Dom
UDSKRIFT
AF
ØSTRE LANDSRETS DOMBOG
____________
D O M
Afsagt den 20. september 2023 af Østre Landsrets 5. afdeling
(landsdommerne Kåre Mønsted, Gunst Andersen og Martin Nyvang (kst.) med doms-mænd).
5. afd. nr. S-494-22:
Anklagemyndigheden
mod
Tiltalte A/S
(advokat Dan Bjerg Geary)
Dom afsagt af Retten i Lyngby den 11. februar 2022 (1-1471/2021) er anket af anklage-myndigheden med påstand om skærpelse.
Tiltalte A/S har påstået frifindelse.
Anklagemyndigheden har berigtiget tiltalen således, at tiltalen tillige omfatter de bestem-melser i databeskyttelsesloven, som byretten har fundet tiltalte skyldig i overtrædelse af.
Forklaringer
Der er i landsretten afgivet supplerende forklaring af vidnerne Vidne 1, Vidne 5 og Vidne 2 samt forklaring af Vidne 8.
De i byretten af vidnerne Vidne 3, Vidne 6, Vidne 4 og Vidne 7 afgivne forklaringer er dokumenteret i medfør af retsplejelovens § 923.
- 2 -
Vidne 1 har forklaret blandt andet, at der for tiden er ca. Antal ansatte i Tiltalte A/S. Der var formentlig ca. Antal overnatninger i 2022. Der har været investeret mange penge i at overholde GDPR-reglerne. Slettefristen er fastsat meget ambitiøst, og den kunne meget vel have været længere. Der er gæster, som undrer sig over, at det er nødven-digt at oplyse om bopæl mv., når de kommer med års mellemrum. Der var ikke hjælp at få hos HORESTA og Datatilsynet om fastsættelsen af slettefristen. Der har været mere end 100 ansatte med til at udvikle best practice regler. Der er også anvendt betydelige beløb til eksterne rådgivere. Det har været en udfordring, at Oracle er en amerikansk virksomhed, hvor kendskab til GDPR ikke er optimalt. Der er lovgivning, der fastsætter pligt til at fore-tage registrering af gæsterne. Det var ikke i tankerne dengang at gå væk fra Opera. Det var ikke ukompliceret at sætte en automatisk slettefunktion i drift, da nogle af funktionerne slettede alt for meget, herunder aktuelle reservationer.
De opdagede ikke selv, at slettefunktionen ikke virkede, fordi en stor del af de profiler, der skulle slettes, også rent faktisk blev slettet. Når sletningen fejlede, så var det ifølge Oracle på grund af, at Tiltalte A/S ikke havde valgt Oracles økonomisystem.
Der har ikke været datalæk hos Tiltalte A/S, og de opbevarede oplysninger har ikke været anvendt til markedsføring, medmindre kunden har givet tilladelse hertil. Omsætningen i dag er større end før der kom Covid-19 nedlukning, hvilket hænger sammen med, at Tiltalte A/S i dag har flere enheder, end de havde før nedlukningen.
Hun havde forventet, at Datatilsynet ydede rådgivning om de tekniske udfordringer, som alle, der bruger Opera, har. Der var imidlertid ingen forståelse hos Datatilsynet for de ud-fordringer, som Tiltalte A/S stod med.
GAP-analysen handlede om at få kortlagt alle systemer og deres berøringsflader til GDPR. Det var databeskyttelsesforordningen, der satte det arbejde i gang. Opera er knyttet til øko-nomisystemet Navision og mange andre systemer hos Tiltalte A/S. De havde en forvent-ning om, at Oracle nåede at løse problemet med sletning inden forordningen trådte i kraft, hvilket er grunden til, at hun ikke straks igangsatte manuel sletning. Efter forordningen trådte i kraft, igangsatte hun i september 2018 manuel sletning. Hun var klar over, at opga-ven havde en størrelse, så de aldrig ville kunne nå i mål med sletningen. Den manuelle sletning var derfor mere for at vise, at de gjorde noget end faktisk at løse problemet.
