Dom
Retten på Frederiksberg
Udskrift af dombogen
D O M
afsagt den 6. januar 2023
Rettens nr. 5405/2020
Politiets nr. 0100-84266-00014-19
Anklagemyndigheden
mod
Tiltalte (Virksomhed)
v/Stilling 1 Vidne 1
CVR nr.
Adresse
By
Sagens baggrund og parternes påstande
Denne sag er behandlet med domsmænd, jf. retsplejelovens § 686, stk. 2.
Anklageskrift er modtaget den 16. juni 2020.
Tiltalte (Virksomhed) ved Stilling 1 Vidne 1 er tiltalt for overtrædelse af
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) artikel 83, stk. 2 og stk. 5, litra a, jf. stk. 9, jf. artikel 5, stk. 1, litra e, jf. artikel 6 og 4, nr. 1, jf. lov nr. 502 af 23. maj 2018 om supplerende be-stemmelser til forordning om beskyttelse af fysiske personer i forbin-delse med behandling af personoplysninger og om fri udveksling af så-danne oplysninger (databeskyttelsesloven) § 41, stk. 1, nr. 4, jf. stk. 3, jf. stk. 6,
ved i perioden fra den 25. maj 2018 og som konstateret af Datatilsynet ved tilsynsbesøg den 3. oktober 2018 og indtil omkring den 7. november 2019, at have undladt at opfylde virksomhedens forpligtelse som dataansvarlig for be-handling af personoplysninger i systemet DDS Pathfinder til at sikre, at per-sonoplysninger ikke blev opbevaret på en sådan måde, at det var muligt at identificere de registrerede i et længere tidsrum end det, der var nødvendigt til de formål, hvortil personoplysningerne behandledes, idet virksomheden, som led i produkt - og forretningsudviklingen, opbevarede oplysninger om kunders telefonnummer og lokaliseringsdata i form af opsamlings- og afleve-
Std 75284
side 2
ringsadresse, som i et betydeligt omfang er informationer om en identificer-bar fysisk person, der var indsamlet i forbindelse med 8.873.333 registrerede taxature, som var kørt før 1. oktober 2016, uagtet at telefonnumrene alene fungerede som ID-numre i systemet, og at formålet med opbevaringen af te-lefonnumrene efter 2 år kunne være opnået ved brug af et unikt ikke-person-henførbart ID-nummer, hvorfor opbevaringen ikke længere var nødvendigt.
Anklagemyndigheden har påstået tiltalte dømt i overensstemmelse med an-klageskriftet, dog således at gerningsperioden ophørte den 9. maj 2019 i ste-det for den 7. november 2019. Anklagemyndigheden har nedlagt påstand om en bødestraf på 1,2-1,3 mio. kr.
Tiltalte har erkendt sig skyldig i at have opbevaret telefonnumre og opsamlingsadresser i en 5 års periode frem til den 9. maj 2019, men har nægtet sig skyldig i at have opbevaret afleveringsadresser og i at have anvendt oplysningerne som led i produkt- og forretningsudvikling. Tiltalte har påstået strafbortfald.
Forklaringer
Der er afgivet forklaring af Stilling 1 Vidne 1, og vidnerne Vidne 2, Vidne 3 og Vidne 4.
Vidne 1 har til retsbogen afgivet følgende forklaring:
"... at han har været Stilling 1 i Tiltalte (Virksomhed) siden 1. oktober 2022. Han var ansat i Tiltalte (Virksomhed) fra 2013 til 2017 som Stilling 2. Firmaets kerneopgave er at tage imod bestillinger på ture og formidle disse ture videre til vognmænd. Firmaet varetaget endvidere blandt andet vognmændenes overenskomst, og står for marketing, reklamationer og glemte sager.
Foreholdt, bilag 1-1, bekræftede Vidne 1, at det er dette, der er firmaets kerneopgaver. Firmaet har også Flexkørsler og Kontoring.
Det er de til firmaet tilsluttede vognmænd, der ejer Tiltalte (Virksomhed). Disse vognmænd ejer indskudsbeviser og har stemmer efter antallet af disse.
Bestyrelsesformanden og næstformanden tegner selskabet – ikke direktøren. Vognmændene er selvstændige. Der er en formand, fire vognmænd og to eksterne erhvervsprofessionelle i firmaets bestyrelse. Direktøren deltager i bestyrelsesmøderne, men har ingen stemmeret. Firmaet har til huse på Adresse i By. Der er 30-35 ansatte på adressen i administrationen. Virksomheden Epinion mener, at Tiltalte (Virksomhed) sidder på 35% af markedet i København. Tiltalte (Virksomhed) er et københavnerselskab. Vidne 1 var ikke ansat i Tiltalte (Virksomhed), da tilsynet fandt sted i 2018. Han afløste Person 1 som Stilling 1. De seneste 10 år har der været 6 direktører i Tiltalte (Virksomhed). 1/3 af de ansatte var tilbage, da han vendte tilbage i oktober 2022 efter at have arbejdet andre steder siden 2017. De ansatte i firmaets IT-funktion har været ansat i
side 3
omkring 30 år. Afhørtes tre børn har alle arbejdet i Tiltalte (Virksomhed), så han har derfor holdt kontakten til Tiltalte (Virksomhed) i perioden fra 2017 til 2022, hvor han ikke var ansat. Vidne 1 har forhørt sig hos ansatte, der var til stede under tilsynet, for at kunne afgive forklaring i retten i dag. Han føler sig derfor i stand til at afgive forklaring om tilsynet i oktober 2018. IT hører under Stilling 1. Alt i firmaet er IT-relateret. Person 2 var ansvarlig for IT og overholdelse af GDPR. Person 2 var vist Stilling 3 i oktober 2018. Vidne 1 var selv med i forløbet op til GDPR-ændringsreglerne i maj 2018. Der blev i denne forbindelse brugt mange penge på blandt andet advokater. Dataomfanget i firmaet var stort. Der var arbejdsgrupper vedrørende GDPR-ændringerne i Vidne 1's tid i firmaet. I firmaet gjorde man alt for at efterkomme alle regler vedrørende GDPR. Et firma gik systemerne igennem. Der var tre ansatte i IT-afdelingen
- En IT-chef og to personer under ham. Med mellemrum var også en fjerde person ansat i IT-afdelingen. Vidne 3 var og er en af de to personer i IT-afdelingen, der arbejdede under IT-chefen. Det var IT-chefen, der havde ansvaret tidligere, og det er det også den dag i dag. Vidne 1 tror, at Person 2 stoppede i firmaet omkring 2020. Der var også før GDPR-ændringen i maj 2018 sletteregler i firmaet.
Foreholdt ”Retningslinjer for sletning” , forhold 1, bilag 1-2, forklarede Vidne 1, at han ikke ved, om disse retningslinjer er blevet sendt til Datatilsynet.
Slettereglerne er udførlige og grundige, og det var de også fra 2013 til 2017. Han kan ikke sige, om de også var det på gerningstidspunktet. Hvert system blev gået igennem for at overholde GDPR-reglerne. Man stødte på ting, som måtte rettes for at leve op til de nye GDPR-regler. Man fjernede blandt andet kundens navn fra telefonnummeret efter to år, og så mente man, at GDPR-reglerne var overholdt, idet oplysningen nu var anonymiseret. Der var ikke noget sted, hvor firmaet kunne læse, hvad personfølsomme oplysninger omfattede.
