Byrets dom af 12. februar 2021 i sag SS-3662/2020-ARH

Print

Relaterede love

Retsplejeloven
Bogføringsloven

Resumé

Tiltale for overtrædelse af Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger mv.
D67.DTD

Retten i Aarhus

Udskrift af dombogen

D O M

afsagt den 12. februar 2021

Rettens nr. 13-3662/2020

Politiets nr. 4200-84266-00004-19

Anklagemyndigheden

mod

Tiltalte A/S

CVR nr.

Der har medvirket domsmænd ved behandlingen af denne sag.

Anklageskrift er modtaget den 1. april 2020.

Tiltalte A/S er tiltalt for overtrædelse af

Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e og stk. 2, jf. artikel 4, stk. 1 og artikel 6, jf. lov nr. 502 af 23. maj 2018 om supple-rende bestemmelser til forordning om beskyttelse af behandling af per-sonoplysninger og om fri udveksling af sådanne oplysninger § 41, stk. 1, nr. 4, jf. stk. 3, jf. stk. 6,

ved i perioden fra den 25. maj 2018 og indtil den 18. januar 2019, at have undladt at opfylde virksomhedens forpligtelse som dataansvarlig for behand-ling af personoplysninger i systemet AX 2.5 til at sikre, at personoplysninger-ne ikke blev opbevaret på en sådan måde, at det var muligt at identificere de registrerede i et længere tidsrum end det, der var nødvendigt til de formål, hvortil personoplysningerne behandledes, og til at kunne påvise dette, idet virksomheden opbevarede oplysninger om et betydeligt antal og ikke under 350.000 tidligere kunders navne, adresser, telefonnumre, e-mails og købshi-storik, som hver især er informationer om en identificérbar fysisk person, u-agtet personoplysningerne var indsamlet før 1. januar 2013, og at opbevaring ikke længere var nødvendig, ligesom virksomheden ikke på tilsynsbesøget den 8. oktober 2018 kunne påvise, at de havde fastsat slettefrister eller udar-bejdet retningslinjer for sletning i AX 2.5.

Påstande

Std 75271

side 2

Anklagemyndigheden har nedlagt påstand om en bøde på 1,5 mio. kr.

Tiltalte har nægtet sig skyldig.

Sagsfremstilling

Afårsrapporten for 2016/2017 (bilag C-3-2-3-1 ) for Tiltalte A/S

Tiltalte A/S fremgår under ledelsesberetningen om virksomhe-dens hovedaktivitet følgende:

”…

Hovedaktivitet

Tiltalte A/S gruppen er én af Danmarks førende detailhandlere inden for møbler og boligindretning med ca. 830 medarbejdere, 70 møbelhuse og 3 webshops og en årlig omsætning på 1,8 mia. kr. Hovedkontoret ligger i By ved Aarhus, hvor mere end 100 medarbejdere er ansat til at støtte de tre kædekoncepter. Tiltalte A/S er en del af Koncern, der blandt andet også har kæderne Kæde 1, Kæde 2 og Kæde 3.

Tiltalte A/S driver detailhandel under følgende koncepter:

1.Tiltalte A/S ejer og driver 34 Bolighus 1 i Danmark. Hertil kommer 6 tilknyttede bolighuse - 3 i Danmark, 1 på Færøerne, 1 på Grønland og 1 på Island. Bolighus 1's koncept er kendetegnet ved et bredt sortiment - primært til stuen, spisestuen, soveværelset og haven -i godt design og god kvalitet. Bolighus 1 har et landsdækkende netværk af butikker med et gennemsnitligt salgsareal på 3.000 m2.

2.Tiltalte A/S ejer og driver 7 Bolighus 2 i Danmark og 1 bolighus i Sverige. Hertil kommer 1 tilknyttet bolighus på Island. Bolighus 2's koncept er kendetegnet ved et bredt sortiment dækkende alle boligens rum - inde og ude - i godt design, god kvalitet og med flere stilarter afspejlende den nyeste trend. Bolighus 2's butikker er større destinationsbutikker beliggende i udkanten af landets store byer med et gennemsnitligt salgsareal på 6.000 m2.

3.Tiltalte A/S har 21 franchise bolighuse beliggende i Mellemøsten, Sydeuropa og Østeuropa. Tiltalte A/S konceptet er kendetegnet ved et sortiment i god kvalitet i nordisk design med et strejf af lokal tilpasning

- primært til stuen, spisestuen og soveværelset. Tiltalte A/S' franchise bolighuse har et gennemsnitligt salgsareal på 1.500 m2.

…”

Det er under sagen oplyst, at Bolighus 1 og Bolighus 2 er slået sammen under nav-

side 3

net Bolighus 2, men at der fortsat eksisterer tre Bolighus 1, der drives på selvstændig franchisebasis.

Det er under sagen endvidere oplyst, at tiltalte er en del af Koncern, at det ultimative moderselskab er Virksomhed ApS, og at koncernens samlede omsætning i regnskabsåret 2016/2017 udgjorde 6.57 mia. kr. Heraf udgjorde tiltaltes omsætning knap 1,8 mia. kr.

- - - oo0oo - - -

Den 15. august 2018 varslede Datatilsynet tiltalte om et tilsynsbesøg hos til-talte den 8. oktober 2018 med henblik på at gennemgå virksomhedens proce-durer for efterlevelse af databeskyttelsesforordningen, herunder de tekniske og organisatoriske foranstaltninger for opfyldelse af reglerne om sletning i tiltaltes datasystemer (bilag B-1-1).

Tiltalte gjorde ved mail af 30. august 2018 Datatilsynet opmærksom på, at der i virksomheden i alt var 57 datasystemer og fremsendte en liste herover (bilag B-2-1 og bilag B-2-1-1). Den fremsendte liste indeholdt en kort be-skrivelse af virksomhedens 57 datasystemer, herunder økonomi/ERP-syste-met AX 2012 og det ældre ERP-system AX 2.5. Beskrivelsen af disse to sy-stemer lyder:

”…

IT

MicrosoftAX2012: Økonomi/ERP system

Dynamicsv  som driver alle  vores centrale forretningsprocesser og indeholderAX inkl.:alt stamdata inkl. kundedata.AX2012AX POS: Systemet bruges som voresAX POSkasseapparatssystem i vores Bolighus 1 og Bolighus 2Biztalkbutikker.Biztalk: Systemet bruges til elektronisk afsendelseaf indkøbsordre til vores leverandører. Indeholder ilangt de fleste ikke persondata, da de fleste e-mailadresser som der er linket op til erordre@xxx.dk, men vi kan ikke udelukke at den ienkelte tilfælde er personnavn@xxx.dk, hvorforden er medtagetDet er alene almindelige oplysninger, derbehandles.

side 4

ITMicrosoftX2.5 er Bolighus 1's gamle ERP system.DynamicsBolighus 1 har tre samhandlende butikker, somAX inkl.:stadig køre på samme vis, som da hele kæden varAX2012frivillig drevet og på franchisebasis. De treAX POSsamhandlende butikker bruger systemet somBiztalkkundedatabase. De tre butikker er selvstændigedataansvarlige, og Tiltalte A/S er databehandlere.Af Tiltalte A/S bruges systemet nu alene iht.persondata som opslagsværk af voresKundeservice på kundesager i forbindelse medreklamationssager eller tidligere udstedtegarantier samt af vores Bogholderi iforbindelsemed omkostningsfakturaerDet er alene almindelige oplysninger, derbehandles.

..."

Datatilsyne t udtog ved mail af 3. s eptember 2018 syv systemer til nærmere kontrol (bi l ag B-3-1). Disse var Co mpanYoung, Timeplan, Thomas Interna-tional, Dan Count, AX 2012, Drop box samt Microsoft Exchange Server, og Datatilsyne t anmodede samtidig h ermed virksomheden om at besvare et medsendt s pørgeskema om bl.a. pr ocedurernefor sletning af personoplysnin-gerne i de s yv systemer.

Efter tilsyn sbesøget den 8. oktober 2018 anmodede Datatilsynet tiltalte om at besvare en række yderligere spørgs mål med tilknytning til flere af de syv sy-stemer, der havde været genstand for kontrol. Datatilsynet fremsendte her-efter en ma il vedhæftet udkast til r apportskema med orientering om tilsyns-besøget, hv ori var fremsat en rækk e bemærkninger til de syv systemer (bilag C-2-1 og bilag C-2-2). AX 2.5 var således ikke særskilt omtalt, men under Datatilsynets bemærkninger til AX 2012-systemet anføres under pkt. 5.8 bl.a. følgende:

”…

5.8Gennemgang af systemet

Ved gennemgangen af systemet oplyste Tiltalte A/S, at der ikke ligger oplysninger i AX2012 længere tilbage end år 2015. Dette skyldes, at Tiltalte A/S før 2015 brugte systemet AX 2.5, som indeholder de samme typer personoplysninger, som findes i AX2012.

Tiltalte A/S oplyste desuden, at der ikke er fastsat slettefrister i AX 2.5, hvorfor personoplysninger i det gamle system ikke er blevet slettet. Det blev derfor besluttet, at det ikke var nødvendigt at foretage en søgning på en kunde i det gamle system, da Tiltalte A/S oplyste, at kunden stadig ville være at finde i systemet. Endelig oplyste Tiltalte A/S, at AX 2.5. er under udfasning.

…”

side 5

Den 8. november 2018 fremsendte Vidne 1 tiltaltes bemærkninger til ovennævnte udkast til rapport (bilag C-2-4), og det hedder sig heri bl.a.:

”…

I forhold til det eventuelle strafbare forhold vedrørende opbevaring af ansøgninger på baggrund af stillingsannoncer i 2 år henviser vi først og

fremmest tilyderligere bemærkninger indskrevet direkte i

rapportskemaet. Vi formoder derudover, at der ikke i de resterende dele af tilsynet og rapportskemaet anses andre forhold, der kan få nogen konsekvens af denne karakter, i og med at det alene er dette forhold, der bemærkes i rapportskemaet.

