraden, jf. artikel 83, stk. 2, litra b. Tilsynet finder, at Tiltalte A/S, som minimum fra det tids-punkt, hvor virksomheden gik i dialog med Oracle om systemets mang-lende sletning, har været vidende om — og herefter forholdt sig accepte-rende til — at virksomhedens behandling af personoplysninger ikke overholdt databeskyttelsesforordningens artikel 5, stk. 1, litra e. Datatil-synet har i den forbindelse også lagt vægt på, at der ikke er tale om ma-terielt nye regler. Reglerne om opbevaringsbegrænsning har gjaldt i man-ge årtier, hvorfor Tiltalte A/S måtte have indset, at de ikke levede op til disse regler.
I formildende retning har Datatilsynet lagt vægt på, at Tiltalte A/S over en længere periode har været i dialog med Oracle om opgradering af hardware og software. Dialogen blev dog først påbegyndt i december 2017, og Tiltalte A/S fortsatte med at benytte systemet, uden at iværk-sætte manuel sletning som alternativ. Datatilsynet har i formildende ret-ning endvidere lagt vægt på, at Tiltalte A/S har opbevaret oplysninger som navn, adresse, telefonnummer, præferencer og besøgshistorik, mv., men ikke har opbevaret fortrolige eller følsomme oplysninger i form af eksempelvis oplysninger om personnummer, helbred eller lignende. En-delig har Datatilsynet i formildende retning lagt vægt på, at oplysninger-ne ikke blev benyttet aktivt.
Datatilsynet har vurderet de formildende og skærpende omstændigheder, og på baggrund af sagens omstændigheder, særligt henset til overtræ-delsens karakter og alvorlighed, jf. databeskyttelsesforordningens artikel 83, stk. 5, litra a, og forordningens krav om, at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have af-skrækkende virkning, jf. forordningens artikel 83, stk. 1, findes en bøde pålydende 1.100.000 kr., på baggrund af regnskabsåret 2018, for pas-sende.
Samtlige af sagens omstændigheder har været taget i betragtning ved denne vurdering.
6. Bødeberegning på baggrund af regnskabet fra 2020
Det fremgår af årsrapporten for 2020, at Tiltalte A/S i 2020 havde en samlet nettoomsætning på Beløb kr.
I overensstemmelse med det ovenfor anførte, indebærer det, at virksom-
side 20
heden således fortsat ligger inden for kategorien “store virksomheder” (nettoomsætning = 3,75 mia. kr.), for hvilke grundbeløbet for en over-trædelse af artikel 5 er 15.000.000 kr. — hvilket svarer til 10% af bøde-loftet på 1.50.000.000 kr. — henset til overtrædelsens generelle alvor.
Virksomheden ligger dog med 2020-regnskabet meget tæt på den nedre grænse for kategorien, og meget tæt på kategorien “mellemstor virk-somhed” (nettoomsætning = 375 mio. kr.). For mellemstore virksomhe-der kan grundbeløbet justeres fra I 5 mio. kr. og ned til i ,5 mio. kr.
Det er Datatilsynets vurdering, at grundbeløbet, henset til den noget re-ducerede nettoomsætning i 2020, bør nedjusteres til 5 mio. kr. Det be-mærkes i den forbindelse, at Tiltalte A/S, på trods af den lavere nettoomsætning, fortsat er en “stor virksomhed” , hvorfor grundbeløbet ikke bør nedjusteres til den laveste grænse for en mellem-stor virksomhed (hvilket er 1,5 mio. kr.). En nedjustering til 5 mio. kr. findes dog at afspejle, at virksomheden ligger på grænsen til denne kate-gori.
Datatilsynets oprindelige indstilling udgjorde, efter en vurdering af de konkrete skærpende og særligt formildende omstændigheder, Antal % af grundbeløbet, hvorfor den endelige bødeindstilling baseret på 2020-regn-skabet ligeledes bør nedskrives forholdsmæssigt.
Datatilsynet skal på denne baggrund samlet set indstille, at bøden heref-ter udmåles til 350.000 kr.”