DDS-turformidlingssystemet var der også i 2013-2017. Det var på dette tidspunkt 5-7 år gammel. Der blev arbejdet på, at det skulle fornyes, blandt andet fordi systemet ikke kunne håndtere flexkørsler. Firmaet har stadig systemet, men det er inaktivt. Det bruges som datalager.
Foreholdt ”Procedure for sletning” , forhold 1, bilag 1-2, bekræftede afhørte, at der blev opbevaret disse oplysninger. Oplysningerne skulle sendes ud til en chauffør, så derfor var der f.eks. oplysninger om, hvorvidt der skulle hunde og cykler med på turen.
Det blev vurderet, at oplysningerne skulle kunne ses i en rum tid. Man slettede personnavne efter 2 år, og gemte de øvrige oplysninger i 5 år. Han ved ikke om opsamlings- og afleveringsadresser betegnes som lokaliseringsdata. Oplysningerne blev gemt for at kunne gøre fremtidige bestillinger lettere at håndtere. Vidne 1 ved ikke, om der i taxalovgivningen
side 4
var krav om, at oplysningerne skulle gemmes.
Det var nedskrevet, at alle oplysninger og ture skulle slettes efter 5 år. Organisationen havde godkendt, at oplysningerne blev opbevaret i 5 år. Det blev godkendt på baggrund af den rådgivning, som firmaet havde fået.
Han ved ikke, hvorfor opsamlings- og afleveringsadresser blev gemt.
Ud fra et telefonnummer kunne man komme frem til historik vedrørende andre ture tilknyttet telefonnummeret. Der kunne være klagesager omkring en kørt distance, og så ville man kunne se, om samme tur plejede at være lige så lang. Man ville kunne se, om en kunde havde kørt 10 gange til en bestemt adresse. Han er usikker på, om telefonnumrene har virket som journalnumre.
Han er overbevist om, at der ikke blev foretaget nogen forretningsudvikling på baggrund af de opbevarede telefonnumre.
Foreholdt, bilag 1-4, side 3, forklarede Vidne 1, at han på baggrund af, hvad han har hørt i firmaet, er overbevist om, at der ikke blev foretaget nogen forretningsudvikling på baggrund af de opbevarede telefonnumre. Han mener, at ”forretningsudvikling” bare er et ord, der er blevet slynget ud.
Foreholdt, bilag 1-5, side 2, forklarede Vidne 1, at han ikke ved, hvad dette betyder. Han er overbevist om, at ”Business intelligence” betyder, at systemet kan se, hvilket firma der er knyttet til en bestemt adresse.
Foreholdt, bilag 1-8, side 3, forklarede Vidne 1, at ikke alle ture er tilknyttet et telefonnummer. En taxa kan f.eks. være blevet prajet på gaden. Der kan således være andre indgange end telefonnummeret. Han ved ikke, om det ville være muligt at konvertere et telefonnummer til et id-nummer.
Det er meget dyrt at udskifte et taxa-it-system. Det var en økonomisk og driftsmæssig vurdering, at DDS ikke blev udskiftet. DDS varetager tusindvis af opgaver.
Fra den 9. maj 2019 har man slettet alle data om ture efter 2 år. På det tidspunkt var alle data, der var ældre end to år, slettet. Der var forinden lavet nye sletteregler.
Foreholdt, bilag 2-1, bekræftede Vidne 1, at dette er de nye sletteregler.
Foreholdt, bilag 6-1, forklarede Vidne 1, at Datatilsynet mente, at oplysninger kun skulle opbevares i 2 år. Han ved ikke, hvordan Datatilsynet meddelte firmaet dette.
Det er hans opfattelse, at firmaet havde overblik over, hvilke oplysninger der blev gemt.
side 5
De 8.873.333 ture, som er nævnt i anklageskriftet, er alle tilknyttet et telefonnummer. Telefonnumrene stammer fra afgiverne af bestillingerne. De fleste ture blev bestilt via app, men der var også mange telefoniske bestillinger. Firmaet kører både med erhvervskunder og private kunder.
Foreholdt omsætningen for år 2021, bilag 14, bekræftede Vidne 1, at omsætningen var 62 mio. kr.
Der har ham bekendt aldrig været datalæk af oplysninger fra firmaet. Der har heller aldrig været klager fra kunder over registreringer.
Adspurgt af forsvareren forklarede Vidne 1, at han er regnskabsmand og har været i revisorbranchen. Han er uddannet cand.merc.aud. Han har taget en CBA i 2006.
Han kan ikke oplyse, hvor stor en del af taxaturene, der er private kørsler henholdsvis erhvervskørsler. En stor del er i hvert fald erhvervskørsler. Udskiftningen DDS Pathfinder fandt sted i oktober 2020. Det blev ikke afskaffet pga. 2 års fristen. Det skyldtes, at systemet skulle være tidssvarende, og det skulle blandt andet kunne håndtere flexkørsler. Man var også ved at løbe ind i grænsen med hensyn til dataopbevaring. Udskiftningen havde intet med denne straffesag at gøre. Man var tidligere af den opfattelse i firmaet, at oplysningerne om turene var anonyme, når navnet var fjernet fra telefonnummeret. Man har ikke brugt kundernes telefonnumre til at lave forretningsudvikling. Dataene fra turene er hverken blev solgt eller delt. Firmaet kendte Nodes, som havde udviklet firmaets app. Nodes har nu skiftet navn til Monstarlab. Man fik lavet analysen af Nodes på baggrund af de 8,8 mio. taxature, der er nævnt i anklageskriftet.
Foreholdt, bilag 1-9-1, forklarede Vidne 1, at det godt kan passe, at de 479.000 forskellige telefonnumre har bestilt ca. 5,6 ture hver. Det svinger nok ikke meget, hvor meget folk kører med taxa fra år til år, når man ser bort fra corona-årene. Folk har nok kørt lige så meget i taxa i 2013 som i 2019. De 1,6 mio. ture fra 2013 til 2016 omfatter både erhvervskunder og private kunder. Han vil tro, at de 1,6 mio. ture vedrører omkring 500.000 forskellige kunder.
Foreholdt slettelog, bilag 1-8-1, forklarede Vidne 1, at der bliver lavet en kørsel hver nat. Af linje 1 kan man se, at den er kørt den 9. maj 2019. IVR betyder, at der skal slettes i DDS Pathfinder.
Firmaet fik politianmeldelsen i denne sag i marts 2018. Dette gjorde, at slettefristen blev ændret. Systemerne blev gået efter, og dette kan man blandt andet se af firmaets udgifter til advokater. Firmaet har det ikke rart med denne sag. Datatilsynet virkede ikke kritiske, da de var på besøg. Han mener, at firmaet har fået sin straf i forbindelse med denne sag, idet der er brugt
side 6
mange ressourcer. Der var ikke ansat jurister i virksomheden, dengang hvor tilsynet fandt sted.
..."