Vedrørende slettefristerne i AX2012 vil vi gerne gentage og også fremhæve, at vi har opstillet de forskellige slettefrister for at dataminimere. Herunder den sondring der er foretaget mellem kundedata og faktura. Vi ved, at vi naturligvis også har en pligt til dette, jf. databeskyttelsesforordningens art. 5, stk. 1, litra e. Men vi følte ikke, at vi helt kom ud med dette budskab under tilsynsbesøget, hvilket også afspejles i rapportskemaet. Overordnet er der slettefristen for fakturaer ifølge Bogføringsloven, men vi har altså begrænset det yderligere ved at slette kundedata efter 2 ½ år iht. vores reklamationsret, som går et halvt år længere end Købelovens reklamationsret.

…”

Den 4. december 2018 fremsendte Datatilsynet et brev til tiltalte (bilag C-3-1), hvori Datatilsynet gjorde opmærksom på, at tilsynet havde en konkret mistanke om, at der i AX 2.5-systemet blev behandlet personoplysninger i strid med databeskyttelsesforordningens art. 5, stk. 1, litra e. Datatilsynet an-modede herunder tiltalte om at oplyse bl.a., ”hvor mange kunder behandles der personoplysninger om i AX 2.5?” . Tiltalte blev i den forbindelse gjort op-mærksom på, at virksomheden ikke var forpligtet til at afgive oplysninger i sagen, jf. herved retssikkerhedslovens § 10.

Den 12. december 2018 svarede Vidne 1 på Datatilsynets brev (bilag C-3-2-3) og anførte herunder følgende:

”…

Besvarelse af yderligere spørgsmål

1. Er Tiltalte A/S dataansvarlig for den behandling af 

personoplysninger, der finder sted i AX2.5, herunder f.eks. når der foretages opslag til brug for kundesager mv.?

Ja, Tiltalte A/S er dataansvarlige for den behandling af personoplysninger, der finder sted i AX2.5 i forbindelse med opslag i fakturaer udstedt til Tiltalte A/S' kunder i relation til kundesager/reklamationer samt i tilfælde af evt. spørgsmål fra SKAT.

Hvis Tiltalte A/S mener, at virksomheden er dataansvarlig for

side 6

behandlingen af personoplysninger, bedes det oplyst:

2. Hvor mange kunder behandles der personoplysninger om i AX2.5?

Tiltalte A/S har i AX2.5 registreret 823.178 kundeid'er.

Opgørelsen er behæftet med nogen usikkerhed og det reelle tal vil formentlig være noget lavere, idet den enkelte kundens telefonnummer anvendes som kundeid, og mange kunder fra tid til anden skifter telefonnummer. Der vil med andre ord være redundans som følge af, at den enkelte kunde figurerer flere gange. Antallet af kundeid'er er derfor højere end antallet af datasubjekter.

Tiltalte A/S har gennemgået oplysningerne i AX2.5 nærmere ud fra de hjemmelsgrundlag, der kan ligges til grund for opbevaring. Ud af de i

alt823.178 kundeid'er opbevares der oplysninger om 430.100

kundeid'er allerede som følge af Tiltalte A/S' retslige forpligtelse i henhold til bogføringslovens § 10.

3. Hvor gamle er de ældste personoplysninger, der opbevares i

AX2.5?

De ældste personoplysninger, der opbevares i AX2.5, er fra d 1. april 2010.

4. Hvad er baggrunden for, at Tiltalte A/S ikke har foretaget sletning i

AX2.5?

Baggrunden for, at der ikke er foretaget sletning i AX2.5 er, at Tiltalte A/S i 2015 påbegyndte implementering af et nyt ERP system (AX2012) som erstatning for AX2.5. I AX2012 er der, som det er Datatilsynet bekendt, defineret og implementeret automatiske slettefrister, som også nærmere gennemgået i den fremsendte besvarelse af spørgeskemaet forud for tilsynet, samt under gennemgangen på selve tilsynsbesøget.

Som en følge af den fokus, der har været på det fortsættende ERP system, herunder også implementering af passende tekniske og organiske sikkerhedsforanstaltninger, der letter overholdelse af kravene

idatabeskyttelsesforordningen, har der muligvis ikke været den

fornødne fokus på oprydningen i AX2.5, der er under udfasning.

På baggrund af Datatilsynets seneste henvendelse af d. 4. december 2018 (hvor det blev påpeget, at Datatilsynet havde en mistanke om overtrædelse af opbevaringsbegrænsningen) har vi derfor igangsat en nærmere undersøgelse for at afdække behovet for eventuelle system-og/eller procesændringer, der kan være nødvendige for at sikre efterlevelse af opbevaringsbegrænsningen frem til den endelige udfasning af AX2.5.

5. Er Tiltalte A/S en del af en koncern? (beskriv efterforholdene samt i 

hvilket omfang der udøves kontrol mellem enhederne)

side 7

Ja, Tiltalte A/S er en del af en koncern.

Somdet fremgår af årsrapporten er Tiltalte A/S ultimative

moderselskab Virksomhed ApS. Tiltalte A/S drives dog af en selvstændig direktion, hvorfor det ultimative moderselskab ikke udøver indflydelse på Tiltalte A/S' aktiviteter og daglige drift, foruden de emner der specifik bringes op på selskabets bestyrelsesmøder, som typisk vedrører selskabets overordnede strategiske forretningsdrift.

6. Hvor stor var Tiltalte A/S' samlede omsætning i 2017? (vedlæg

dokumentation i form af årsregnskab)

Tiltalte A/S samlede omsætning for 2017 eropgjort til t.DKK

1.705.369 for regnskabsåret, der løber fra

d. 1. september 2016 til d. 31. august 2017.

Årsregnskabet er vedlagt.

7. Hvis relevant — hvor stor var koncernens samlede omsætning i

2017? (vedlæg dokumentation i form af koncernregnskab og individuelle regnskaber)

Tiltalte A/S indgår, som før nævnt, i koncernrapporten for moderselskabet; Virksomhed ApS.

Den samlede omsætning for 2017 for Virksomhed ApS er opgjort til t.DKK 6.570.364 for regnskabsåret, der løber fra d. 1. september 2016 til d. 31. august 2017.

Årsregnskabet er vedlagt.

Hvis Tiltalte A/S ikke mener, at virksomheden er dataansvarlig for behandlingen af personoplysninger i AX2.5, bedes det oplyst:

8. Med hvilken begrundelse er Tiltalte A/S nået frem til denne

konklusion?

Tiltalte A/S henviser til besvarelsen af spørgsmål 1, samt det tidligere oplyste vedrørende brug af AX2.5.

Tiltalte A/S bedes desuden oplyse:

9. Hvornår i 2015 blev systemet AX2.5 erstattet af AX2012?

AX2.5 blev trinvist erstattet af AX2012, da implementeringen skete

overen periode i Tiltalte A/S' butikker, Bolighus 1 og Bolighus 2.

Implementeringen og dermed erstatningen skete fra d. 21. marts 2015 og frem til d. 9. juli 2015, hvorfor AX2.5 nu er under udfasning.

…”

side 8

Den 17. januar 2019 anmodede Datatilsynet – på ny under henvisning til rets-sikkerhedslovens § 10 – tiltalte om yderligere oplysninger, herunder om an-

tallet afregistrerede i AX 2.5 samt oplysning om hvilke typer af perso-

noplysninger, der blev opbevaret i systemet (bilag C-3-3-1). Vidne 1 svarede på vegne af tiltalte ved mail af 31. januar 2019 med vedhæftet bilag (bilag C-3-3-3 og bilag C-3-3-4). Af sidstnævnte bilag fremgår bl.a. føl-gende:

”…

1. Hvis Tiltalte A/S har mulighed for det, bedes det oplyst hvad det

korrekte antal registrerede er, når dubletter fjernes fra systemet, jf. ovennævnte.

Som oplyst ved seneste besvarelse af d. 12. december igangsatte Tiltalte A/S en nærmere undersøgelse for i første omgang at afdække behovet for eventuelle system og/eller procesændringer for at sikre efterlevelse opbevaringsbegrænsningen frem til den endelige udfasning af AX2.5. Denne proces er Tiltalte A/S nået en del videre med, og har i den forbindelse også allerede foretaget sletninger i systemet. Vi kan derfor kun udtale os om, hvor mange dubletter der er i de data, som fortsat findes i systemet.

Iseneste besvarelse oplyste vi, at Tiltalte A/S opbevarer 430.100

kundeid'er i systemet, allerede som følge af den retlige forpligtelse i henhold til bogføringslovens § 10. I tillæg hertil har vi 448 kundeid'er, som fortsat har et mellemværende med Tiltalte A/S. Resten, dvs. 392.630 kundeid'er, er blevet slettet.

Af de 430.548 kundeid'er, som fortsat opbevares i systemet, er 1,48 % dubletter, hvilket betyder, at der nu er 424.192 registrerede. Fordi hyppigheden på telefonnummerskift, efter vores erfaring, var højere før 2013, end den har været i de senere år, så har antallet af dubletter formentlig været højere tidligere. Anses ovenstående procentsats som en 'minimumssats' kan det konstateres, at der højst var data om 811.026 registrerede inden de foretagne sletninger.

…”

Den 3. juni 2019 anmeldte Datatilsynet tiltalte til Østjyllands Politi for over-trædelse af databeskyttelsesforordningens art. 5, stk. 1, litra e (bilag A-1-2) ved at have behandlet ca. 385.000 personoplysninger i AX 2.5 længere end nødvendigt. Anmeldelsen var bilagt Datatilsynets forslag til en sigtelse af til-talte, der således alene på daværende tidspunkt angik databeskyttelsesforord-ningens art. 5, stk. 1, litra e.

Samme dag orienterede Datatilsynet tiltalte herom (bilag A-1-3) og fremsatte over for tiltalte endvidere ”alvorlig kritik” af, at tiltalte ikke havde efterlevet databeskyttelsesforordningen på tre andre punkter, herunder påpegede tilsy-net, at virksomheden heller ikke havde overholdt forordningens art. 5, stk. 2,

side 9

i AX 2.5-systemet, idet der ikke havde været fastlagt og dokumenteret frister for sletning af personoplysninger heri.