- 3 -
Der var ikke en slettefrist efter de gamle lovregler, men virksomheden har altid slettet kun-deoplysninger, som ikke var brugbare. Best practice fra 2011 satte en frist på 380 dage. Der har været slettet meget, men ikke i tilstrækkeligt omfang. Hun kan ikke angive antallet af oplysninger, som var mere end 5 år gamle.
Hun har ikke følt, at Oracle ikke tog det seriøst, når Tiltalte A/S rykkede for en opdatering af Opera, der tog hensyn til GDPR.
Vidne 5 har forklaret blandt andet, at beskrivelsen af proceduren fra 2018 blev sendt til Datatilsynet efter tilsynsbesøget. Senere sendte virksomheden instruksen fra 2011.
Pligten til at slette persondata er en gammel regel, og det har formentlig spillet ind i Data-tilsynets valg af fokusområde. Det er en af de nemme ting at kontrollere. Det er den data-ansvarlige, der fastsætter slettefristen inden for den ramme, at den skal være sagligt be-grundet. Han husker, at virksomheden havde problemer med at få softwareleverandøren til at tilpasse programmet til GDPR-reglerne.
Der har været en overvejelse med Justitsministeriet om, hvad Datatilsynet kan i relation til efterforskning uden at skulle gøre brug af bistand fra politiet. Datatilsynet kan godt bistå politiet med efterforskningen.
Det kan være vanskeligt at få indbygget en slettefunktion i et system, der har været i brug gennem længere tid. Antallet af data er meget stort, når systemet har været i brug i mange år. Det kan også gøre det mere komplekst at få en slettefunktion til at virke, når et system er af ældre dato. Det kan have spillet ind for Oracles interesse i problemet hos virksomhe-den, at virksomheden har anvendt f.eks. et økonomisystem, der ikke kommer fra Oracle, og som ikke arbejder sammen med slettefunktionen i Opera.
Da Datatilsynet kom på tilsyn, var han ikke klar over, at der ikke blev slettet filer i over-ensstemmelse med Tiltalte A/S' egne retningslinjer, men da der blev fundet gamle profi-ler, var hans første tanke, at der ikke blev slettet filer, og det førte til uddybende spørgsmål.
- 4 -
Han har ikke interesseret sig nærmere for omfanget af dubletter i den analyse, som han har foretaget, der viser antallet af sletninger. Det var ikke teknisk muligt at udsondre antallet af ukomplette profiler eller alderen på data ud over, at de var mere end henholdsvis 180 og 380 dage gamle.
Vidne 8 har forklaret blandt andet, at hun er kontorchef i Datatilsynet. Datatilsynet modtager ugentligt 200-300 indberetninger om brud på datasikkerheden. Der er pligt til at indgive anmeldelse, hvis der er sket et brud på datasikkerheden. Der føres tilsyn med virksomheder og myndigheder med besøg. Der er også henvendelser fra borge-re, der mener, at deres data er blevet misbrugt. Der er et tæt samarbejde med tilsvarende myndigheder i Europa med henblik på at sikre en ensartet behandling af overtrædelser, herunder bødepraksis. Datatilsynet har et tæt samarbejde med politiet og anklagemyndig-heden om tiltalerejsning og bødeudmåling. Datatilsynet kan udstede bøder, hvis der er en erkendelse, og sagen er ukompliceret. Endvidere forudsætter administrative bøder, at der er fast domstolspraksis om bødeniveauet. Datatilsynet kan give forbud, udtale kritik og med-dele en advarsel.
Det er i meget få sager, at der sker anmeldelse til politiet. Det er sket i 20-25 sager siden 2018. Det er alvorligheden, der er afgørende for, om der politianmeldes. Risikoen for de registrerede og antallet af registrerede indgår i afvejningen af, om der er grundlag for poli-tianmeldelse. Det har også haft betydning for, at Tiltalte A/S er blevet politianmeldt, at reglerne om, at man skal slette persondata, ikke er nyindført med forordningen. Det er kun sanktionsniveauet, der er ændret.
Temaet for tilsynet hos Tiltalte A/S havde fokus på sletning, da der også efter tidligere lovgivning var pligt til sletning. Sletning er vigtig, fordi det begrænser risikoen for, at data bliver misbrugt.