Vidne 2 har til retsbogen afgivet følgende forklaring:
"..., at han tidligere var Stilling 4 hos Datatilsynet. Han er nu Stilling 5. Han har været ansat i Datatilsynet fra 15. oktober 2017. Han har en ph.d. i kryptologi og matematisk modellering og beregninger. Datatil-synet fører tilsyn med databeskyttelsesreglerne og vejleder omkring disse regler. Både private og offentlige virksomheder vejledes. Datatilsynet kan udtale kritik, udstede påbud og tildele advarsler og forbud. Datatilsynet tager på tilsyn i virksomheder. De plejer at anmelde et tilsyn forud for tilsynet. Vidnet er nu Stilling 6 for datateamet hos Datatilsynet. Vidnet tager ikke længere på tilsyn. Det gjorde han blandt andet i 2018. Vidnet var ikke inde over, hvordan virksomheder, der skulle foretages tilsyn hos, blev udvalgt. Der var vidnet bekendt ikke tale om en anmeldelse i nærværende sag. Før de nye GDPR-regler trådte i kraft, var der persondataloven, så Datatilsynet tog også på tilsyn før de nye regler. Datatilsynet arbejdede meget med skriftlige vejledninger i forbindelse med de nye GDPR-regler. Disse vejledninger er at finde på Datatilsynets hjemmeside. Vidnet ved ikke, hvorfor Tiltalte (Virksomhed) blev ud-valgt til tilsyn.
Forholdt, bilag 1-4, forklarede vidnet, at det godt kan passe, at der ikke var nogen særlig anledning til tilsynet.
Vidnet deltog i planlægningen af tilsynet hos Tiltalte (Virksomhed). Datatilsynet varslede, at man ville komme på besøg, og der blev sendt spørgeskemaer ud til Tiltalte (Virksomhed) vedrørende nogle af deres systemer. Skemaerne skulle udfyldes af firmaet forud for tilsynet. Emnet for tilsynet var sletning af data. Vidnets kollega, Person 3, som er jurist, deltog i tilsynet sammen med vidnet. Person 3 er ikke ansat i Datatilsynet længere.
DDS var et af de systemer, der blev undersøgt. Her vidste Datatilsynet, at der blev opbevaret data om taxakørsler. Der blev også kigget på Outlook af hensyn til mails og på et system, der indeholdt data om Tiltalte (Virksomhed)s medarbejdere. Vidnet husker ikke, om man modtog spørgeskemaerne retur inden tilsynet.
Vidnet husker, at der til Datatilsynet fra Tiltalte (Virksomhed) blev sendt nogle retningslinjer om sletning af data. Han husker ikke, om dette skete før eller efter tilsynet. Han husker ikke, om man undrede sig over noget ved disse retningslinjer.
Vidnet og Person 3 havde forberedt nogle spørgsmål inden tilsynet. Person 3 stod for de juridiske spørgsmål, og vidnet stod for de mere tekniske spørgsmål. Tilsynet varede nok i et par timer – måske 1½-2 timer. De blev modtaget af produktchefen, Person 2. De blev ført ind til et bord med mange mennesker fra Tiltalte (Virksomhed). Alle præsenterede sig. Person 3 forklarede lidt om
side 7
tilsynet. Bagefter blev spørgsmålene gennemgået. Efter spørgsmålene var vidnet og Person 3 rundt og kigge i systemerne.
Foreholdt fra bilag 1-4, forklarede vidnet, at han ikke husker, hvornår der blev konstateret de ting, som står anført i bilaget.
Vidnet og Person 3 havde forinden tilsynet fået at vide, hvad de forskellige systemer indeholdt af oplysninger.
Foreholdt fra bilag 1-4, side 3, forklarede vidnet, at disse oplysninger stammer fra både de skriftlige besvarelser af spørgeskemaerne og fra oplysninger, der er fremkommet på mødet.
Der blev skrevet notater af den person, der ikke stillede spørgsmål. Vidnet skrev således notater, når Person 3 stillede spørgsmål. Alle fra Tiltalte (Virksomhed) bidrog med at svare på spørgsmål. Om DDS blev oplyst, at det var et system til behandling af taxature, og det blev oplyst, hvilke oplysninger systemet indeholdt. Der blev talt om slettefrister og om håndhævelse heraf. Vidnet og Person 3 fik at vide, at taxaturene blev anonymiseret efter 2 år, og at de øvrige data, herunder telefonnumrene, blev slettet efter 5 år. Han mener, at dette blev oplyst på mødet. Det blev oplyst, at oplysningerne blev gemt af hensyn til forretningsudviklingen. Vidnet og Person 3 spurgte ikke ind til, hvad denne forretningsudvikling nærmere gik ud på. Person 2 blev spurgt ind til, hvorfor telefonnummeret blev brugt som nøgle.
Forholdt fra bilag 1-4, forklarede vidnet, at dette var essensen af det, som blev svaret til spørgsmålet om, hvorfor telefonnummeret blev brugt som nøgle og ikke et id-nummer i stedet.
Vidnet husker ikke, om opsamlingssteder og afleveringssteder blev slettet efter 2 eller 5 år. Vidnet husker ikke, at der blev talt om, hvor disse retningslinjer med 2 og 5 år stammede fra.
Der blev lavet stikprøver for at se, om Tiltalte (Virksomhed) levede op til de retningslinjer, som blev oplyst, at de havde. Der blev søgt på både vidnets og Person 3's telefonnummer i DDS. Person 3 havde en kørsel, og vidnet havde to kørsler registreret i systemet. Den ene tur var mere end 2 år gammel, og her fremgik intet navn. Vidnet husker ikke, om der fremgik opsamlingssted og afleveringssted vedrørende denne tur.
Datatilsynet kom frem til, at det var et problem, at data blev brugt til forretningsudvikling. Vurderingen var, at der blev opbevaret flere data, end det var nødvendigt til det formål, som de var indsamlet til. Et telefonnummer er en personoplysning, fordi nogen ved, hvem der ejer simkortet med telefonnummeret. Hvis telefonnummeret tilhører en juridisk person, så kan det også godt være en personoplysning.
side 8
De to stikprøver blev ikke bevissikret. Der var tvivl om, hvorvidt det var Datatilsynets eller politiets opgave at bevissikre. Vidnet husker ikke, om der blev taget mere end de to stikprøver. Datatilsynet laver en konkret vurdering i hvert enkelt tilfælde omkring opbevaring af data. Tiltalte (Virksomhed) mente, at de kunne gemme et telefonnummer i 5 år. Dette baserede sig på taxalovgivningen. Datatilsynet mener, at telefonnummeret også skulle have været slettet efter 2 år, idet telefonnummeret er en personoplysning. Det er jurister, der laver sådanne vurderinger. Der skal være hjemmel til at gemme person-oplysninger. Rapporten har vidnet og Person 3 skrevet sammen på baggrund af deres notater.
Foreholdt, bilag 1-5, forklarede vidnet, at han var inde over bemærk-ningerne.
Foreholdt bilag, 1-5, side 2, forklarede vidnet, at det er Datatilsynets opfattelse, at man ikke kan undskylde sig med, at der er tale om et ældre system. Dette blev ikke oplyst under tilsynsmødet.
Der blev ikke lavet et opfølgende besøg hos Tiltalte (Virksomhed). Der er ikke tradition for opfølgende besøg. Vidnet mener ikke, at han var med til at formulere de supplerende spørgsmål til Tiltalte (Virksomhed), idet han stod over for at skulle på orlov.
Vidnet har set analysen fra Nodes. Vidnet har kigget på, om analysen gav mening. Vidnet mener, at der var tale om sammenligninger af antallet af telefonnumre i en 1 års periode med antallet af telefonnumre i en 3 års periode, hvilket ikke gav mening.
Foreholdt, bilag 1-10, sidste side, afsnit 3, forklarede vidnet, at dette var Datatilsynets opfattelse.