Den 21. februar 2020 besvarede Datatilsynet en række spørgsmål stillet af Østjyllands Politi med relation til sagen (bilag F-1-1-2), herunder korrigerede tilsynet deres tidligere fremsendte udkast til en sigtelse, således at denne nu tillige indeholdt en sigtelse for overtrædelse af databeskyttelsesforordningens art. 5, stk. 2.

Den 21. februar 2020 fremsendte Vidne 1 på vegne af tiltalte en mail til Østjyllands Politi, hvori det anføres bl.a., at sletningerne i AX 2.5-sy-stemet er tilendebragt den 18. januar 2019. Til mailen var vedhæftet en over-sigt med eksempler på ”oprettede kunder som reducerer antallet af entydige entiteter” (bilag D-9-1-1).

Af sagens bilag D-9-1-2 til bilag D-9-1-4 fremgår tre databehandleraftaler indgået mellem tiltalte og tre selvstændige Bolighus 1. Underskrift fra begge aftaleparter foreligger i ingen af aftalerne før ultimo januar, og aftaler-ne er således indgået efter gerningsperiodens sluttidspunkt.

Den 21. januar 2021 fremsendte Datatilsynet en mail Datatilsynets overvejel-ser om bødeindstilling i sagen i lyset af tilsynets løbende arbejde med bødebe-regning (bilag F-3-1). Herom hedder det sig afslutningsvist:

”…

Datatilsynet har i den forbindelse lagt stor vægt på oplysningernes karakter, og at Tiltalte A/S ikke anvendte oplysningerne aktivt i deres kommercielle forretning, som det også er uddybende beskrevet i tilsynets tidligere udtalelser. Det er Datatilsynets opfattelse, at overtrædelsen i den foreliggende konkrete sag i den forstand mere har karakter af en formel overtrædelse. Derudover har tilsynet lagt vægt på,

atTiltalte A/S ikke har en historik med databeskyttelsesretlige

overtrædelser.

…”

Forklaringer

Der er afgivet vidneforklaring af Stilling 1 Vidne 1, Stilling 2 Vidne 2, Stilling 3 Vidne 3, Stilling 4 Vidne 4, Stilling 5 Vidne 5, Stilling 6 Vidne 6 og Stilling 7 Vidne 7. Forklaringerne er gengivet nedenfor.

Stilling 1 Vidne 1's forklaring er i retsbogen af 1. februar 2020 gengivet således:

"Vidnet forklarede, at hun har været ansat erhvervsjurist hos tiltalte siden maj 2012. Hendes titel er i dag Stilling 1, og hun har siden november

side 10

2018 været ansat i Koncern. Forud herfor var hun ansat hos tiltalte som chefjurist med titlen Head of Legal.

Tiltalte hed tidligere Navn, men navnet er i dag Tiltalte A/S. Tiltalte er en møbelvirksomhed, der sælger møbler i ”mellemsegmentet” . Tiltalte har en del butikker i Danmark, herunder med franchise bolighuse rundt omkring i verden. Bolighus 2 og Bolighus 1-butikkerne er i dag samlet under navnet Bolighus 2, men Tiltalte A/S er stadig et selvstændigt brand .

Overordnet er møbelkæden ejet af den familieejede Koncern, men virksomhedsstrukturen er ret kompliceret, og vidnet kender derfor ikke den specifikke selskabsstruktur og de mange detaljer heri. Men det ultimative moderselskab er Virksomhed ApS.

Efter sommerferien i 2017 nedsatte de en styringsgruppe, for at tackle de nye GDPR-regler, der skulle træde i kraft i foråret 2018. Vidnet var med fra Jura, og derudover var der en person fra henholdsvis IT, direktionen samt selve forretningen. Det blev vedtaget, at der desuden skulle være en såkaldt spo-ransvarlig fra de forskellige linjer i forretningen. Der var i alt 15 spor med hver sin sporansvarlig, og derudover kunne der være yderligere medarbejdere fra de enkelte spor tilknyttet arbejdet. Samlet set har de nok været 20-25 per-soner, der var involveret i GDPR-arbejdet. Et spor var f.eks. kundeservice, hvorfra kundeservicechefen deltog. Andre spor var salg, der i øvrigt var delt op i to spor, samt HR og løn mv. Der blev lavet en ”mapping” , hvor de for-søgte at kortlægge, hvor der var ”gaps” , dvs. huller i databeskyttelsen. Der blev i den forbindelse holdt møder med de forskellige sporansvarlige, hvorun-der de gennemgik deres respektive processer med fokus på databehandling og datasikkerhed. De tog i den forbindelse udgangspunkt i kundens rejse gennem butikken, herunder kunne der være forskellige IT-systemer, som kunden ”stødte ind i” , men kunderne kunne dog ikke længere støde ind i AX 2.5-systemet, som var et arkivsystem.

Det var en del af ”mappingen” at udarbejde fortegnelsen over de forskellige systemer. Som det fremgår af bilag B-2-1-1, var der i alt 57 forskellige IT-systemer i virksomheden, herunder er AX 2.5-systemet beskrevet på side 3.Foreholdt den hertil anførte beskrivelse bekræftede vidnet, at AX 2.5 som anført lejlighedsvist blev brugt som opslagsværk af kundeservice i forbindelse med reklamationssager eller tidligere udstedte garantier samt af bogholderiet i forbindelse med omkostningsfakturaer.

I GDPR-arbejdet var de omkring alle de systemer, som virksomheden bruger til at behandle data med. Vidnet kom først ind i processen forud for de nye krav i GDPR-forordningen, så hun er ikke bekendt med detaljerne i databe-handlingsprocesserne før dette tidspunkt. Styringsgruppen skulle lave politik-ker og procedurer for at sikre et tilstrækkeligt lovmæssigt niveau for datasik-kerhed. Der var således en rækker politikker og procedurer, der skulle opda-teres både i forhold til kundebehandling og medarbejdere, herunder skulle

side 11

sletteproceduren opdateres. Der skulle laves en sletteprocedure for hvert sy-stem, hvor der blev behandlet data. Vidnet ved ikke, om der forud for 2018 var særlige sletteprocedurer, dog er hun bekendt med, at f.eks. lønsystemet havde sletteprocedurer.

Da AX 2012-systemet overtog fra AX 2.5, var der ikke nogen slettefrister indbygget i AX 2012. AX 2012 er et ERP-system, og som hun forstod det, havde de kæmpestore ERP-systemer ikke nemt ved at få implementeret slet-tefrister. Men vidnet er erhvervsjurist, så hun har ikke et indgående kendskab til de mere tekniske detaljer i systemerne, om end hun kender til dem på et overordnet niveau. Det var meget op til den dataansvarlige selv at få styr på det, og det gik de så i gang med i efteråret 2017. De udfordrede herunder sy-stemarkitekterne, der hjalp med at ”drifte” systemet. Det kunne både være eksterne og interne aktører. De tog som nævnt udgangspunkt i forretningen, herunder kunden og medarbejderens ”rejse” gennem systemerne, og de hav-de fokus på de registreredes rettigheder. De havde også en awareness-kam-pagne i organisationen, således at medarbejderne havde fokus på datasikker-hed. De mente selv, at de havde godt styr på det forud for tilsynsbesøget, men GDPR er et on-going arbejde.

De fik en anmodning fra Datatilsynet om at svare på et spørgeskema. Som svar herpå oplyste de bl.a., at virksomheden samlet havde 57 systemer, hvil-ket var lidt overvældende navnlig i lyset af, at tilsynsbesøget umiddelbart kun var sat til at vare 2-3 timer. Men Datatilsynet sendte så efterfølgende en liste, hvor syv systemer var blevet udtaget til nærmere kontrol under tilsynsbesø-get. De fokuserede i perioden op til tilsynsbesøget særligt indsatsen på de ud-valgte systemer.

Foreholdt bilag A-1-3, brev af 3. juni 2019 fra Datatilsynet til tiltalte, og hvoraf fremgår bl.a., at der blev udtalt ”alvorlig kritik” af nogle af virksom-hedens systemer opregnet i brevet under pkt. 2-4, herunder kritik af, at der var behandlet personoplysninger efter virksomhedens egne slettefrister i AX 2012-systemet (jf. brevets pkt. 3) samt kritik af manglende sletning i rekrut-teringssystemet (jf. brevets pkt. 4), ønskede vidnet at kommentere herpå: For så vidt angår pkt. 3 var slettefristen skriftligt dokumenteret. Der lå dog noget data herudover, men det handlede alene om et par dage. Den manglende slet-ning skyldtes, at de havde automatiske sletteprocedurer, men der var nogle systemkørsler, der ikke var blevet kørt, og som først blev gennemført nogle dage efter. Vedrørende pkt. 4 var der fastsat skriftlige sletningsprocedurer, hvilket de demonstrerede over for tilsynet, men de kunne så ikke dokumente-re, at de i virksomheden kontrollerede, at slettefristerne var overholdt. Kon-trollen foregik hver 3. måned, men den var ikke en del af den skriftlige slette-procedure, så den kunne ikke dokumenteres, men den fandt rent faktisk sted.

AX 2012 var et af de syv systemer, der blev udtaget til kontrol. AX 2012 var det ERP-system, der overtog og afløste AX 2.5 i 2015, så da GDPR trådte i kraft i 2018, lå der personoplysninger ca. 3 år tilbage i tid i AX 2012. AX 2.5

side 12

var således ikke længere et aktivt system, men det var med på listen, da de blev bedt om at lave en komplet liste over alle deres systemer. Oplysningerne fra AX 2.5 blev ikke overført til AX 2012, og AX 2.5-systemet blev som nævnt kun brugt lejlighedsvist, hvis der var en ældre garantisag el.lign. Den 8. oktober 2018 var der ikke implementeret nogle slettefrister i AX 2.5, nok fordi systemet var taget ud af drift, og de således ikke betragtede det som et aktivt system. Derfor var der ikke taget nærmere stilling til de oplysninger, der lå heri. Det var de aktive systemer, som havde haft deres fokus under GDPR-arbejdet.