Bødeniveauet skal afspejle virksomhedens størrelse og virke motiverende for, at reglerne bliver overholdt.
Offentlige myndigheder i Danmark kan idømmes bøder, men bødeniveauet skal efter be-mærkningerne til loven være langt lavere end det, der gælder for virksomheder m.v.
- 5 -
Der er udarbejdet guidelines for bødeudmåling i europæisk regi, og de fører ikke til en la-vere bøde end den, der er nedlagt påstand om i denne sag. I forhold til de internationale guidelines ligger det danske bødeniveau fortsat lavt.
Oprindeligt var tilsynets indstilling en bøde på 1,1 mio. kr. Grundet Tiltalte A/S' omsæt-ningsnedgang blev der under byrettens behandling af sagen indstillet en bøde på 350.000 kr., og under landsrettens behandling af sagen er der igen indstillet en bøde på 1,1 mio. kr., idet Tiltalte A/S' omsætning nu er over det niveau, omsætningen var på, da der første gang blev udarbejdet indstilling. Den nuværende omsætning kunne måske have givet grundlag for en bødeindstilling på 1,2 mio. kr.
Vidne 2 har forklaret blandt andet, at han var med til at tage stilling til, at Tiltalte A/S valgte Opera, da det er et system, der anvendes globalt og kan ”tale” med an-dre systemer. Det var nødvendigt at anvende et andet finansmodul end det, som Oracle tilbyder sammen med Opera.
I 2009 kom en funktionalitet, der slettede profiler. Udkommet af funktionen blev ikke kon-trolleret slavisk. Selv om en faktura var betalt, blev det fortsat registreret i Opera som et udestående, hvilket hindrede sletning. Det var ukendt indtil 2018, at der var den mangel ved Opera. Der var også andre registreringer end udestående tilgodehavender, der hindrede automatisk sletning.
Der er blevet slettet over 8 mio. profiler ved den automatiske sletning, som var indbygget i Opera. Merge er en funktion, hvor flere profiler bliver samlet til en profil. Det har den baggrund, at den samme kunde kan være registreret gennem forskellige salgskanaler. Der er ugentligt udskrevet lister over de sammenlægninger, som systemet ikke automatisk kun-ne behandle. Profiler, som ikke er komplette, volder vanskeligheder i relation til automa-tisk sammenskrivning. Vejledningen er detaljeret, da det er mange medarbejdere, som har skullet foretage mergeprocessen.
Datatilsynets medarbejdere var oprindeligt ikke fokuserede på slettefunktionen. Det var Tiltalte A/S' medarbejdere, der oplyste, at der var et problem i relation til Oracles opfølg-ning på henvendelser om tilretning af Opera til GDPR.
- 6 -
Der har ikke været foretaget egentlig stikprøvekontrol af, om funktionen automatisk slet-ning virkede.
Der var 40 vejledninger i virksomheden, der tog sigte på overholdelse af GDPR-reglerne. Der er i dag 49 vejledninger.
Der har ikke været begrænsninger fra ledelsens side i, hvilke aktiviteter det var nødvendigt at igangsætte i relation til overholdelse af GDPR-regler.
Han havde tillid til, at Oracle kunne løse opgaven rettidigt, men der kom ikke brugbare løsninger i maj 2018. I august blev det besluttet at løse sletteopgaven manuelt og senere tillige med 15 robotter. Det var hovedsageligt en mundtlig instruktion, der dannede grund-lag for den manuelle sletning af forældede profiler i efteråret 2018. Der er sikkert skrevet lidt stikord ned, men der er ikke udarbejdet en egentlig instruks.
Person 1 skulle overvåge, om systemerne arbejdede korrekt sammen.
Person 3 havde ansvaret for Opera i Europa hos Oracle. Der var bestilt og rykket for en løsning, før han skrev en mail af 27. marts 2018 til Person 3. Der var dialog allerede i efteråret 2017 om tilretning af Opera, således at systemet levede op til GDPR-reglerne.