Rettens begrundelse og afgørelse
Efter de i det væsentlige samstemmende forklaringer afgivet af vidnerne Vidne 1, Vidne 2, Vidne 3 og Vidne 4 finder retten det bevist, at Tiltalte A/S som dataansvarlig for behandling af personoplysninger i systemet Opera senest i december 2017 blev opmærk-som på, at personoplysninger omfattet af databeskyttelsesforordningens arti-kel 6 blev opbevaret på en sådan måde, at det var muligt at identificere de re-gistrerede i et længere tidsrum end det, der efter virksomhedens egen vurde-ring var nødvendigt til de formål, hvortil personoplysningerne behandledes, idet man i virksomheden på dette tidspunkt blev opmærksom på, at virksom-hedens procedure for automatisk sletning af personlige kundeprofiler ikke var indrettet på en sådan måde, at det i alle relevante tilfælde understøttede automatisk sletning. Ved gerningsperiodens begyndelse den 25. maj 2018 valgte virksomheden med forsæt at opretholde den ulovlige opbevaring og undlod at indføre nedskrevne retningslinjer for manuel sletning, ligesom ma-nuel sletning ikke blev sat i værk på dette tidspunkt. Retten finder det sands-ynliggjort, at alternativet til en opretholdelse af den ulovlige opbevaring i form af en fuldstændig sletning af alle kundeprofiler den 25. maj 2018 ville have været teknisk muligt, men samtidigt kunne have være kommercielt øde-
side 21
læggende for virksomheden og have medført overtrædelse af en række andre lovbestemte pligter. Selv om virksomheden fra gerningsperiodens begyndelse have forsæt til at opretholde den ulovlige opbevaring, finder retten det bevist, at virksomheden på dette tidspunkt ikke havde et fuldt overblik over omfan-get af de ulovligt opbevarede personlige kundeprofiler. Efter forklaringerne afgivet af Vidne 2 og Vidne 4, finder retten det bevist, at om-fanget af ulovligt opbevarede tidligere kundeprofiler lå på ca. 500.000. Da formålet med profilerne efter det af Vidne 1 oplyste var, at kunder-ne kunne blive genkendt, finder retten det bevist at hver profil i al væsentlig-hed har indeholdt informationer om en identificerbar fysisk person, selv om ikke alle profiler nødvendigvis indeholdt såvel navn, adresse, telefonnummer, e-mailadresse, besøgshistorik, pasoplysninger som præferencer for opholdet. Retten finder efter det oplyste, at Tiltalte A/S først i sep-tember 2018 fik viden om det fulde omfang af ulovligt opbevarede person-profiler. Selv om virksomheden ikke indførte nedskrevne procedure for ma-nuel sletning, finder retten det bevist, at virksomheden i september 2018 iværksatte en begrænset manuel sletning, hvorefter virksomheden i november 2018 iværksatte den omfattende sletning, der medførte, at de ulovligt opbe-varede kundeprofiler var slettet (anonymiseret) i perioden efter december 2018.
I dette omfang finder retten Tiltalte A/S skyldig i overtræ-delse af databeskyttelsesforordningens artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2, hvilket er strafbart i dansk ret, jf. data-beskyttelseslovens § 41, stk. 1, nr. 4, jf. stk. 3 og stk. 6, jf. straffelovens 5. kapitel. Retten bemærker, at bestemmelserne i den danske lovgivning burde være citeret i anklageskriftet.
To dommere har voteret for at tildele Tiltalte A/S en ad-varsel, hvorved straffen bortfalder, jf. straffelovens § 83, 2. pkt. En dommer har voteret for at fastsætte straffen til en bøde på 175.000 kr.
Der afsiges dom efter stemmeflertallet.
Både flertallet og mindretallet har ved udmålingsspørgsmålet tiltrådt de prin-cipper og beregninger for udmåling, der fremgår af Datatilsynets notat af 27. januar 2022 vedrørende fastsættelse af bødeniveau, og har i skærpende og formildende retning lagt vægt på de samme forhold, som er nævnt i notatet. Retten har i formildende retning tillige lagt vægt på, at der er tale om en før-stegangsovertrædelse af formel karakter, og at Tiltalte A/S efter at være blevet opdaget har anvendt omfattende ressourcer på at rette for sig. Endelig har retten i formildende retning lagt vægt på, at sagens be-handlingstid har varet i mere end 3 år, uden at dette har kunnet tilskrives Tiltalte A/S' forhold.
Thi kendes for ret:
side 22
Den af Tiltalte A/S forskyldte straf bortfalder.
Statskassen betaler sagens omkostninger.
Dommer