Anklageren dokumenterede side 13/14 i bilag B-4-1-1, der er et spørgeskema om procedurer for sletning i de af Datatilsynet syv udvalgte systemer.

Vidnet forklarede hertil, at de har sat bogføringslovens 5-års grænse som den yderste slettegrænse, men de har valgt at dataminimere og indsætte kortere slettefrister for så vidt angår f.eks. kundeoplysninger på 2,5 år, hvilket svarer til virksomhedens reklamationsret. AX 2012 muliggjorde systemmæssigt, at der kunne differentieres mellem slettefrister. Nogle møbler har en 25 års ga-ranti, men de mente ikke, at de kunne retfærdiggøre en så lang slettefrist, hvorfor de bibeholdt 2,5 års slettefristen af hensyn til reklamationsretten.

AX 2012 var et af de syv systemer, der var udtaget til kontrol. Det var AX 2.5 derimod ikke. Men de fik under tilsynsbesøget fokus på AX 2.5, da en af medarbejderne fra Datatilsynet pludselig spurgte, om de kunne slå en konkret kunde op med henblik på at kontrollere om pågældendes oplysninger var ble-vet slettet. Stilling 3, Vidne 3, ville så demonstrere dette. Men da han så, at det var et ældre køb, oplyste han lidt henkastet, at det ikke ville være mu-ligt at finde kunden i AX 2012, men at pågældende i stedet ville kunne findes i AX 2.5, der var det gamle system.

Foreholdt afhøringsrapport af 24. februar 2020 (bilag H-2-1), side 3, næst-sidste afsnit, forklarede vidnet, at hun ikke i dag skal kunne sige, om hun har brugt ordene ”med sikkerhed” .

Foreholdt Datatilsynets udarbejdede rapport i anledning af tilsynsbesøget den 8. oktober 2018 (bilag C-2-5), ad pkt. 5.8, som anklageren dokumenterede 10 linjer af inkl. to indsatte bemærkninger i margen, forklarede vidnet, at hun er identisk med Initialer i kommentarfeltet, hvor de har anført de bemærknin-ger, de havde til rapporten. Det er korrekt, at der – som hun var inde på før – var noget med nogle kørsler i AX 2012, der ikke var blevet kørt, men som blev det få dage efter.

De modtog den første henvendelse fra Datatilsynet vedrørende AX 2.5 den 4. december 2018 (bilag C-3-1). De havde betragtet AX 2.5 som et gammelt og udfaset arkivsystem, men overvejelserne startede så op med, hvordan de skulle forholde sig hertil. De ville gerne imødekomme Datatilsynet, men der var ikke rigtig nogen vejledning at hente.

side 13

Tiltalte var dataansvarlig for AX 2012 og tilsvarende for så vidt angår AX 2.5, men derimod ikke for de tre selvstændige Bolighus 1-butikker. De er ef-ter vidnets opfattelse selvstændigt dataansvarlige, mens tiltaltes rolle her ale-ne er at være databehandler. Men vidnet ved ikke hvilke nærmere aftaler, der lå til grund herfor, men der var en overordnet samarbejdsaftale, som dog ikke specifikt knyttede sig til selve datahåndteringen. De havde også på et tids-punkt et møde med butikkerne herom, herunder hvem der havde hvilke roller mv. Vidnet kan ikke huske, om de havde fat i de tre selvstændige Bolighus 1-butikker om, at der nu skulle slettes i AX 2.5. Men de var i hvert fald ik-ke repræsenteret i styringsgruppen.

Foreholdt det antal kunde-id´er, der er angivet i bilag C-3-2-3 under spørgsmål 2, forklarede vidnet, at der kunne være forskel på antallet af kun-de-id og antallet af registrerede.

Efter datatilsynets besøg gik de så i styringsgruppen i gang med at fastsætte procedurer for oprydning og sletning i AX 2.5. Som hun forstod det, var sy-stemet anderledes bygget op rent IT-teknisk, og de kunne derfor ikke bare lægge de samme procedurer fra AX 2012 ned over AX 2.5 én til én. Derud-over havde de nogle andre overvejelser, da AX 2.5 netop var et ikke aktivt arkivsystem. Hun kan godt forestille sig, at snittet er blevet lagt efter bogfø-ringslovens § 10. Men der er en interesseafvejning og nogle andre hensyn, der gør, at den frist ikke altid er den relevante. Men de skulle vælge et snit, og det blev så 5-års grænsen fra bogføringsloven.

Hun sidder tilbage med, at de havde gjort et kæmpe stykke arbejde på tværs af hele virksomheden og i forhold til samtlige de aktive systemer. Hun ved ikke, om hun skal kalde det en forglemmelse, at de ikke havde forholdt sig til AX 2.5-systemet. Hun er lidt usikker på, hvad anklageren mener med ”passiv drift” , og ved derfor ikke, om hun selv vil bruge den betegnelse om systemet.

Adspurgt af forsvareren forklarede vidnet, at det var svært at nå i mål med alle systemer frem mod den 25. maj 2018, og at det var et kæmpe arbejde. ERP-systemet AX 2012 er et kæmpe system, men også f.eks. Microsoft Ex-change, herunder Outlook, var et stort system at gennemgå og opstille pro-cedurer for, og der var ingen hjælp at hente fra Microsofts side. Men de men-te i virksomheden, at de i det store og hele var nået i mål forud for tilsynsbe-søget, om end der hele tiden er noget at tage stilling til, da systemerne er dy-namiske, og der kommer nye arbejdsgange og processer, der skal opstilles datahåndteringsprocedurer for.

Datatilsynet havde heller ikke på det tidspunkt udarbejdet en konkret vejled-ning omkring sletteregler, og der var mange holdninger til, hvordan slettereg-lerne skulle indrettes. De søgte også rådgivning hos Dansk Erhverv. Rådgiv-ningen havde dog nok mere karakter af sparring, og det råd, de fik, var sådan lidt ”på den ene side og på den anden side” . Hun frygtede ikke datatilsynets

side 14

besøg, da de følte, at de var beredte. Og så plejer de at have en god dialog med de myndigheder, de får besøg af, herunder får de ofte gode råd. De var faktisk ret stolte af deres løsning i f.eks. Outlook. De havde håbet på, at de kunne få at vide, hvad der var godt og skidt, men det skete ikke. Der kom to personer på besøg fra Datatilsynet. Tonen var sådan set fin nok. Der blev ik-ke spurgt nærmere ind til AX 2.5, og de havde umiddelbart ikke indtryk af, at der kunne være et problem hermed. Datatilsynet pegede derimod på, at der kunne være et problem med deres rekrutteringssystem, og HR-systemet blev også ”flaget” , men ikke AX 2.5. Datatilsynet bad heller ikke om under-liggende data, herunder om adgang til at kopiere fra deres server.

Forsvareren dokumenterede afsnit 5 og 6 i vidnets mail af 8. november 2018 til Datatilsynet (bilag C-2-4). Vidnet forklarede dertil, at de ikke formodede, at der var et problem udover HR-systemet, og som angik opbevaring af stil-lingsannoncer i 2 år, men det ville de gerne have en bekræftelse på. Men det reagerede datatilsynet ikke på.

Vidnets mail til Datatilsynet af 12. december 2018 med tilhørende bilag (herunder bilag C-3-2-3) indeholder svar på Datatilsynets henvendelse af 4. december 2018 (bilag C-3-1), hvor tilsynet havde stillet en række spørgsmål om AX 2.5. Tallene, de angav i svaret, fik hun fra Vidne 3.

Det fremgår ikke, hvor mange fysiske personer, det rent faktisk drejede sig om. Nogle personer kan således godt ligge dobbelt i systemet. Har man f.eks. været i en fysisk butik og dernæst handlet i deres webshop på nettet, kan der genereres flere kunde-id´er på samme person.

Efterfølgende var der ikke nogen fra Datatilsynet, der sagde, at de ikke måtte slette oplysningerne. De fik ekstern rådgivning fra Advokatfirma, der sagde, at de skulle skynde sig at få ryddet op og slette oplysninger i AX 2.5.

De havde generelt frie hænder i styregruppen til at tilrettelægge GDPR-pro-jektet. De havde ”kick off” med direktionen i oktober 2017. Der var ikke sat begrænsninger op for projektets gennemførelse, herunder af økonomisk art, og moderselskabet har heller ikke blandet sig i processen."

Stilling 2 Vidne 2's forklaring er i retsbogen af 1. februar 2020 gengivet således:

"Vidnet forklarede, at han blev ansat pr. 1. august 2018. De har et datapro-tectionteam, der har den daglige styring med datasikkerheden, men han har det overordnede ansvar for IT og økonomi.

En af hans første opgaver var at forholde sig til det tilsynsbesøg, som Datatil-synet varslede dem om i august 2018 (bilag B-1-1), og som var sat til at fin-de sted den 8. oktober samme år. De troede, at det ville blive svært at nå at

side 15

klargøre det hele forud for tilsynsbesøget.

Han kender AX 2012-systemet, men han har dog umiddelbart ikke selv ad-gang til det, da han ikke arbejder i systemet. Han kender derimod kun AX 2.5 af omtale, herunder fra sagens forløb. Det er primært skiftet til det nye system AX 2012, der har fyldt, og som de har beskæftiget sig med.

Der var indkaldt til et 2-timers tilsynsmøde med Datatilsynet, og de spurgte derfor Datatilsynet om, hvilke systemer Datatilsynet ville høre nærmere om. Inden tilsynet fokuserede han så på at sætte sig ind i de syv systemer, der var udtaget til kontrol.