Af Datatilsynets udtalelse af 16. august 2023 fremgår blandt andet:
” Udtalelse om fornyet vurdering af bødens størrelse i straffesagen mod Tiltalte A/S, Datatilsynets j.nr. 2023-63-0023 og Stats-advokatens J.nr. SAK 2022-1400801-72
Ved politianmeldelsen af 28. juli 2020 af Tiltalte A/S indstillede Datatilsynet, at anklagemyndigheden nedlagde på-stand om en bødestraf på 1,1 mio. kr. Bødepåstanden blev fastsat bl.a. på bag-grund af Tiltalte A/S' nettoomsætning for 2018 på i alt Beløb kr. Til-synet havde i den forbindelse taget en række skærpende og formildende om-stændigheder i betragtning.
Forud for sagens behandling ved byretten udarbejdede Datatilsynet et notat af 27. januar 2022 om Datatilsynets fornyede vurdering af bødens størrelse, idet der på grund af ny praksis fra EU fandtes at være grundlag for et ændret syn på hvilket årsregnskab, som bødeberegningen bør tage udgangspunkt i. Notatet er vedlagt som bilag 1. Af notatet fremgår det bl.a., at det er Datatilsynets vurde-ring - efter drøftelser med Rigsadvokaten - at bødens størrelse skal vurderes på baggrund af nettoomsætningen for det senest reviderede regnskabsår forud for
- 7 -
endelig dom, som følge af en bindende afgørelse truffet af Det Europæiske Da-tabeskyttelsesråd (EDPB). Der henvises i øvrigt til det anførte i notatet af 27. januar 2022 om fortolkningen af den pågældende afgørelse i en dansk kontekst. Det var på denne baggrund Datatilsynets vurdering, at der var grundlag for at foretage en ny vurdering af bødens størrelse. som kunne træde i stedet for den oprindelige bødeindstilling som anført i politianmeldelsen af 28. juli 2020.
Ved Datatilsynets fornyede vurdering af bødens størrelse i notatet af 27. januar 2022 foretog Datatilsynet vurderingen af bødens størrelse bl.a. på baggrund af Tiltalte A/S' nettoomsætning på Beløb kr., hvilket fremgik af Tiltalte A/S' årsrapport for 2020, Da virksomhedens nettoomsætning var en del mindre end det oprindelige udgangspunkt - formentligt som følge af den mel-lemliggende corona-pandemi - gav dette anledning til en væsentlig mindre bø-deindstilling til anklagemyndigheden til brug for byrettens behandling af sagen. Datatilsynet indstillede derfor til en bøde på samlet set 350.000 kr.
Idet sagen er berammet til hovedforhandling i Østre Landsret den 18 -20. sep-tember 2023, er der efter samme principper behov for, at Datatilsynet foretager en fornyet vurdering af bødens størrelse forud for endelig dom i sagen, bereg-net på baggrund af oplysninger om nettoomsætning i det senest reviderede regnskabsår. Af Tiltalte A/S' årsrapport for 2022 fremgår det. At virksomhe-den havde en nettoomsætning pa Beløb kr. 2022. Uddrag af Tiltalte A/S' årsrapport for 2022 er vedlagt som bilag 2.
Nettoomsætningen i 2022 ses at være på niveau med det, som lå til grund for den oprindelige bødeindstilling, hvorfor Datatilsynet finder, at bøden bør fast-sættes til det oprindeligt indstillede niveau.
Der henvises i øvrigt til det tidligere anførte om vurderingen af sagens konkrete omstændigheder. herunder de skærpende og formildende omstændigheder, der særligt er lagt vægt på i forbindelse med vurderingen af bødens størrelse ud fra de hensyn som følger af artikel 83, databeskyttelseslovens § 42 og straffelo-vens bestemmelser i øvrigt.
Datatilsynet skal samtidig pege på, at det fremgår af Retten i Lyngbys dom af 11. februar 2022 i sagen, at retten tiltrådte de principper og beregninger for udmåling, som fremgår af Datatilsynets notat af 27. januar 2022. Endvidere fremgår det af byrettens dom i sagen, at retten anså det som en formildende omstændighed, at det er tale om et førstegangstilfælde. Datatilsynet er ikke umiddelbart enig i, at det forhold, at der er tale om et førstegangstilfælde for-stået som et førstegangstilfælde i forhold til straf for overtrædelse af databe-skyttelsesforordningen bør betragtes som en formildende omstændighed idet udgangspunktet må være, at forordningen overholdes. Omstændigheden må derfor efter tilsynets opfattelse betragtes som neutral i forhold bødeudmålin-gen.