Det var vist vidnets kollega, Person 4, der foretog anmeldelsen til politiet.
Foreholdt, at vidnets navn fremgår af anmeldelsen, forklarede vidnet, at det er muligt, at han påbegyndte at skrive anmeldelsen. Vidnet gik på orlov, inden anmeldelsen blev indgivet. Det var ikke vidnets opgave at indstille til en sanktionspåstand. Vidnet mener, at problemet var, at telefonnummeret blev brugt som nøgle. Man burde i stedet have brugt et løbenummer. Der kan opstå sikkerhedsbrud i firmaet, f.eks. kan en ægtefælle ansat i Tiltalte (Virksomhed) slå op, hvor den anden ægtefælle har kørt hen i taxa.
Adspurgt af forsvareren forklarede vidnet, at der ikke under tilsynet blev talt om, hvad Tiltalte (Virksomhed) forstod ved forretningsudvikling. Der blev ikke spurgt ind til dette. Han tænker, at forretningsudvikling kan være, at man afdækker kørselsbehovet et bestemt sted og sørger for, at der er nok vogne. Tiltalte (Virksomhed) fortalte selv, at de benyttede telefonnumre som nøgler. Det var IT-chefen, der fortalte dette. Det er vidnets indtryk, at Tiltalte (Virksomhed) godt var klar over, at et telefonnummer er en personoplysning. Firmaet blev vist bedt om at oplyse,
side 9
hvor mange kunder de havde gemt oplysninger på. Vidnet husker ikke, om der i 2018 var vejledninger om sletning. Han mener, at der i 2018 var vejledninger om, hvad personoplysninger er. Vidnet mener, at der kan være tale om en personfølsom oplysning, når en receptionist bestiller en taxa til en medarbejder, idet receptionisten ved, hvem taxaen er bestilt til.
Det er Datatilsynets tilsynsrapport, og den er ikke skrevet af Tiltalte (Virksomhed) eller underskrevet af Tiltalte (Virksomhed). Den af en advokat nævnte misforståelse omkring ordet ”forretningsudvikling” er ikke blevet rettet i tilsynsrapporten. Der er i rapporten tale om et referat, og der blev netop sagt forretningsudvikling, og derfor mener vidnet ikke, at der skal rettes i rapporten. Vidnet mener, at der blev spurgt ind til antallet af registreringer.
Adspurgt på ny af anklageren forklarede vidnet, at ”Business Intelligence” ikke blev nævnt under tilsynsmødet. Det er først blevet nævnt efterfølgende af en advokat i en henvendelse til Datatilsynet. Det er virksomhedens ansvar at overholde databeskyttelsesloven.
..."
Vidne 3 har til retsbogen afgivet følgende forklaring:
"..., at han er Stilling 7 i Tiltalte (Virksomhed). Han har været ansat i firmaet siden 1998. Han har ingen IT-uddannelse - han er selvlært. Hans arbejde består -og bestod også i 2018 - i at holde it-systemerne kørende og udvikle dem. I oktober 2018 var der tre ansatte og en IT-chef i IT-afdelingen. IT-chefen hed i 2018 Person 2. Der er i dag tre personer ansat i IT-afdelingen. Det var IT-chefen, der havde ansvaret for, hvad der foregik i IT-afdelingen. Vidnet deltog, da Datatilsynet var på besøg. De to fra datatilsynet var inde på vid-nets kontor, hvor han viste dem noget. Vidnet deltog ikke i et møde med Da-tatilsynet, hvor 13 personer deltog. Der blev talt med flere advokater om GDPR-ændringer, i tiden inden der var tilsyn. Der blev talt om, hvilke data der skulle slettes. It-gennemgang for alle systemer blev foretaget med ekstern hjælp. Vidnet husker det ikke som om, at der var tidspres i it-afdelingen på grund af de nye regler. Vidnet husker ikke, om man blev opmærksom på nogle problemer op til GDPR-ændringen. Det var mest Person 2, der talte med advokaterne om, hvad der skulle slettes. DDS Pathfinder benyttes ikke aktivt i dag. Det er erstattet af et andet system, der kan noget tilsvarende. DDS er et turformidlingssystem. Systemet kører flere steder i udlandet. Sy-stemer som DDS blev regelmæssigt udskiftet hvert 5-8 år, så der var nok in-gen særlig anledning til, at DDS blev udskiftet. Der var ingen ansvarlig for systemet, men det var mest vidnet, der tog sig af spørgsmål omkring syste-met. Der var ikke faste sletteregler før i tiden. Vidnet har været med til at ud-fylde spørgeskemaer fra Datatilsynet vedrørende systemerne.
Foreholdt, at det er vidnets navn, der fremgår som udfylder af skemaerne, bilag 1-2, forklarede vidnet, at han mener, at hele IT-afdelingen deltog i udfyldelsen af skemaerne. Han husker ikke, om det er ham, der har udfyldt
side 10
skemaet omkring DDS Pathfinder. Det ville dog være naturligt, hvis det var ham, der havde udfyldt det.
Foreholdt skema vedrørende DDS Pathfinder, bilag 1-2, forklarede vidnet, at det er ham, der har skrevet, at telefonnummeret blev gemt med henblik på forretningsudvikling. Det var for at kunne genkende kunden, at telefonnummeret blev gemt – det var ikke af hensyn til forretningsudvikling. Han kan ikke svare på, hvor ordet ”forretningsudvikling” kommer fra. Han husker, at der blev skrevet, at turen blev anonymiseret efter 2 år. Dette betød, at navnet, der var tilknyttet telefonnummeret, blev fjernet. Tidligere blev dette gjort manuelt. Nu er dette blevet automatiseret. Det var Person 2, der besluttede, at sletteretningslinjerne var, som de var.
Vidnet husker ikke, om der blev sendt sletteretningslinjer til Datatilsynet i forbindelse med, at spørgeskemaerne blev returneret til Datatilsynet. Det var ikke vidnet, der returnerede skemaerne.
Vidnet slog under tilsynet dem fra Datatilsynets telefonnumre op i DDS Pathfinder-systemet. Opslagene viste nogle ture, som de to personer havde kørt. Opslagene viste opsamlingsadressen, men ikke afleveringsstedet.
Foreholdt fra bilag 1-4, forklarede vidnet vedrørende slettefrister, at han ikke husker, om det er ham, der har oplyst, at telefonnummeret blev gemt med henblik på forretningsudvikling. Han har ikke oplyst, at telefon-nummeret ikke kunne erstattes af et id-nummer. Telefonnummeret blev brugt til at servicere kunden bedre. Vidnet mener ikke, at systemet ville kunne håndtere, hvis der ikke var et telefonnummer som nøgle.
Ordet ”Business Intelligence” i forbindelse med denne sag siger ham ikke noget. Tilsynsbesøget stod nok på i et par timer. Vidnet ved ikke, hvorfor telefonnummeret blev gemt i 5 år, og navnet blev gemt i 2 år. Vidnet gjorde bare, hvad han blev bedt om.
Vidnet husker ikke, om det er ham, der er kommet frem til de ca. 8,8 mio. taxature, der er nævnt i anklageskriftet. Oplysningerne om disse 8,8 mio. ture er i dag slettet.
Foreholdt vidnets forklaring til politirapport, bilag 5-1, forklarede vidnet, at han muligvis godt kan have forklaret således om telefonnumrene på de 8,8 mio. taxature. Han ved dog ikke, hvad der menes med taletidskort. Han husker ikke politiafhøringen.