Tilsynet havde en stikprøve med. Vistnok på en kunde, der havde foretaget et køb i forretningen engang, og tilsynet ville så kontrollere, om vedkommen-des data var blevet slettet i AX 2012. Men der var ingen oplysninger om kø-bet i det nye system. IT-chefen, Vidne 3, gjorde så opmærksom på, at transaktionen måtte ligge i det gamle AX 2.5-system, hvorfor der skulle sø-ges i dette i stedet for. Men Vidne 3 oplyste dertil, at der slet ikke var fo-retaget sletninger i det gamle system, og at købet derfor i sagens natur stadig måtte ligge heri. Formentlig derfor gik de blot videre og beskæftigede sig ik-ke mere med AX 2.5 under selve tilsynsbesøget.

Efterfølgende fokuserede de mest på håndteringen af uopfordrede ansøgnin-ger i rekrutteringssystemet, som der havde været en del snak om under til-synsbesøget. Men de kunne godt fornemme, at der nok var problemer med AX 2.5, da de to fra tilsynet havde haft kigget på hinanden, da Vidne 3 nævnte systemet. Vidne 1 og vidnet valgte derfor at kontakte et eksternt advokatfirma for at finde ud af hvilke regler, der egentlig gjaldt for udfasede systemer. De fik det svar af advokatfirmaet, at der ikke var særlige regler for udfasede systemer, og at der således også skulle slettes heri. Vid-net havde sammen med Vidne 1 dialogen med den eksterne advo-kat. De spurgte herunder advokaten, hvad de fremadrettet skulle gøre, og han anbefalede, at de gik i gang med sletningen i systemet med det samme. Vidnet og Vidne 1 drøftede på den baggrund situationen, og han traf så be-slutningen; formentlig efter at have drøftet det med den administrerende di-rektør.

Den primære kompleksitet var, at AX 2.5 systemmæssigt fungerede anderle-des end AX 2012. AX 2.5 styrede efter telefonnumre, og det gjorde det mere komplekst at slette data. Vidne 3 kom med nogle forslag til, hvordan de skulle gøre det, og de valgte så at erstatte telefonnumre med løbenumre for at kunne gendanne transaktionsoplysningerne i systemet, men hvorved regist-reringerne samtidig ville være anonymiserede. Vidnet sagde, at snittet skulle lægges efter bogføringslovens 5-års grænse således, at alle ældre oplysninger end 5 + løbende regnskabsår skulle slettes. Han mener ikke, at han gjorde sig andre overvejelser. AX 2012 er et stamdataarkiv, hvor de kan fjerne person-navne efter 2,5 år, men det er systemmæssigt fortsat muligt at generere en

side 16

faktura efter yderligere 2,5 år. Men i AX 2.5 kan man ikke differentiere på den måde, og de var derfor nødt til at gemme oplysningerne i deres helhed i 5 år for at kunne generere en faktura, da det er et krav efter bogføringsloven. De tre selvstændige Bolighus 1-butikker var ikke inde over beslutningen om, at der skulle slettes i AX 2.5-systemet.

Foreholdt det antal kunder, der er angivet i deres besvarelse til Datatilsynet af 12. december 2018 (bilag C-3-2-3) forklarede vidnet, at tallene lyder be-kendt.

Foreholdt deres yderligere besvarelse til Datatilsynet af 31. januar 2019 (bilag C-3-3-4) forklarede vidnet, at de lavede en søgning for at finde ud af, om der kunne være dubletter blandt registreringerne, f.eks. hvis en person havde skiftet telefonnummer og således var oprettet på ny med et nyt tele-fonnummer. Udsøgningen viste først, at der var 1,48 % dubletter, men der kunne være yderligere gengangere, bl.a. fordi søgningen kun identificerede dem, hvor alt andet end telefonnummer var nøjagtig ens indtastet i systemet.

De vidste ikke i starten, hvor alvorligt datatilsynet syntes, at sagen var. Den eksterne advokat rådgav dem til at slette, og at de skulle være proaktive på det, men de rettede ikke direkte henvendelse til datatilsynet for at spørge, om de kunne gå i gang med at slette oplysningerne i AX 2.5.

Efter politianmeldelsen begyndte han at kigge på, hvad der mere var af per-sonhenførbare oplysninger i AX 2.5. Men der var i alt ca. 440.000 linjer, der skulle tjekkes. En fejlkilde var som nævnt, hvis der ikke var tastet nøjagtigt ens i felterne, så det fremstod som om felterne dækkede over to personer, selvom der var tale om én og samme person. Der var også felter, hvor der re-elt ikke var en konkret person registreret, f.eks. ”NN” , eller telefonnumre, der ikke var rigtige numre. Han gennemgik ca. 10.000 linjer for at kontrolle-re for identificerbare oplysninger og fejl mv. Han har svært ved at sige præ-cist, hvor stort omfanget af fejlkilder var, men han mener, at der var en del registreringer, der ikke kunne henføres til specifikke personer. De forskellige eksempler herpå fremgår af bilag D-9-1-1.

Foreholdt hans udtalelse til pressen gengivet i bilag D-2-1, hvoraf fremgår bl.a., at de måtte erkende, at de ikke havde fået slettet data til tiden, kan han godt huske, at han talte med en journalist, og at han har udtalt sig som anført i artiklen, men deres generelle pressestrategi er ikke at gå i slagsmål i medier-ne. Det er ligeledes korrekt, at han har udtalt sig om, at slettefunktionaliteten ikke var indbygget i det gamle system i starten, men at den er blevet det nu.

Adspurgt af forsvarerne forklarede vidnet, at han ikke vidste, om de pågæl-dende kunder i AX 2.5 stod der lovligt eller ej. Det er han først blevet kloge-re på senere. Førhen var det dyrt at gemme oplysninger, og der fokuserede de så på, hvornår de kunne få lov at slette, hvilket bogføringsloven normere-de.

side 17

De fik ikke at vide af Datatilsynet, at de ikke måtte slette noget. De er heller ikke blevet bedt om at gemme data. Der ville kunne komme kunder med en berettiget reklamationsret, der gik længere end 5 år tilbage i tid, og som de så ikke længere ville kunne finde.

Foreholdt bilag D-9-1-1, hvori der er opstillet en række eksempler på dublet-ter mv. i systemet, forklarede vidnet, at registreringerne i systemet skulle væ-re 100 % identiske for at optræde som den samme person. Der var også er-hvervskunder, der var registreret på firmanavn, og som de så ikke mente var personfølsomme oplysninger omfattet af GDPR-forordningen. Der kunne de-suden være kunder, som de havde givet et tilbud, men uden at registrere kun-den mere specifikt, hvorfor registreringen af vedkommende ikke ville være personhenførbar, ligesom der f.eks. også kunne være registreret på taletids-kort.

De har ikke lavet markedsføringshenvendelser eller lignende på baggrund af de oplysninger, de havde liggende i AX 2.5. De har slet ikke brugt navnene og adresserne til noget, herunder har de ikke videresolgt oplysningerne, og de har heller aldrig modtaget nogen klager over at have registreret de pågæl-dende oplysninger fra nogen kunder."

Stilling 3 Vidne 3's forklaring er i retsbogen af 2. februar 2020 gengivet således:

"Vidnet forklarede, at han har været Stilling 3 siden 2001. Han var en del af GDPR-styregruppen, men han var dog ikke med i selve interviewrunden. Hans job var at operationalisere processerne og få tingene til at ske rent IT-teknisk. Han var heller ikke med til at udfinde de 57 systemer. De blev ud-fundet i forbindelse med selve interviewrunden, men han har selvsagt kend-skab til systemerne.

De havde kørt forsøg med AX 2012 siden 2013-14, og implementerede så systemet i 2015. Han havde også arbejdet med AX 2.5, men udviklingen he-raf havde stået stille siden 2014. Styregruppen var nedsat som følge af de kommende GDPR-regler, der skulle træde i kraft i maj 2018, og deres GDPR-projekt havde stået på i et års tid forud herfor. Han havde ikke taget del i arbejdet med GDPR og datasikkerhed før det tidspunkt. Vidne 1, og en der hedder Person, havde vist været inde over de tidligere GDPR-regler. Men han mener ikke, at der blev arbejdet med GDPR i f.eks. 2010. De havde ikke forud for 2017 drøftet slettereglerne ham bekendt. Projektet gik navnlig ud på at kigge på slettefrister i forhold til de kommende GDPR-regler. Han hørte ikke noget til AX 2.5 i forbindelse med selve GDPR-arbej-det, og de havde ikke arbejdet med GDPR-regler i AX 2.5, herunder fandtes der ikke sletteregler i AX 2.5. Der var simpelthen ikke et standardmodul her-til i systemet. AX 2.5 blev benyttet til f.eks. at udfinde en kunde, der kom og sagde, at vedkommende havde købt noget for 6 år siden – f.eks. en garanti-

side 18

sag. Hvis man havde købt noget i f.eks. 2012, ville man som kunde figurere i AX 2.5. Pga. bogføringsloven havde de ham bekendt bibeholdt oplysningerne i AX 2.5. Det ville have kompliceret overgangen til AX 2012 væsentligt, så-fremt de skulle have overført alle de eksisterende oplysninger i AX 2.5 til AX 2012. Han er ikke bekendt med udløbsdatoen i regnskabslovgivningen. Det ved økonomichefen nok besked om.

Hans ansvar under selve tilsynsbesøget var at fortælle om AX 2012 og for-klare om salgshistorisk i forhold til slettefristerne mv. De havde selv kodet slettefristerne i AX 2012, for de var ikke på forhånd indbygget i systemet. De fik besked fra forretningsdelen om, at der skulle indkodes slettefrister. Me-darbejderne fra Datatilsynet havde en faktura med på nogle varer, som deres chef havde købt før 2015, og Datatilsynet ønskede at lave en stikprøvekont-rol med afsæt i dette køb. Han sagde så, at de oplysninger lå i AX 2.5, der nu var et gammelt arkivsystem. De endte med konkret ikke at lave søgningen, da han oplyste Datatilsynet om, at der ikke var slettefrister i AX 2.5, og at købet derfor stadigvæk ville stå der.