• Datatilsynet skal herefter samlet set indstille, at bøden udmåles til 1,1
mio. kr.
Supplerende bemærkninger om udmåling af bøder til private virksomhe-der efter databeskyttelsesforordningen
- 8 -
Databeskyttelseslovens § 41, stk. 1 og 2, hjemler straf i form af bøde eller fængsel indtil 6 måneder for de overtrædelser af databeskyttelsesforordningen, som i henhold til forordningens straffebestemmelse - artikel 83 - kan give an-ledning til straf. Artikel 83 foreskriver endvidere, at bøder for overtrædelse af forordningens regler i hver enkelt sag skat være effektive, skal stå i rimeligt forhold til overtrædelsen og skal have afskrækkende virkning. Efter bestem-melsen skal der ved straffens udmåling tages hensyn til både de konkrete om-stændigheder i sagen, herunder karakteren af overtrædelsen, ligesom der skal lægges vægt på virksomhedens samlede globale årlige omsætning, jf. herved artikel 83, stk. 2, 4 og 5.
I bestemmelsen er det som anført fastlagt, hvilke af forordningens bestemmel-ser der kan idømmes bøde for overtrædelse af og det er endvidere beskrevet, hvilke bødelofter der gælder for private virksomheder. Bødens samlede størrel-se må således ikke overstige det lovfastsatte bødeloft. Med databeskyttelses-forordningens artikel 83, stk. 4-6, følger også en kategorisering af overtrædel-serne ud fra den generelle grovhed:
1) Dem der er strafbare efter databeskyttelsesforordningens artikel 83,
stk. 4 - og som kan straffes med bøder op til 10 mio. euro eller 2 pct. af virksomhedens omsætning (alt efter hvilket af de to beløb der er hø-jest).
2) Dem der er strafbare efter databeskyttelsesforordningens artikel 83,
stk. 5 og 6 - og som kan straffes med bøder op til 20 mio. euro eller 4 pct. af virksomhedens omsætning (alt efter hvilket af de to beløb der er højest).
Databeskyttelsesforordningens artikel 83, stk. 4-6, fastsætter således følgende to typer af bødelofter:
-De statiske bødelofter på henholdsvis 10 mio. euro, jf. databeskyttel-
sesforordningens artikel 83, stk. 4, og 20 mio. euro. jf. databeskyttel-sesforordningens artikel 83, stk. 5 og 6.
-De dynamiske bødelofter, der alene finder anvendelse på meget store
virksomheder med en årlig global omsætning, der overstiger 500 mio. euro jf. dynamiske bødelofter udgør henholdsvis 2 pct. (artikel 83, stk. 4) eller 4 pct. (artikel 83, stk. 5 og 6) af virksomhedens samlede glo-bale årlige omsætning.
Med denne sondring har EU-lovgiver på forhånd tilkendegivet en indikation af den generelle alvor af en overtrædelse
Nærmere om modellen for vurdering af bødens størrelse
I januar 2021 udgav Datatilsynet - i samarbejde med Rigsadvokaten og Rigspo-litiet - en vejledning om udmåling af bøder til private virksomheder i erkendel-se af, at der med databeskyttelsesforordningen fulgte en ny fremgangsmåde for udmåling af bøder. Vejledningen byggede på Artikel 29-gruppens retningslin-jer om bl.a. anvendelse af administrative bøder i overensstemmelse med data-beskyttelsesforordningen og på et igangværende arbejde i en arbejdsgruppe
- 9 -
nedsat i regi af Det Europæiske Databeskyttelsesråd (EDPB) med udformning af uddybende fælleseuropæiske retningslinjer med særlig fokus på udmåling af bøder til private virksomheder.