Vidnet var ikke en del af Nodes rapport. Vidnet har højst sandsynligt deltaget i sletningen af data efter modtagelsen af Datatilsynets rapport. Det lyder som om, at alle 8,8 mio. taxature er slettet på én gang.
Foreholdt ”Retningslinjer for sletning” , bilag 1-5, forklarede vidnet, at han
side 11
genkender disse. Han husker ikke, om de er lavet før eller efter Datatilsynets besøg. Når der står anført ”DDS systemejer Vidne 3” , så betyder det, at det var vidnet, man kom til, hvis man havde spørgsmål omkring DDS Pathfinder.
..."
Vidne 4 har til retsbogen afgivet følgende forklaring:
"..., at hun er Stilling 8 i Datatilsynet. Hun blev ansat 1. januar 2022. Hun har også tidligere før 2018 været ansat i Datatilsynet. Hendes afdeling be-skæftiger sig nu i høj grad med informationssikkerhed. Der er foregået en omstrukturering i Datatilsynet siden 2018. Alle afdelinger i Datatilsynet fore-tager politianmeldelser. Tilsynsenheden havde dengang i 2018 langt de fleste politianmeldelser. Vidnet har læst op på sagen, idet hun ikke var ansat i Da-tatilsynet, da tilsynet fandt sted i oktober 2018. Politianmeldelsen i denne sag er indgivet på et tidspunkt, hvor der ikke var en bødevejledning. Op til ikraft-trædelsen af forordningen i 2018 var der ekstremt travlt i Datatilsynet med at lave vejledninger om forordningen. Datatilsynets rolle var blandt andet at vej-lede både private og erhvervsvirksomheder. Efter forordningens ikraftræden ville Datatilsynet være mere proaktiv og håndhæve reglerne ved hjælp af bø-der. Datatilsynet har i denne sag vurderet, at der er tale om en grov overtræ-delse. Derfor er der sket politianmeldelse. Datatilsynet valgte sletning som tema, fordi det ikke var en ny regel. Det nye i forordningen er litra f i artikel 5. Dataforordningens litra e i artikel 5 er der ikke noget nyt i. Straffebestem-melsen er artikel 83.
Telefonnumre er personoplysninger, når de er personhenførbare. Her er telefonnummeret tilknyttet opsamlingssteder og afleveringssteder, som så også kan henføres til bestemte personer, hvorfor disse oplysninger også er personoplysninger.
Foreholdt udtalelse, bilag 1-12, side 1, punkt 2, forklarede vidnet, at hun kan henholde sig til dette. Et telefonnummer, der tilhører en juridisk person, er som udgangspunkt ikke en personoplysning, men hvis den juridiske persons telefonnummer, som har bestilt en taxatur, kan knyttes til en bestemt person, så er det en personoplysning.
Foreholdt, bilag 1,6, side 5, punkt 3, forklarede vidnet, at dette er korrekt.
Der er ikke defineret konkrete slettefrister, idet forordningen dækker bredt. Der bliver derfor tale om et skøn, når det vurderes, om en slettefrist er for lang. I denne sag mener Datatilsynet, at slettefristen bør være 2 år. Det er også det, Tiltalte (Virksomhed) selv har sagt. Datatilsynet efterprøver virksomhedens skøn. En længere slettefrist kan opnås ved at få en samtykkeerklæring fra kunder, eller ved at benytte en anden indgangsnøgle end telefonnumre.
Datatilsynet har sanktionsbeføjelser til at nedlægge forbud og påbud og udtale kritik. Inden forordningens ikrafttræden i 2018 blev der ikke foretaget
side 12
mange politianmeldelser. De samme regler om sletning, som gælder nu, har dog gjaldt i mange år. Ved politianmeldelser er der tale om grove overtrædelser. Det er få sager, der bliver politianmeldt. De fleste sager sanktioneres ved, at Datatilsynet udtaler kritik eller alvorlig kritik.
Datatilsynet kan ikke uddele administrative bøder. Der er kommet en bødevejledning.
Foreholdt bødevejledning, materialesamlingen side 158, forklarede vidnet, at denne er udarbejdet sammen med Justitsministeriet og Rigsadvokaten på baggrund af et samarbejde i EU-arbejdsgrupper. Man har lænet sig meget op ad konkurrenceretten i forbindelse med udarbejdelsen af vejledningen. Bøderne er indtægtsbaseret og afhænger af virksomhedens størrelse og overtrædelsens karakter. Bøderne i Danmark er i den lavere ende i forhold til andre EU-lande. I denne sag blev bødens størrelse indstillet, inden der var en bødevejledning. Man har regnet på bøden, efter at bødevejledningen er fremkommet.
Foreholdt, bilag 1,6, side 1-2 om bødepåstandens størrelse, forklarede vidnet, at der er lagt vægt på de ting i forbindelse med bødens udmåling. Det skal ikke kunne betale sig ikke at opgradere sine it-systemer, så de lever op til kravene.
Vidnet har læst analysen fra Nodes, bilag 1,9-1. Hun har ikke deltaget i udarbejdelsen af Datatilsynets bemærkninger til denne, bilag 1,10. Vidnet har drøftet rapporten med Person 5. Analysen handler om at dele telefonnumre op i private kunder og erhvervskunder. Datatilsynet mener, at mange af erhvervskundernes telefonnumre også er personoplysninger, og at det derfor ikke er så vigtigt at dele telefonnumrene op i private kunder og erhvervskunder.
Foreholdt fra bilag 1,10, sidste side, forklarede vidnet, at det er summen af oplysninger, der i højere grad er afgørende end antallet af unikke kunder. Der er tale om beskyttelsesværdige oplysninger. Oplysningerne er ikke bevissikret.
Nettoomsætningen i året forud for afgørelsesåret lægges til grund ved beregningen af bøden efter WhatsApp afgørelsen. Tidligere var det nettoomsætningen i året forud for gerningstidspunktet. Bøden i denne sag kan derfor ændre sig for hvert år, som går, inden sagen bliver afgjort.
Der er ved beregningen af bøden i skærpende retning lagt vægt på, at oplysningerne er brugt til produkt- og forretningsudvikling. Der er her lagt vægt på virksomhedens egne oplysninger om, at oplysningerne er brugt til produkt- og forretningsudvikling.
Der er tradition for, at offentlige myndigheder får lavere bøder, hvis de overtræder forordningen. Dette skyldes, at det er det offentliges opgave at
side 13
behandle personoplysninger. Bøderne til offentlige myndigheder er ofte af symbolsk karakter. Det er politisk bestemt, at private virksomheder skal have høje bøder.
Adspurgt af forsvareren forklarede vidnet, at hun var ansat i Datatilsynet fra 2001 til 2004. Fra 2004 til 2022 har hun været ansat i politiet og i anklagemyndigheden. Hun har her arbejdet meget med databeskyttelse.
Datasletning har altid været et emne hos Datatilsynet. Det var som om, at alle vidste, at der ville falde mange bøder, når den nye forordning trådte i kraft i 2018.
Der har altid været den samme definition af, hvad personoplysninger er, og der er vejledt meget omkring dette.
På baggrund af omfanget og formålet, og det forhold, at der er indsamlet lokaliseringsdata, er det Datatilsynets vurdering, at der i denne sag er tale om en mellemgrov overtrædelse af forordningen. Vidnet mener, at et opsamlingssted for en taxatur, der er bestilt via telefon, godt kan være en personoplysning.
