“Det er en meget vigtig dom, fordi den er med til at fastlægge praksis for bødeniveauet for private virksomheder. Man vil skele til denne sag, når man fremover skal afgøre lignende sager. Og vi er tilfredse med, at Østre Landsret i store træk er enige i vores oprindelige vurdering af niveauet tilbage fra 2020.”
Citatet stammer fra Cristina Angela Gulisano, direktør i Datatilsynet. Og det er ganske forståeligt. Dengang, da bødeindstillingen kom på 1,1 mio. kr., var der en del røster, der ytrede, at det var alt for meget. I lyset af de andre bødesager, vi i dag ser rundt om i EU, forekommer bødens størrelse, om man kan lide det eller ej, at være i tråd med udviklingen.
I byretten havde et flertal stemt for at lade straffen bortfalde, mens et mindretal havde stemt for at straffe hotelkæden med en bøde på 175.000 kr. De 1,1 mio. kr. var blevet til en advarsel. Dermed var GDPR selvsagt reduceret noget i betydning rundt omkring på direktionsgangene.
Landsretten tog stilling til, dels om der var tale om en overtrædelse, dels hvad bødens størrelse skulle ligge på samt i forlængelse heraf, hvilket årsregnskab der skal tages udgangspunkt i, når der skal fastsættes en bøde.
Overtrædelsen
Om overtrædelsen skriver landsretten:
“Hotelkæden var således [..] vidende om, at virksomheden ikke overholdt forordningens art. 5, stk.1, litra e, og forholdt sig accepterende hertil, idet en manuel sletteprocedure først blev iværksat i efteråret 2018. Den manuelle sletning, der blev iværksat i september 2018, var efter vidne 1s forklaring utilstrækkelig, hvilket virksomheden var klar over, og den var mest etableret for at vise, at man gjorde noget ved problemet. Den manuelle sletning blev først intensiveret i november 2018, efter at det ved tilsynsbesøget den 1. oktober 2018 af Datatilsynet var konstateret, at der var problemer med overholdelse af slettefristen. Der foreligger dermed en forsætlig overtrædelse i perioden fra den 25. maj 2018 indtil december 2018, hvor der navnlig i november 2018 blev slettet i størrelsesordenen 500.000 kundeprofiler, der var blevet opbevaret i strid med virksomhedens egne slettefrister.“
Den naturlige konklusion er:
“Hotelkæden findes derfor skyldig i samme omfang som fastslået af byretten [..].”
Hvilket regnskab?
Næste spørgsmål lød: Overtrædelsen blev afsluttet i december 2018. Datatilsynet indstillede bøden i 2020 på baggrund af det senest afsluttede regnskab fra 2018, men landsretten fastsætter bøden i 2023, så hvilket regnskab skal bøden beregnes på baggrund af?
Landsretten skriver:
“Det fremgår af forordningens art. 83, stk. 4 og 5, at der ved fastsættelsen af bødens størrelse tages
hensyn til den samlede globale omsætning i det foregående regnskabsår, og det fremgår af afgørelse
af 28. juli 2021 fra Det Europæiske Databeskyttelsesråd, at der med ”det foregående regnskabsår”
tages udgangspunkt i det seneste reviderede og offentliggjorte regnskab, når tilsynsmyndigheden
træffer endelig afgørelse om bødens størrelse.“
Landsretten skriver videre:
“Bestemmelserne i forordningens art. 83, stk. 4 og 5, hvorefter der ved bødefastsættelsen skal tages
udgangspunkt i ”det foregående regnskabsår” er udformet ud fra den forudsætning, at der pålægges
en administrativ bøde, hvilket i de fleste tilfælde må forventes at indebære, at der vil være en nær
tidsmæssig sammenhæng mellem gerningsperioden og det regnskabsår, som skal danne grundlag
for fastsættelsen af den administrative bøde. Bestemmelsen er således ikke affattet med sigte på den
ordning, der er gældende i Danmark, hvorefter bødestraf idømmes af domstolene.”
Som bekendt er ordningen i Danmark, at Datatilsynet indstiller bøden, mens domstolene fastsætter den. Det vil sige, at der kan gå en rum tid, før bøden er endeligt fastsat. Og så mistes som udgangspunkt den nære tidsmæssige sammenhæng mellem gerningsperioden og det regnskabsår, som skal danne grundlag
for fastsættelsen af den administrative bøde.
Konklusionen blev, at landsretten følger Datatilsynet:
“Landsretten finder, at bødefastsættelsen skal ske under hensyntagen til virksomhedens økonomiske
forhold ud fra årsregnskabet for 2018, der afspejler virksomhedens økonomiske situation i perioden,
hvor overtrædelsen fandt sted, og som var det senest reviderede og offentliggjorte regnskab, da
tilsynsmyndigheden, Datatilsynet, afsluttede sagsbehandlingen og anmeldte hotelkæden til politiet.”
Bødefastsættelse
For så vidt angår bødefastsættelsen skriver landsretten beklageligvis og noget overraskende om Datatilsynets bødeindstilling:
“Datatilsynet har ikke nærmere redegjort for de beregninger, som førte til, at der oprindeligt blev
påstået en bøde på 1.100.000 kr. ud fra hotelkædens årsregnskab for 2018. Det er således ikke
muligt at vurdere, hvilket udgangspunkt for bødefastsættelsen, som Datatilsynet har anvendt og
herefter korrigeret under hensyntagen til sagens skærpende henholdsvis formildede omstændigheder. De ændrede bødeberegninger, som Datatilsynet har foretaget ud fra senere regnskabsår, afdækker heller ikke dette.”
Det virker til, at landsretten irriteredes over dette og ender derfor med at trække lidt fra de 1,1 mio. kr.:
“Landsretten finder på denne baggrund efter en samlet vurdering af sagens omstændigheder og med
udgangspunkt i den af Datatilsynet indstillede bøde samt under hensyn til hotelkædens
nettoomsætning i 2018, at bødestraffen passende kan fastsættes til 1.000.000 kr.“
Det kan undre, at vi ikke fik mere under sagen om, hvordan mere præcist Datatilsynets egen model skal anvendes. Hvis Datatilsynet havde ønsket en endnu stærkere sag at arbejde videre på baggrund af, havde det måske været klogt. Men nu er den fulde frihed til fastsættelse i hvert fald bevaret og muligvis godkendt, hvilket antagelig svarer mindre godt til EDPBs vejledning på området:
“These Guidelines can be seen as following a step-by-step approach, though supervisory authorities are not obliged to follow all steps if they are not applicable in a given case, nor to provide reasoning surrounding aspects of the Guidelines that are not applicable. Although, reasoning should at least include the factors which led to determining the level of seriousness, the turnover which is applied, and the aggravating and mitigating factors that were applied.“
Det videre forløb
På det seneste har vi set en lang række afgørelser fra Datatilsynet, der, uanset om overtrædelsen er begået af en privat virksomhed eller en offentlig myndighed, er endt med kritik eller alvorlig kritik. Det må forventes, at Datatilsynet nu igen skruer op for bødeniveauet, samt at domstolene noget hurtigere kan fastsætte dem.