EDPB vedtog den 24. maj 2023 de uddybende retningslinjer for udmåling af bøder til private virksomheder (GL 04/22). De uddybende retningslinjer er ved-lagt som bilag 3. Formålet med retningslinjerne er at sikre ensartethed og gen-nemsigtighed i forhold til bødeudmålingen på tværs af de europæiske tilsyns-myndigheder. Det bemærkes i den forbindelse. at kompetencen til at udstede bøder i langt de fleste europæiske lande (alle på nær Danmark og Estland) er tillagt den nationale tilsynsmyndighed, hvorfor de pågældende guidelines er udarbejdet til brug for administrativ bødeudmåling. Der henvises i øvrigt til præambelbetragtninger nr. 150-151 som indeholder generelle betragtninger om bødeudmåling på tværs af de europæiske lande.
De uddybende fælleseuropæiske retningslinjer angiver en model for bødeud-målingen og nogle rammer for bødefastsættelsen, men retningslinjerne fastsæt-ter ikke konkrete bødetakster. Ifølge modellen foretager det enkelte tilsyn en konkret vurdering af overtrædelsens alvorlighed ved at vurdere
-overtrædelsens karakter, alvor og varighed under hensyntagen til den
pågældende behandlings karakter, omfang og formål samt antal regi-strerede, der er berørt, og omfanget af den skade, de har lidt (artikel 83, stk. 2. litra a),
-hvorvidt overtrædelsen blev begået forsætligt eller uagtsomt (artikel
83, stk. 2, litra b), og
-de kategorier af personoplysninger. der er berørt af overtrædelsen (ar-
tikel 83, stk. 2, litra g).
Modellen opererer med tre alvorlighedsgrader – lavere, middel og høj grad af alvorlighed. Når tilsynet har vurderet overtrædelsens alvorlighed, kan tilsynet justere bøden på baggrund af virksomhedens størrelse. På baggrund heraf fast-sættes et grundbeløb.
Retningslinjerne indeholder et skema med en oversigt over de rammer, inden for hvilke grundbeløbet kan fastsættes, når der er foretaget en klassifikation af overtrædelsens alvorlighed, og når/hvis det findes relevant at foretage en juste-ring på baggrund af virksomhedens størrelse. Skemaet skal ses i sammenhæng med retningslinjerne, og det kan således ikke stå alene.
Herefter kan tilsynet justere bødens størrelse afhængig af eventuelle (øvrige) skærpende og formildende omstændigheder, jf. databeskyttelsesforordningens artikel 83, stk. 2. litra c, d, e, f, h, i, j og k, samt eventuelle øvrige momenter, idet de opregnede momenter i artikel 83, stk. 2, ikke er udtømmende (i en dansk kontekst vil der ligeledes være mulighed for at justere bøden i henhold til straffelovens kapitel 10 om straffens fastsættelse). Hertil kommer, at det samlet set skal sikres, at bøderne er effektive, proportionale og afskrækkende, jf. databeskyttelsesforordningens artikel 83, stk. 1. Skemaet til retningslinjerne indeholder også to eksempler på, hvordan modellen benyttes i praksis.
Det bemærkes afslutningsvis, at Datatilsynet er i gang med at opdatere den gældende danske vejledning på området, således at den afspejler de uddybende fælleseuropæiske retningslinjer på området. Den gældende vejledning tog som
- 10 -
nævnt udgangspunkt i det igangværende arbejde i EDPB-regi og beregnings-principperne i den gældende vejledning fremstår i det væsentlige overens-stemmende med de netop vedtagne uddybende fælleseuropæiske retningslinjer, der udmønter de elementer, som udmålingen skal baseres på i henhold til arti-kel 83.
I forhold til den foreliggende sag kan det oplyses at Datatilsynet har foretaget en vurdering af sagens konkrete omstændigheder ud fra modellen i de nye ud-dybende retningslinjer fra EDPB. Denne vurdering har ikke givet anledning til at ændre pa indstillingen til en bøde på 1,1 mio. kr.”
Landsrettens begrundelse og resultat
Tiltalte A/S anvendte i forbindelse med booking af hotelovernatninger softwareprogram-met Opera, der blev leveret af Oracle. Der blev i Opera opbevaret kundeprofiler med nav-ne, adresser mv. Formålet med opbevaringen af profilerne var at gøre Tiltalte A/S i stand til at genkende gæster, der tidligere havde haft bookinger hos Tiltalte A/S. Landsretten lægger derfor til grund, at oplysningerne i de gemte profiler er omfattet af databeskyttelses-forordningens art. 4, stk. 1, nr. 1, om personoplysninger. Personoplysninger, som efter for-ordningens art. 5, nr. 1, litra e, skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil oplysningerne behandles.