Vidnet har set reaktionerne på Datatilsynets rapport i forbindelse med tilsynet hos Tiltalte (Virksomhed) fra en advokat gående ud på, at de opbevarede telefonnumre ikke blev brugt til forretningsudvikling. Det var dog det, der oprindeligt blev oplyst af virksomheden.
Dataminimering (litra c i artikel 5) er ikke en del af tiltalen i denne sag, idet en overtrædelse af litra e i sig selv indeholder en overtrædelse af litra c.
Det var fra Tiltalte (Virksomhed) oplyst, at deres system ikke kunne bruge andet end telefonnumre som indgangsnøgler. Vidnet mener dog, at der ikke er nogen tvivl om, at det til en start kan være en god idé at registrere et telefonnummer i forbindelse med en bestilling af en taxatur, idet der kan være behov for at kontakte kunden, inden opsamling af kunden.
Det er ikke nødvendigt at være en stor virksomhed for at blive betegnet som en stor spiller på markeret. Virksomhedens omsætning bliver anvendt til at vurdere, om der er tale om en stor virksomhed.
Vidnet ved ikke, om hendes kollegaer i andre EU-lande har foretaget tilsyn vedrørende datasletning allerede i efteråret 2018, hvor forordningen lige var trådt i kraft.
Estland og Danmark er de eneste lande i EU, hvor tilsynsmyndigheden ikke kan udstede bøder.
..."
side 14
Oplysningerne i sagen
Der er under sagen blandt andet dokumenteret udtalelse af 13. marts 2020 fra Datatilsynet, hvoraf blandt andet fremgår:
"...
1. Bødepåstandens størrelse
1.1. Skærpende og formildende omstændigheder Indledningsvis bemærkes, at en bøde i hver enkelt sag skal være effektiv, stå i rimeligt forhold til overtrædelsen og have afskræk-kende virkning, jf. databeskyttelsesforordningens artikel 83, stk. 1.
Ved vurderingen af hvilken sanktion, der efter Datatilsynets op-fattelse er den korrekte, foretager tilsynet altid en konkret vur-dering af overtrædelsens grovhed i medfør af databeskyttelses-forordningens artikel 83, stk. 2. Bestemmelsen giver en ikke-ud-tømmende liste over de kriterier, der skal inddrages ved vurde-ringen af en bødes størrelse.
Datatilsynet har på baggrund af særligt overtrædelsens karak-ter, alvor og varighed, jf. artikel 83, stk. 2, litra a, vurderet, at overtrædelsen skal medføre en administrativ bøde.
Det følger videre af forordningens artikel 83, stk. 4 og 5, at når der er tale om en overtrædelse af et af de grundlæggende be-handlingsprincipper, så skal det som udgangspunkt bedømmes som en alvorligere overtrædelse end eksempelvis overtrædelse af artikel 32 om gennemførelse af passende sikkerhedsforan-staltninger.
Datatilsynet har ved fastsættelsen af størrelsen af den indstillede bøde taget udgangspunkt i overtrædelsens karakter og alvor, jf. artikel 83, stk. 2, litra a. Datatilsynet har vurderet samlet i for-hold til overtrædelsens karakter og alvor, at overtrædelsen lig-ger i midten af den mere alvolige kategori af overtrædelser (artikel 83, stk. 5). Datatilsynet har ved denne vurdering lagt vægt på, at der er tale om opbevaring af lokationsoplysninger, at oplysningerne blev anvendt aktivt i forretningsudviklingen, og at der er tale om flere millioner personoplysninger. Datatilsynet har i formildende retning i forhold til overtrædelsens alvor lagt vægt på, at der ikke er noget der tyder på, at personoplysninger-ne ikke har været opbevaret i et tilstrækkeligt sikkert system, hvilket har reduceret risikoen for de registrerede. Endelig har Datatilsynet lagt vægt på, at Tiltalte (Virksomhed) har opbevaret oplysnin-ger om telefonnummer i kombination med lokationsdata, men at der ikke var opbevaret personnummer, helbredsoplysninger eller
side 15
lignende, hvilket ville have gjort overtrædelsen mere alvorlig.
Datatilsynet har herudover i skærpende retning lagt vægt på vurderingskriteriet i litra k. Det fremgår heraf, at økonomiske fordele eller undgåede tab, som direkte eller indirekte følger af overtrædelsen, vil være en skærpende omstændighed ved udmå-ling af bøden.
Det er blandt andet tilfældet, når den dataansvarlige bevidst har valgt at benytte ét IT-system, som ikke har været i stand til at overholde databeskyttelsesreglerne frem for et dyrere system, der overholder reglerne i forordningen, eller en dataansvarlig som har opnået en konkurrencemæssig fordel, eksempelvis ved at behandle flere oplysninger end nødvendigt med henblik på markedsføring eller udvikle virksomhedens forretning.
Hensynet til en eventuel fortjeneste eller besparelse er et almin-deligt strafudmålingsmæssigt hensyn. Hensynet fremgår af straf-felovens regler om straudmåling, særligt § 51, stk. 3, der vedrø-rer bødefastsættelsen i sager vedrørende overtrædelse af be-stemmelser uden for straffeloven. Heraf fremgår, at der skal ta-ges et særligt hensyn til den opnåede eller tilsigtede fortjeneste eller besparelse. Det er endvidere en naturlig udmøntning af det generelle princip i artikel 83, stk. 1, om at bøden skal have af-skrækkende virkning. Heri ligger, at det ikke må kunne betale sig at undlade at overholde de databeskyttelsesretlige regler.
Det fremgår af sagen, at Tiltalte (Virksomhed) har benyttet oplysningerne til forretningsudvikling, hvorfor Datatilsynet vurderer, at virk-somheden har opnået en økonomisk fordel eller som minimum undgået tab som følge af overtrædelsen, i og med Tiltalte (Virksomhed) u-lovligt har behandlet flere millioner af oplysninger til brug for at udvikle virksomhedens forretning.
Hverken tilsynet eller Tiltalte (Virksomhed) selv har mulighed for med nø-jagtighed at fastlægge størrelsen af den økonomiske fortjeneste, som virksomheden har opnået som følge af virksomhedens over-trædelse, hvorfor tilsynet ikke har lagt vægt på dette i politian-meldelsen af Tiltalte (Virksomhed). Datatilsynet finder dog, at vurderings-kriteriet i artikel 83, stk. 2, litra k, bør indgå i vurderingen af bødens størrelse.
I formildende retning har Datatilsynet i øvrigt lagt vægt på, at Tiltalte (Virksomhed) har optrådt samarbejdsvillige, og besvaret tilsynets spørgsmål i tilsynsforløbet.
..."
side 16
På baggrund af Tiltalte (Virksomhed)s nettoomsætning på 57.131.000 kr. i 2017 indstil-lede Datatilsynet til en bødepåstand på 1.200.000 kr.
Der er endvidere dokumenteret udtalelse af 23. marts 2022 fra Datatilsynet, hvoraf blandt andet fremgår:
"...