Foreholdt afhøringsrapport af 25. februar 2020 (bilag H-3-1), side 3, 3. af-snit, hvoraf fremgår bl.a., at ”kunden med sikkerhed ville være at finde i sy-stemet” , bekræftede vidnet at have forklaret sådan til politiet.

Efter kontrolbesøget tog Vidne 1 og Vidne 2 en snak med nogle advokater, og dernæst fik han at vide, at han skulle gå i gang med at implementere GDPR-reglerne fra AX 2012 til AX 2.5. Men da systemerne var meget forskellige – og dataene lå på en anden måde – brugte de lang tid på at designe en løsning, der kunne anvendes også i AX 2.5. De var nødt til at finde en måde at anony-misere kundeoplysningerne på, men så de samtidig kunne bevare transakti-onsoplysningerne af hensyn til bogføringsloven. Men de kunne ikke lave dif-ferentierede frister ligesom i AX 2012. Hans chef er Vidne 2, og det var Vidne 2, der gav vidnet opgaven, men de fik også noget ekstern hjælp til at designe løsningerne. GDPR består dybest set i at slette data, og det var dét, opgaven gik ud på.

Helt lavpraktisk foregår sletningen ved, at alle kundeoplysninger anonymise-res ved udløbet af 5-års grænsen, og kundenummeret, der består af kundens telefonnummer, bliver så udskiftet til fordel for et løbenummer. På de øvrige oplysninger kommer der herefter til at stå ”slettet, jf. GDPR” .

ERP-systemet er opbygget på en sådan måde, at debitor-transaktioner bliver genspejlet over i en finanssamlekonto. De blev på det kraftigste frarådet at slette oplysningerne fuldstændig, da det ville skabe problemer og uligevægt i systemet, hvis de to konti ikke kunne genspejles.

Batch-historikken i AX 2012 gør, at man vil kunne vise, at slette-jobbet er udført. Det vil man også kunne i AX 2.5. Det er en stor journal over alle de jobs, der er kørt.

side 19

Han var med til at trække data ud, og de nåede frem til, at der var nogle dub-letter eller andre fejlkilder iblandt. Han husker ikke i dag hvor mange. Det var hans chef, der sad med regnearkene herover, og han kender heller ikke procentsatsen. De snakkede dog om, at hver eneste gang en kunde foretog et web-køb blev vedkommende oprettet som en ny kunde. Dvs. hvis en kunde havde foretaget 10 køb ville han så stå der ti gange. Han tør ikke sige, om der kan laves et dataudtræk, hvoraf fremgår, at der er tale om et er-hvervskøb.

Adspurgt af forsvarerne, forklarede vidnet, at de stadig har en AX 2.5-data-base stående den dag i dag. Sletningen blev påbegyndt i januar 2019. Slette-proceduren tager ikke højde for, at der kan være kunder, der lovligt kan stå der i længere tid, f.eks. som følge af en længere garanti. De sletter oplysnin-gerne over én kam efter 5 år, selvom nogle oplysninger måske lovligt kunne stå der længere. Kunde-id består af en række linjer á la et Excel ark med op-lysninger i."

Stilling 4 Vidne 4's forklaring er i retsbogen af 2. februar 2020 gengivet således:

"Vidnet forklarede, at han har været ansat siden 15. oktober 2017 som Stilling 4 i Datatilsynet. Han har en ph.d. i kryptologi. Vidnet be-kræftede, at han var med på tilsynsbesøget hos tiltalte i oktober 2018. Han havde forud herfor været med på tre tilsynsbesøg. Det var vidnet og Vidne 5, der deltog fra Datatilsynet.

Adspurgt om varslingsbrevet af 15. august 2018 (bilag B-1-1) forklarede vid-net, at han vistnok var med til at skrive brevet. De havde tidligere været på tre tilsyn, der omhandlede det samme. Tilsynsbesøget handlede om at under-søge, om firmaet havde fastsat slettefrister og procedurer for datahåndtering, men fokus var på slettefrister. Han ved ikke, hvorfor tiltalte var udvalgt. De planlagde tilsynsbesøg halvårligt og besluttede herunder, hvad der skulle væ-re fokus på. Formålet med det medsendte spørgeskema var at få koncentreret processen til det mest relevante og få lettet gennemførslen af tilsynsbesøget.

Tiltalte retursendte en oversigt med 57 systemer, hvoraf de udvalgte syv sy-stemer til nærmere kontrol. Han var med til selve udvælgelsen. Kriterierne var, at de gerne ville ramme lidt bredt i forhold til virksomhedens forskellige datasystemer, herunder HR-systemer, kernesystemer og kundetællingssyste-mer. Det var Datatilsynets forståelse, at AX 2012 var hovedsystemet for kundebehandling.

Selve tilsynsbesøget varede ca. 2 timer. Deres forventning hertil var, at de kunne få afklaret nogle spørgsmål, ligesom de havde nogle stikprøvekontrol-ler, de ville gennemføre. Vidne 5 havde den juridiske ekspertise, og han stod for det tekniske. Vidne 1 var med under tilsynsbesøget og

side 20

Vidne 3 var der også samt nogle flere, herunder en repræsentant for Dansk Er-hverv. Det blev de overrasket over. Men repræsentanten gik tidligt. De fik at vide, at AX 2012 var et forholdsvist nyt system, og det gik op for dem, at ældre transaktionsoplysninger ikke lå i det system. Det blev sagt sådan meget ”casual” , at de oplysninger lå i det ældre system, AX 2.5. Svaret kom ret prompte. Der var ikke nogen diskussion heraf. De ville fra tilsynets side så gerne have slået nogle ældre fakturaer op i AX 2.5. De fik at vide, at det kunne de godt, men samtidig blev det sagt, at de oplysninger helt sikkert ville ligge der, da der ikke var slettet noget i AX 2.5. Hans første tanke var så, at der måtte ligge nogle oplysninger i det gamle system, der burde være slettet. Han tænkte, at de måtte udforme nogle opfølgende spørgsmål hertil, men de ville først lige vende den med baglandet, da de blev overraskede ude på ste-det. De spurgte ikke ind til, hvor mange oplysninger, der lå i AX 2.5. Han var pga. selvinkrimineringsprincippet meget påpasselig med ikke at spørge nærmere ind til omstændighederne.

Foreholdt tiltaltes svar side 15 under pkt. 5.6 i bilag B-4-1-1, forklarede vid-net, at han godt husker tiltaltes svar. Han ved ikke, om svaret er dækkende. Det kommer vel an på, hvordan spørgsmålet tolkes. AX 2.5 begyndte de i høj grad at interessere sig for under tilsynsbesøget. De var overraskede over, at AX 2012 ikke havde været i drift i længere tid og skiftede derfor deres fo-kus over imod AX 2.5.

Han husker, at der vedrørende AX 2.5 blev svaret, at virksomheden ikke havde haft fokus på AX 2.5, og at der ikke var fastsat slettefrister heri. Vid-net og Vidne 5 tænkte umiddelbart, at det ikke lød så godt, og at det lød som en overtrædelse af reglerne. De foretog rent faktisk ikke en søgning på stedet i AX 2.5, da de fik at vide, at oplysningerne helt sikkert fortsat ville være i systemet. Han og Vidne 5 talte på vejen hjem om, at AX 2.5 var en ”smoking gun” . Deres referat af tilsynsmødet blev sendt til tiltalte inden for 14 dage. Han husker, at der kom nogle bemærkninger hertil, men ikke om virksomheden havde bemærkninger til AX 2.5.

Foreholdt rapport om tilsynsbesøget (bilag C-2-2), pkt. 5.8, forklarede vid-net, at de besluttede, at det ikke var nødvendigt at tjekke efter, om oplysnin-gen fortsat lå i AX 2.5-systemet. Han kan ikke præcist huske, om de ikke bad om det, eller om de ikke ønskede det, men vidnet mener, at det må være to sider af samme sag.

De fik efterfølgende at vide, at der var ca. 823.000 kundeid´er. De fik også at vide, at nogle af dem var dubletter, vistnok 1,46 %. De spurgte ind til, hvor-dan oplysningerne var struktureret i AX 2.5, herunder om det var på samme måde som i AX 2012. De fik at vide, at kunderne var inddelt efter telefon-numre. Han ved ikke, om der også var andres kunder i systemet. Han mener ikke, at de har fået noget at vide om, at der også var erhvervsvirksomheder, der var oprettet med kunde-id i systemet.

Den 12. december 2018 fik de at vide af Vidne 1, at der var en slet-

side 21

ning i gang. Han husker ikke, om der forud herfor havde været kommunikati-on herom. De blev oplyst om, at der blev slettet 392.000 kunde-id´er. Vidnet opfattede oplysningerne herom på den måde, at virksomheden må have vur-deret, at det var de oplysninger, som det var nødvendigt at slette. Der blev vist henvist til bogføringslovens regler for så vidt angår de kunde-id´er, der ikke var blevet slettet.

Han forstår ikke anklagerens spørgsmål om, hvorvidt det var blevet doku-menteret, efter hvilke kriterier der var blevet slettet. De havde vidnet bekendt ikke forud for politianmeldelsen vurderet herpå. Han vil gætte på, at Datatil-synets holdning må være, at når personoplysninger er anonymiseret, så er det ok i forhold til GDPR-reglerne. Han synes, at han fik tilfredsstillende svar om, hvorledes datamængden var organiseret i systemet rent tabelmæssigt. Det er ikke så afgørende, når man er oppe i den mængde af data, om der er nogle dubletter imellem. Han vil gætte på, at der i hvert fald er over 300.000 registreringer. Han har ikke set bilaget med dummy-oplysninger etc. Det gra-verende var, at der ikke var defineret sletteregler, ikke om det lige er 200.000 eller 300.000 registreringer, det drejer sig om.

Foreholdt Datatilsynets brev af 3. juni 2019 til tiltalte (bilag A-1-3), forklare-de vidnet, at brevets pkt. 3 var et mindre væsentligt punkt, bl.a. fordi fristen ikke var overskredet så meget, og sletningen var klar til at blive sat i drift.