Der var af Tiltalte A/S fastsat en frist på 380 dage for sletning af komplette kundeprofiler og en frist på 180 dage for ukomplette kundeprofiler. Fristen på 380 dage var fastsat ud fra et ønske om at ”kunne byde kunden velkommen tilbage ”, hvis der var tale om en kunde, som inden for en periode på ca. 1 år foretog en ny booking. Tiltalte A/S har selv vurderet, at det ikke var nødvendigt at opbevare profiloplysningerne i længere tid end henholdsvis 380 dage og 180 dage. I hvert fald under disse omstændigheder må opbevaring ud over Tiltalte A/S' egne slettefrister anses for at være i strid med databeskyttelsesforordningens art. 5, nr. 1, litra e.
Databeskyttelsesforordningen af 27. april 2016 var gældende fra den 25. maj 2018. Data-beskyttelsesloven (lov nr. 502 af 23. maj 2018) trådte i kraft samme dato.
Landsretten lægger på baggrund af navnlig forklaringen fra Vidne 2 til grund, at Tiltalte A/S i efteråret 2017 var i dialog med Oracle om en opdatering af Opera, således at systemet levede op til de nye GDPR-regler, samt at det blev konstateret senest i foråret 2018, at der ikke skete automatisk sletning af kundeprofiler i fuldt omfang. Der blev ikke i
- 11 -
virksomheden gennemført effektiv kontrol af, om Operas slettefunktion var effektiv, her-under stikprøvekontrol. En automatisk slettefunktion blev indbygget i Opera i 2009, men den var blandt andet ikke virksom, hvis f.eks. kunden ved afrejsen var registreret med et skyldigt beløb, selvom mellemværendet senere blev bragt i orden. Tiltalte A/S oplyste urigtigt den 11. september 2018 ved besvarelsen af et spørgeskema fra Datatilsynet om procedurer for sletning, at der blev foretaget automatisk sletning i overensstemmelse med retningslinjerne, selvom virksomheden på dette tidspunkt havde konstateret, at den af Oracle leverede løsning ikke virkede i alle tilfælde, og at et stort antal profiler derfor ikke var slettet. Det blev endvidere oplyst, at der blev foretaget stikprøvekontrol af, om oplys-ninger blev slettet indenfor de fastsatte frister, selvom dette ikke var tilfældet. Skemaet var udsendt af Datatilsynet til brug for det varslede tilsynsbesøg hos Tiltalte A/S den 1. okto-ber 2018.
Tiltalte A/S var således ved databeskyttelsesforordningen og databeskyttelseslovens ikraft-træden vidende om, at virksomheden ikke overholdt forordningens art. 5, stk.1, litra e, og forholdt sig accepterende hertil, idet en manuel sletteprocedure først blev iværksat i efter-året 2018. Den manuelle sletning, der blev iværksat i september 2018, var efter Vidne 1's forklaring utilstrækkelig, hvilket virksomheden var klar over, og den var mest etab-leret for at vise, at man gjorde noget ved problemet. Den manuelle sletning blev først in-tensiveret i november 2018, efter at det ved tilsynsbesøget den 1. oktober 2018 af Datatil-synet var konstateret, at der var problemer med overholdelse af slettefristen. Der foreligger dermed en forsætlig overtrædelse i perioden fra den 25. maj 2018 indtil december 2018, hvor der navnlig i november 2018 blev slettet i størrelsesordenen 500.000 kundeprofiler, der var blevet opbevaret i strid med virksomhedens egne slettefrister. Antallet af slettede kundeprofiler er understøttet af forklaringerne fra Vidne 2 og Vidne 4, og det har tillige støtte i den analyse, som Vidne 5 har udarbejdet. Det kan ikke til-lægges betydning, om der blandt de slettede kundeoplysninger var dubletter og ukomplette oplysninger, da opbevaringen i alle tilfælde ikke var i overensstemmelse med pligten til at slette unødvendige personoplysninger
Tiltalte A/S findes derfor skyldig i samme omfang som fastslået af byretten i overtrædelse af de i byretsdommen anførte bestemmelser i databeskyttelsesforordningen og databeskyt-telsesloven.