5. Udviklingen i udmåling af bøder og retningslinjer herfor Som anført i Datatilsynets udtalelse af 1. juli 2021, har Datatil-synet løbende fulgt udviklingen i den europæiske administrative praksis inden for databeskyttelsesforordningens område, lige-som der pågår et nationalt samarbejde mellem tilsynet, Rigsad-vokaten og Rigspolitiet om udarbejdelse af retningslinjer for håndteringen af straffesager om overtrædelse af de databeskyt-telsesretlige regler, herunder om bødeudmålingen. Myndighe-derne har i den forbindelse - også med henblik på at gøre bø-deudmålingen mere gennemsigtig - konkret arbejdet på en vej-ledning om fastsættelse af bøder for virksomheders overtrædels-er af de databeskyttelsesretlige regler, der blev offentliggjort i januar 2021. 5 De europæiske datatilsynsmyndigheder arbejder for tiden i regi af EDPB fortsat på at udfærdige en fælleseuro-pæisk vejledning om bødeudmålingen som i det væsentlige byg-ger på de samme beregningsprincipper som den danske nationa-le bødevejledning. Dette arbejde forventes afsluttet i løbet af 2022.
5. https://www.datatilsynet.dk/Media/1/9/B%C3%B8devejledning.pdf
Bødevejledningen giver en nærmere beskrivelse af Datatilsynets metode til beregning af bøder på baggrund af virksomheders nettoomsætning.
6. Bødeberegning på baggrund af regnskabet fra 2017
Datatilsynet har i forbindelse med politianmeldelsen samt i ef-terfølgende udtalelser i nærværende sag begrundet den indstille-de bødes størrelse, hvilke begrundelser tilsynet i det hele skal henvise til.
Det fremgår af sagen, at Tiltalte (Virksomhed) i 2017 havde en samlet om-sætning på 57.131.000 kr. I overensstemmelse med det i Datatil-synets udtalelse af 1. juli 2021 anførte indebærer dette, at virk-somheden ligger inden for kategorien "små virksomheder"(omsætning < 75 mio. kr.), for hvilke grundbeløbet kan justeres fra 15.000.000 kr. og ned til 300.00 kr. Det bemærkes, at for "mellemstore virksomheder" (kategorien over "små virksomhe-der" med en omsætning på mellem 75 mio. kr. og < 375 mio.
kr.), kan bøden justeres ned til 1.500.000 kr.
side 17
Datatilsynet finder, at grundbeløbet bør fastsættes til 1.200.000 kr.
Efter Datatilsynets opfattelse bør rammerne for grundbeløbet
som udgangspunkt ligge i spændet mellem 300.000 kr.-1.500.000 kr. for en overtrædelse af artikel 5, og tilsynet har he-refter vurderet, hvor i dette spænd sagen skal placeres ud fra en vurdering af Tiltalte (Virksomhed)s økonomiske forhold.
Datatilsynet har i den forbindelse navnlig lagt vægt på, at Tiltalte (Virksomhed)s omsætning ligger i den øvre tredjedel i forhold til katego-rien "lille virksomhed".
Endvidere har tilsynet lagt vægt på, at selvom Tiltalte (Virksomhed) - ud fra deres omsætning - er kategoriseret som en "lille virksom-hed", er virksomheden en stor spiller på markedet 6 .
6. Ifølge Tiltalte (Virksomhed)s egen hjemmeside, er de det største danske taxiselskab ejet af vognmænd; Link 1, hvilket understøttes af en artikel fra 2016 på Finans.dk: Link 2
Datatilsynet finder, at dette bør tillægges en vis vægt, idet det har betydning for "overtrædelsens effekt" på konkurrencen på markedet, navnlig når der er tale om en uberettiget økonomisk fordel, som er opnået i relation til produkt- og forretningsudvik-ling. Det er således Datatilsynets opfattelse, at der er nærlig-gende risiko for, at en uberettiget anvendelse af personoplysnin-ger til brug for produkt- og forretningsudvikling af en virksom-hed som Tiltalte (Virksomhed), kan skævvride konkurrencen i forhold til andre virksomheder, som ikke anvender disse oplysninger i pro-dukt- og forretningsudviklingen, eller som bruger de fornødne penge på at have systemer, der kan understøtte lovlig behand-ling af personoplysninger.
Datatilsynet finder, at de øvrige formildende og skærpende om-stændigheder ikke ændrer på bødens størrelse, hvorfor den en-delige bødepåstand er 1.200.000 kr. Hertil bemærkes, at tilsynet tidligere har anført, at overtrædelsens grovhed, henset til alvo-ren og karakteren, ligger i midten af den alvorlige kategori af overtrædelser (artikel 83, stk. 5) 7 .
7. Jf. Datatilsynets besvarelse af 13. marts 2020 af Københavns Politis brev af 20. december 2019.
side 18
Det bemærkes, at Datatilsynet i tidligere udtalelser har rede-gjort for hvilke skærpende og formildende omstændigheder, der navnlig er lagt vægt på i forhold til vurderingen af overtrædels-ens grovhed.
7. Bødeberegning på baggrund af regnskabet fra 2020
Henset til den nye praksis for bødeberegningstidspunktet, som følger af WhatsApp-afgørelsen og de efterfølgende drøftelser mellem Rigsadvokaten, Rigspolitiet og Datatilsynet, har Datatil-synet fundet anledning til at indhente oplysninger om Tiltalte (Virksomhed)s nettoomsætning i 2020 med henblik på at foretage en for-nyet beregning af bødens størrelse.
Det er i den forbindelse oplyst, at Tiltalte (Virksomhed) i 2020 havde en samlet nettoomsætning på 66.914.738 kr.
I overensstemmelse med det ovenfor anførte, indebærer det, at virksomheden således fortsat ligger inden for kategorien "små virksomheder" (omsætning < 75 mio. kr.), for hvilke grundbelø-bet for en overtrædelse af artikel 5 kan justeres fra 15.000.000 kr. og ned til 300.000 kr. Det bemærkes, at for "mellemstore virksomheder" (kategorien over "små virksomheder"), kan bø-den justeres ned til 1.500.000 kr.
Virksomheden ligger med 2020-regnskabet stadig i den øvre tredjedel i forhold til kategorien "lille virksomhed". Nettoomsæt-ningen er imidlertid øget med cirka 17 % i forhold til 2017, hvilket indebærer, at virksomheden nu ligger tættere på grænsen for "mellemstore virksomheder" (75 mio. kr.).
Hvis Datatilsynet derfor skulle beregne bøden på ny ud fra de nu foreliggende oplysninger, er det derfor sandsynligt, at grund-beløbet ville blive fastsat til et højere beløb end 1.200.000 kr.
En forøgelse af bødepåstanden med udgangspunkt i den forøge-de omsætning vil føre til et grundbeløb på ca. 1.400.000 kr.
Datatilsynet skal på denne baggrund samlet indstille, at bøden udmåles til et beløb mellem 1.200.000 kr. og 1.400.000 kr.
..."
Herudover er der dokumenteret udtalelse fra Datatilsynet af 6. december 2022, hvoraf fremgår blandt andet:
"...
3. Bødeberegning på baggrund af regnskabet for 2021 Siden den 23. marts 2022 er Tiltalte (Virksomhed)s regnskab for 2021 blevet tilgængeligt,
side 19
hvorfor der til brug for straffesagen skal foretages en ny beregning af bøden på baggrund af det nyeste regnskab.
Tiltalte (Virksomhed) har den 18. november 2022 oplyst, at Tiltalte (Virksomhed)s nettoomsætning for 2021 var 62.205.451 kr.