Adspurgt af forsvarerne, forklarede vidnet, at de under tilsynsbesøget spurgte ind til en specifik kunde, men han husker ikke i dag, om det var hans chefs købsoplysninger, de tog afsæt i. Han tænker, at tiltalte også må have haft en idé om, at AX 2.5 var en ”smoking gun” . Den naturlige reaktion ville så være at slette oplysningerne. Han er ikke bekendt med, at der skulle gælde en regel om ikke at slette. Han syntes, at det de fik at vide under tilsynsmø-det om AX 2.5 var graverende. Han tænker, at de som tilsynsmyndighed har mange roller, herunder vejledning og at sikre lovens overholdelse. Han ved ikke, om der konkret skete vejledning af tiltalte, men han mener ikke, at der blevet taget fat i virksomheden og foreslået dem, hvorledes AX 2.5 skulle håndteres. Han synes ikke, at der var et pres på, at det skulle politianmeldes. Han mener heller ikke, at det handlede om, at Datatilsynet skulle manifestere sig selv som kontrolmyndighed på området. Han gætter på, at de 392.000 re-gistreringer nok skal passe baseret på, at mange handler møbler, herunder ham selv.

Foreholdt bilag B-1-1, Datatilsynets varslingsbrev af 15. august 2018 (ad ”Under tilsynsbesøget …”), oplyste vidnet, at emnet for besøget navnlig var sletning.

Foreholdt bilag B-2-1-1, side 3, vedrørende beskrivelsen af AX 2.5, forklare-de vidnet, at de ikke havde taget stilling til, om tiltalte også kunne være an-svarlig for AX 2.5.

side 22

Foreholdt bilag B-4-1-1, pkt. 5.6, forklarede vidnet, at tiltalte, efter vidnets vurdering, har svaret på det, man er blevet spurgt om.

Adspurgt af retsformanden, oplyste vidnet, at der ikke har været foretaget nogen opfølgende besøg fra Datatilsynets side."

Stilling 5 Vidne 5's forklaring er i retsbogen af 2. februar 2020 gengivet således:

"Vidnet forklarede, at hun var ansat i Datatilsynet fra maj 2016 til 10. decem-ber 2018. Hun sad i tilsynsenheden og var med på tilsynsbesøget. De lavede risikobaseret tilsyn. Der var fokus på sletning i 2018, da det er et af de helt centrale punkter i dataforordningen, at oplysninger skal slettes, når der ikke længere er behov for dem. Man skulle også slette efter de gamle regler. Det var ikke noget nyt, men det er helt centralt for databeskyttelsen. Hun stod for det mere juridiske under tilsynsbesøget, mens Vidne 4 stod for det tekniske. Hun skrev referatet af tilsynsmødet sammen med Vidne 4. Hendes egen konk-lusion var, at der var problemer med et ældre system. Det blev de opmærk-som på under tilsynsbesøget. Det var ikke udvalgt på forhånd. Det var et ældre, men centralt kundehåndteringssystem, hvori der stadig var personop-lysninger. De blev opmærksomme på, at der ikke var opsat slettefrister i det gamle system. Hun fik ikke nærmere kendskab til omfanget. De fik at vide, at der ikke var oplysninger i det nye system længere tilbage end 2015. De ville derfor gerne slå op i det gamle system, men de blev orienteret om, at det var der ingen grund til, da intet alligevel var slettet. Hun var ikke på sagen, da der blev indgivet politianmeldelse. Udkastet til referat sendes med henblik på virksomhedens bemærkninger, således der er enighed om, hvad der er sket og er blevet sagt. Hun husker ikke, om der var dialog med virksomheden mellem oktober og frem til 4. december 2018, hvor de sendte nogle yderlige-re spørgsmål til virksomheden.

Hun var med til at udforme spørgsmålene i bilag C-3-1, der er et brev fra Da-tatilsynet af 4. december 2018 til tiltalte med anmodning om yderligere op-lysninger vedrørende AX 2.5. De spurgte åbent ind til, om tiltalte var den da-taansvarlige, da det først og fremmest ligger virksomheden nærmest at svare herpå. Det blev vist nævnt på mødet, at AX 2.5 var under udfasning og alene blev brugt som opslagsværk i relation til mellemværende med kunder. Men det var efter Datatilsynets opfattelse unødig dataophobning og dermed en overtrædelse af reglerne. De fik ikke et indtryk af omfanget af registreringer i AX 2.5 under tilsynsbesøget, og derfor spurgte de efterfølgende ind hertil. Det har betydning for sagens alvor, hvor mange kunder det i alt drejer sig om. Hun husker ikke, at der har været en dialog med virksomheden om, hvad der skulle slettes. Hun ved dog ikke, om der har været uformelle samtaler med virksomheden om, hvad næste skridt er. Hun forlod Datatilsynet den 10. december 2018, og dermed inden de i Datatilsynet modtog virksomhedens svar. Sagen blev set på med meget stor alvor, da der slet ikke var foretaget sletninger i et helt system.

side 23

Adspurgt af forsvarerne, forklarede vidnet, at hun husker det sådan, at de in-den tilsynsbesøget havde fået oplyst, at tiltalte var databehandler i relation til AX 2.5.

Foreholdt bilag B-2-1-1, s. 3, kan hun godt se, at virksomheden ud fra den anførte beskrivelse kunne være mere end kun databehandler. En virksomhed kan både være databehandler og dataansvarlig.

Foreholdt bilag C-1-1, der er en mailbesvarelse fra Vidne 1 af 12. oktober 2018, forklarede vidnet, at det ikke omhandler AX 2.5. Det knytter sig til nogle udeståender med de øvrige systemer.

Foreholdt bilag C-1-2, forklarede vidnet, at AX 2.5 heller ikke omtales her. Der kørte flere spor i tiden efter tilsynsbesøget. Det var først den 4. decem-ber 2018, der blev spurgt nærmere ind til AX 2.5.

De havde en fornemmelse af under tilsynsbesøget, at der var noget galt, og at der var data, der burde have været slettet i AX 2.5. Under tilsynsbesøget vej-ledte de ikke om, hvorledes virksomheden skulle håndtere registreringerne. Hun husker heller ikke, at der efterfølgende har været en dialog herom. De instruerede heller ikke om, at data ikke måtte slettes."

Stilling 6 Vidne 6's forklaring er i retsbogen af 2. februar 2020 gengivet således:

"Vidnet forklarede, at han blev ansat den 1. maj 2019 som Stilling 6 i Data-tilsynets tilsynsenhed. Han er i dag Stilling 6 i vejledning og informations-sikkerhed. Han var ikke ansat på tidspunktet for kontrolbesøget. Så arbejdet var i fuld gang, da han tiltrådte. Det er ham, der har underskrevet politian-meldelsen, men der lå et tidligt udkast til politianmeldelse, da han tiltrådte. Den blev drøftet mellem ham og flere andre kontorchefer. De havde ikke på det tidspunkt ret stor erfaring med at indgive politianmeldelser. Der var en proces i forhold til, om sagen skulle føre til en politianmeldelse. Der blev fle-re gange vurderet på, om sagen kunne holde til en politianmeldelse. De anså sagen som alvorlig bl.a. fordi sletningsbestemmelsen i GDPR-forordningens art. 5 er en helt fundamental bestemmelse. Men dét, der nok især spillede ind, var datamængden sammenholdt med, at bestemmelsen har været gældende i en årrække.

De forsøger altid at komme med en tilbagemelding over for virksomheden. Et udvalg af deres udtalelser om ”alvorlig kritik” offentliggøres. Det har de en særskilt hjemmel til.

Politianmeldelsen blev også offentliggjort med virksomhedens navns nævnel-se. Det var fordi, at sagen var kendt i forvejen, og fordi offentliggørelse har en vis effekt. De har generelt en høj tærskel, før de skrider til politianmeldel-

side 24

se. De vil hellere vejlede end håndhæve. Der var ikke dengang en decideret vejledning om sletning.

Foreholdt bilag F-1-1-2, side 11, 3. afsnit, under pkt. 9, forklarede vidnet, at der ydes telefonisk vejledning mange timer hver dag. Helt tilbage fra det da-værende registertilsyn er der blevet givet vejledning til virksomhederne. Op til forordningens ikrafttræden var der et omfattende arbejde med at udarbejde vejledninger mv. Han har selv været ansat i et privat firma og de bøvlede me-get med sletning. Der er næppe tvivl om, at GDPR-forordningen generelt har fyldt meget hos virksomhederne. Man har forsøgt at rydde op i dataoplysnin-gerne. Der er masse af eksempler på, at IT-systemerne ikke har indbygget mulighed for sletning.

Adspurgt om beregningen af bøden, forklarede vidnet, at de syntes, det var en alvorlig sag pga. de mange oplysninger, og fordi de havde ligget der læn-ge. De kiggede så på kriterierne i forordningens art. 83. Det er ikke stærkt problematiske oplysninger, der var registreret i systemet, og derfor endte de på den lave ende i bødeintervallet. Art. 5-overtrædelser er efter forordningen en af de hårde overtrædelser. Den er maksimeret af et 4 % loft af omsætnin-gen. De har taget udgangspunkt i hele koncernens omsætning, da han mener, at det er det korrekte efter EU-reglerne.

Anklageren foreholdt vidnet bilag F-3-1 af 21. januar 2021. Vidnet forklare-de hertil, at Datatilsynet er blevet klogere med tiden, herunder efter at have skelet til andre europæiske lande. Bøden ligger sammenlignet med andre EU-lande i den lave ende, men bødepåstanden fastholdes. Det spiller umiddelbart ikke en rolle for bødefastsættelsen om virksomheden har haft over- eller un-derskud, da udgangspunktet er omsætningen. De er på europæisk plan blevet spurgt ind til af andre lande, hvorfor bødeniveauet i Danmark er så lavt.

GDPR-reglerne er grundlæggende indrettet således, at hvis der er en god grund hertil, må man beholde oplysningerne, hvis ikke, skal de slettes.