- 12 -
Landsretten er enig i byrettens bemærkninger om, at Datatilsynets redegørelse i notatet af 27. januar 2022 om bødefastsættelse i sagen, herunder formildende og skærpende omstæn-digheder, jf. forordningens art. 83, stk. 2, kan lægges til grund ved bødefastsættelsen. Nota-tet omhandler en bødeberegning både ud fra en nettoomsætning på baggrund af Tiltalte A/S' årsregnskab for 2018 og for 2020.
Landsretten finder henset til sagens kompleksitet ikke grundlag for en formildelse af straf-fen med henvisning til sagsbehandlingstiden.
Det fremgår af forordningens art. 83, stk. 4 og 5, at der ved fastsættelsen af bødens størrel-se tages hensyn til den samlede globale omsætning i det foregående regnskabsår, og det fremgår af afgørelse af 28. juli 2021 fra Det Europæiske Databeskyttelsesråd, at der med ”det foregående regnskabsår ” tages udgangspunkt i det seneste reviderede og offentliggjor-te regnskab, når tilsynsmyndigheden træffer endelig afgørelse om bødens størrelse.
Bestemmelserne i forordningens art. 83, stk. 4 og 5, hvorefter der ved bødefastsættelsen skal tages udgangspunkt i ”det foregående regnskabsår ” er udformet ud fra den forudsæt-ning, at der pålægges en administrativ bøde, hvilket i de fleste tilfælde må forventes at in-debære, at der vil være en nær tidsmæssig sammenhæng mellem gerningsperioden og det regnskabsår, som skal danne grundlag for fastsættelsen af den administrative bøde. Be-stemmelsen er således ikke affattet med sigte på den ordning, der er gældende i Danmark, hvorefter bødestraf idømmes af domstolene.
Det fremgår af forordningens præambel 150, at der med forordningen er tilsigtet en har-monisering af sanktioner, og af præambel 151 fremgår, at de kompetente nationale domsto-le bør tage hensyn til en anbefaling fra den tilsynsmyndighed, der har taget skridt til en bøde. Endvidere skal de idømte bøder under alle omstændigheder være effektive, stå i ri-meligt forhold til overtrædelsen og have afskrækkende virkning.
Landsretten finder, at bødefastsættelsen skal ske under hensyntagen til virksomhedens økonomiske forhold ud fra årsregnskabet for 2018, der afspejler virksomhedens økonomi-ske situation i perioden, hvor overtrædelsen fandt sted, og som var det senest reviderede og offentliggjorte regnskab, da tilsynsmyndigheden, Datatilsynet, afsluttede sagsbehandlingen og anmeldte Tiltalte A/S til politiet.
- 13 -
Datatilsynet har ikke nærmere redegjort for de beregninger, som førte til, at der oprindeligt blev påstået en bøde på 1.100.000 kr. ud fra Tiltalte A/S' årsregnskab for 2018. Det er således ikke muligt at vurdere, hvilket udgangspunkt for bødefastsættelsen, som Datatilsy-net har anvendt og herefter korrigeret under hensyntagen til sagens skærpende henholdsvis formildede omstændigheder. De ændrede bødeberegninger, som Datatilsynet har foretaget ud fra senere regnskabsår, afdækker heller ikke dette.
Landsretten finder på denne baggrund efter en samlet vurdering af sagens omstændigheder og med udgangspunkt i den af Datatilsynet indstillede bøde samt under hensyn til Tiltalte A/S' nettoomsætning i 2018, at bødestraffen passende kan fastsættes til 1.000.000 kr.
T h i k e n d e s f o r r e t :
Byrettens dom i sagen mod Tiltalte A/S ændres således, at Tiltalte A/S straffes med en bøde på 1.000.000 kr.
Tiltalte skal betale sagens omkostninger for byretten og landsretten.
(Sign.)