I overensstemmelse med Datatilsynets bødevejledning for virksomheder inde-bærer det, at virksomheden fortsat ligger inden for kategorien "små virksom-heder" ( omsætning 75 mio. kr.), for hvilke grundbeløbet for en overtrædel-se af artikel 5 kan justeres fra 15.000.000 kr. og ned til 300.000 kr. Det be-mærkes, at for " mellemstore virksomheder" (kategorien over "små viksom-heder"), kan bøden justeres ned til 1.500.000 kr.
Virksomheden ligger med 2021-regnskabet stadig i den øvre tredjedel i for-hold til kategorien " lille virksomhed". Nettoomsætningen er øget med cirka 8% i forhold til 2017, hvilket indebærer, at virksomheden ligger tættere på grænsen for "mellemstore virksomheder" (75 mio. kr.).
Hvis Datatilsynet derfor skulle beregne bøden på ny ud fra de nu foreliggen-de oplysninger, er det derfor sandsynligt, at grundbeløbet ville blive fastsat til et højere beløb end 1.200.000 kr.
En forøgelse af bødepåstanden med udgangspunkt i den forøgede omsætning ville føre til et grundbeløb på ca. 1.300.000 kr.
Datatilsynet indstiller på den baggrund til, at bøden udmåles til et beløb mellem 1.200.000 kr og 1.300.000 kr.
..."
Rettens begrundelse og afgørelse
forhold 1
Tiltalte (Virksomhed) har erkendt, at de i gerningsperioden indtil den 9. maj 2019 havde utiltrækkelige sletterutiner i DDS Pathfinder systemet, idet de som dataans-varlige opbevarede telefonnumre og opsamlingsadresser i 5 år, og at dette var op til 3 år længere end nødvendigt til de formål, hvortil oplysningerne op-bevaredes.
Det er efter bevisførelsen ikke med den til domfældelse nødvendige sikkerhed bevist, at afleveringsstedet for kunden tillige blev opbevaret i DDS Pathfin-der systemet i 5 år.
Det lægges til grund, at telefonnumre, herunder med oplysning om opsam-lingsadresse er personoplysninger i dataforordningens forstand, når de er henførbare til fysiske personer.
side 20
Det er ubestridt, at der er opbevaret oplysninger om telefonnumre og opsam-lingsadresser i forbindelse med 8.873.333 taxature. Det er efter bevisførelsen er ikke klarlagt, hvor mange fysiske personer det vedrører, men retten finder det bevist, at der i et betydeligt omfang er opbevaret informationer om iden-tificerbare fysiske personer.
Tiltalte (Virksomhed) har i det skema, der blev udfyldt forud for tilsynsbesøget anført, at telefonnumrene blev gemt i 5 år udelukkende som datagrundlag for forret-ningsudvikling.
Efter bevisførelsen lægges det til grund, at der ikke under tilsynsbesøget blev spurgt nærmere ind til, hvad dette betød, og ingen af de under hovedforhand-lingen afhørte personer har kunnet redegøre nærmere for, hvad der skal for-stås herved.
Retten finder herefter ikke, at det er bevist, at Tiltalte (Virksomhed) har opbevaret tele-fonnumrene og opsamlingsadresserne som led i produkt- og forretningsudvil-king på en måde, hvorved de har haft en økonomisk fordel eller har undgået et tab.
Det lægges efter bevisførelsen til grund, at Tiltalte (Virksomhed) i tiden op til ikraftræ-delsen af databeskyttelsesforordningen havde foretaget en IT-gennemgang af deres systemer og indhentet rådgivning om, hvorledes de kunne overholde reglerne, og at de troede, at de handlede i overensstemmelse med forordnin-gen, når kundens navn blev anonymiseret efter 2 år. Retten finder det heref-ter ikke bevist, at Tiltalte (Virksomhed) havde forsæt til at overtræde de i tiltalen nævn-te bestemmelser. Retten finder imidlertid, at overtrædelsen kan tilregnes Tiltalte (Virksomhed) som uagtsom.
På baggrund af bevisførelsen, herunder Tiltalte (Virksomhed)s egne oplysninger, lægges det endelig til grund, at det ikke var nødvendigt at opbevare registreringerne om telefonnummer og opsamlingsadresse i mere end 2 år.
I ovennævnte erkendte og beviste omfang finder retten herefter, at Tiltalte (Virksomhed) er skyldig i overensstemmelse med tiltalen, dog således, at gerningspe-rioden i overensstemmelse med anklagemyndighedens endelige påstand op-hørte den 9. maj 2019.
Strafudmåling
Ved Datatilsynets oprindelige indstilling til bødepåstand blev denne beregnet på baggrund af Tiltalte (Virksomhed)s nettoomsætning i året forud for gerningsperio-den. Datatilsynet har ved den endelige beregning af indstilling til bødepåstan-dens størrelse lagt vægt på nettoomsætningen for seneste indkomstår forud for afgørelsesåret, hvilket anklagemyndigheden har tiltrådt.
Retten finder, at det vil stride mod principperne i straffelovens § 3 at lægge
side 21
vægt på en højere omsætning.
Anklagemyndigheden har tiltrådt Datatilsynets vurdering af formildende og skærpende omstændigheder.
Da retten ikke finder det bevist, at Tiltalte (Virksomhed) havde en økonomisk fordel ved at opbevare oplysningerne i yderligere 3 år, at Tiltalte (Virksomhed) alene opbeva-rede opsamlingsstedet sammen med telefonnummeret i 5 år, at det er usikkert hvor mange oplysninger om identificerbare fysiske personer, der er blevet opbevaret, dog således at retten finder det bevist, at der er tale om et betyde-ligt omfang af informationer, at der ikke er tale om særligt følsomme oplys-ninger, at der er tale om en førstegangsovertrædelse af mere formel karakter, at der ikke er noget, der tyder på, at oplysningerne ikke har været opbevaret i et tilstrækkeligt sikkert system, og at overtrædelsen alene kan tilregnes Tiltalte (Virksomhed) som uagtsom, ligesom Tiltalte (Virksomhed) hurtigt har retttet for sig, da de fik kendskab til politianmeldelsen, finder retten, at en bøde i et sådant tilfælde i normaltilfælde bør udmåles i den nederste del af spændet, dvs. til omkring 300.000 kr.
I denne sag løber gerningsperioden fra 25. maj 2018 indtil 9. maj 2019, poli-tianmeldelse er sket den 18. marts 2019, anklageskrift er indleveret til retten den 16. juni 2020, og dom i sagen afsiges først primo 2023, uden at dette kan tilskrives Tiltalte (Virksomhed)s forhold.
Retten finder på denne baggrund, at straffen bør nedsættes med 2/3 til 100.000 kr., jf. straffelovens § 82, stk. 1, nr. 13 og stk. 2, tidligere § 82, nr. 13 og 14.
Tiltalte (Virksomhed) skal herefter straffes med en bøde på 100.000 kr., jf. databeskyt-telsesforordningens artikel 83, stk. 2 og stk. 5, litra a, jf. stk. 9, jf. artikel 5, stk. 1, litra e, jf. artikel 6 og 4, nr. 1, jf. databeskyttelseslovens § 41, stk. 1, nr. 4, jf. stk. 3, jf. stk. 6.
Thi kendes for ret:
Tiltalte (Virksomhed) v/ Stilling 1 Vidne 1, skal straffes med en bøde på 100.000 kr.
Tiltalte skal betale sagens omkostninger.
Dommer
side 22