Adspurgt af forsvarerne vedrørende bilag A-1-2, der er den oprindelig politi-anmeldelse af 3. juni 2019, forklarede vidnet, at Datatilsynet anmeldte tiltalte for at have opbevaret oplysningerne i en periode, hvor virksomheden ikke havde brug for dem. Han husker sagen sådan, at de fik oplyst, at der var 385.000 kunder. Han kan ikke svare på, om de har fået oplyst, at der var 350.000 kunder. Tallet bygger udelukkende på de oplysninger, som tiltalte selv har givet til Datatilsynet. De lagde i Datatilsynet vægt på, at der var et betydeligt antal registrerede; at dataomfanget således var betydeligt. Han vil ikke gætte på, hvor mange oplysninger, der var i AX 2.5-systemet, men det er ikke så afgørende, om antallet lige er 200.000 eller 400.000 registreringer. Det afgørende er, at der er flere hundrede tusinde.

De anmeldte ikke i første omgang virksomheden for overtrædelse af art. 5, stk. 2. De vurderede, at pkt. 1 i brevet af 3. juni 2019 (bilag A-1-3) vedrø-

side 25

rende overtrædelse af forordningens art. 5, stk. 1, litra e, alene kunne bære en politianmeldelse, men vurderede så senere, at pkt. 2 i samme brev, der an-går art. 5, stk. 2, hørte sammen med forholdet. De synes overtrædelsen af art. 5, stk. 2, er en skærpende omstændighed, fordi tiltalte ikke havde fastlagt en slettepolitik. De vurderede tidligere, at art. 5, stk. 2, som enkeltstående forhold ikke kunne bære en politianmeldelse. Art. 5, stk. 2, er en af nyskabel-serne i forordningen og bygger på, at man skal kunne dokumentere, at man har opfyldt sine forpligtelser. Men der er ikke egentlige formkrav til doku-mentationen. Det er derfor, at der står ”påvise” i bestemmelsen.

Foreholdt F-3-1, side 3, sidste afsnit, hvor vidnet har brugt ordet ”formel overtrædelse” , forklarede vidnet, at det hænger sammen med, at tiltalte ikke anvendte oplysningerne aktivt. Det afgørende er, at tiltalte ikke har haft brugt oplysningerne til usaglige hensyn, men der er omvendt en risiko for at oplys-ninger kan misbruges, så længe de ikke er slettet.

Datatilsynet har selv haft et datasikkerhedsbrud. De havde noget, som de tro-ede var en makuleringsspand stående, som de anvendte til fortrolige papirer, men papirerne blev i stedet for kørt til almindelig destruktion i en periode. De syntes, at det var kunstigt at politianmelde sig selv. Men det står enhver bor-ger frit at anmelde dem til politiet.

Det pågældende regnskabsår havde tiltalte et underskud på 43 mio. kr., men han ved ikke, om det er indgået i vurderingen, men der er betydelige skøn forbundet med fastsættelsen af bødepåstanden, og det ville overraske, hvis det ikke på en eller anden måde er indgået i vurderingen. Karakteren af op-lysningerne spillede også ind."

Stilling 7 Vidne 7's forklaring er i retsbogen af 2. februar 2020 gengivet således:

"Adspurgt af forsvarerne forklarede vidnet, at han er Stilling 7 i Dansk Erhverv og er uddannet advokat. De er ti jurister i den erhvervsjuri-diske afdeling. GDPR har spillet en stor rolle i de senere år. GDPR-forord-ningen var ligesom en bombe, der slog ned i 2018. Før det tidspunkt var der ikke mange, der interesserede sig for datasikkerhed. Det var også nyt land for Dansk Erhverv, og der var ikke rigtig nogen vejledning på det tidspunkt fra Datatilsynet. Op til forordningens ikrafttræden ringede telefonerne ofte med spørgsmål til de nye regler, men også bagefter var der et hav af spørgsmål. Der var forvirring omkring forståelsen af reglerne, herunder spørgsmål om hvad persondata overhovedet er. De fleste forbandt det med personfølsomme oplysninger, så mange vidste ikke, at det også gjaldt mere almindelige oplysninger som navn og telefonnummer. Førhen beholdt mange virksomheder deres data sådan for alle tilfældes skyld, så der var mange, der havde behov for at få ryddet op heri.

Han var til stede under en del af tilsynsbesøget i 2018 hos tiltalte. Det hang

side 26

sammen med, at det også var nyt for dem. Varslingsbrevet til tiltalte kom re-lativt lang tid forinden, vistnok lige efter sommerferien, og han ville støtte til-talte, men han havde også selv en interesse i at se, hvordan sådan et tilsyns-besøg egentlig foregår. Det overraskede ham, at Datatilsynet under tilsynsbe-søget ikke ville høre om, hvordan tiltalte generelt håndterede datasikkerhed. Efter hans opfattelse var tiltalte sammenlignet med så mange andre, han hav-de talt med, ganske professionelle, og virksomheden havde efter vidnets op-fattelse en god tilgang til datasikkerhed. For vistnok alle tilstedeværende un-der tilsynsbesøget kom det gamle system umiddelbart som en overraskelse. AX 2.5 var en slags ”datakirkegård” . Det var således et lukket system med gamle oplysninger, der ikke blev brugt længere. Han syntes, at det var natur-ligt, at tiltalte havde fokuseret på de aktive systemer og havde anlagt en risi-kobaseret tilgang til, hvor der var risiko for læk etc. AX 2.5-systemet bestod af helt almindelige oplysninger, som mere eller mindre ville kunne findes i en-hver telefonbog. Han havde svært ved at se, at der var den store risiko med de oplysninger sammenlignet med mere personfølsomme data. En del af der-es medlemsvirksomheder håndterer f.eks. helbredsoplysninger etc.

Datatilsynet spurgte også ind til, om der var kontrol med de medarbejdere, der havde til opgave at slette, men det var der ingen, der havde tænkt på. På mange måder var tiltalte dog som nævnt langt fremme med datasikkerheden. Han vil mene, at tiltalte på det tidspunkt lå i den bedre ende af skalaen.

Han har hørt flere gange rundt omkring, at mange af IT-systemerne slet ikke var gearet til at kunne slette. Det var generelt en stor belastning for virksom-hederne at omsætte de komplicerede regler til virkeligheden.

Han blev nødt til at gå kort efter AX 2.5 kom op på tilsynsmødet. Det var mod slutningen af tilsynsbesøget, at det skete. Han synes, at det virker vold-somt, at der er lagt op til en bøde på 1,5 mio. kr. Da han hørte tallet i medi-erne, blev han temmelig chokeret, da der ikke var tale om følsomme data.

De prøver i Dansk Erhverv at følge med i de afgørelser, der træffes, og i bø-deniveauet. Han vil derfor mene, at bøden ligger i den høje ende i lyset af, at

derer tale om arkiverede harmløse oplysninger, der ligger på en

”datakirkegård” , og fordi oplysningerne ikke har været misbrugt.

Adspurgt af anklagerne, forklarede vidnet, at der er et uformelt forum, hvor de har en bred dialog med Datatilsynet. De har ikke selv udgivet en vejled-ning, da de hellere ville have, at vejledningen kom fra Datatilsynet. Han har hørt, at det er svært at komme igennem på Datatilsynets telefon, og at virk-somhederne får divergerende svar, alt efter hvem der er sagsbehandler. Han kender godt Datatilsynets vejledning om fortegnelser, men han har ikke lige læst i den for nylig. Han mener ikke, at der med GDPR-forordningen fra 2018 var noget nyt i forhold til sletningsreglerne. Det nye var nok, at bøder-ne stod til at stige markant. Ingen tog regelsættet særlig alvorligt før, nok fordi der ikke rigtig var nogen sanktioner knyttet hertil. Han vil kalde oplys-

side 27

ningerne harmløse, fordi der ikke var tale om personfølsomme oplysninger, men de skulle stadig have været slettet. Det er der ingen tvivl om."

Rettens begrundelse og afgørelse

Ad skyldsspørgsmålet

Efter forklaringen fra Vidne 1, der er tiltaltes tidligere chef-jurist, lægges det til grund, at der i efteråret 2017 blev nedsat en styrings-gruppe i virksomheden, der udover Vidne 1 bestod af blandt andre Stilling 2 Vidne 2 og Stilling 3 Vidne 3. Styringsgruppen havde til for-mål at sikre, at tiltaltes datasystemer overholdt reglerne i Europa-Parlamen-

tetsog Rådets Forordning (EU) 2016/679 af 27. april 2016

(databeskyttelsesforordningen), der skulle træde i kraft den 25. maj 2018, og hvorom det var almindelig kendt, at sanktionerne for overtrædelse af data-beskyttelsesreglerne ville blive skærpet betydeligt. Det bemærkes, at databes-kyttelsesforordningens ikrafttrædelsesdato udgør starttidspunktet for den i tiltalen anførte gerningsperiode. Styringsgruppen identificerede i alt 57 data-systemer i virksomheden, og der blev herunder kortlagt 15 spor med hver sin sporansvarlige, der skulle bidrage til at sikre, at såvel kundens som medarbej-dernes ”rejse” gennem virksomhedens datasystemer foregik i overensstem-melse med databeskyttelsesforordningen.

Ud af virksomhedens 57 datasystemer udtog Datatilsynet ved mail af 3. sep-tember 2018 kundedatasystemet AX 2012 til nærmere kontrol sammen med seks andre datasystemer og anmodede samtidig tiltalte om at besvare en ræk-ke spørgsmål om procedurerne for sletning af personoplysninger i de syv ud-valgte systemer, der ville være genstand for nærmere kontrol under et på for-hånd varslet tilsynsbesøg den 8. oktober 2018.

Det kan efter oplysningerne i sagen lægges til grund, at AX 2012 i 2015 hav-de afløst det tidligere kundedatasystem – det i sagen omhandlede AX 2.5 – og at AX 2012 herefter har været det system, der driver virksomhedens cen-trale forretningsprocesser, og som indeholder alle stamdata inklusive kunde-oplysninger.

Det kan efter forklaringerne i sagen lægges til grund, at Datatilsynets repræ-sentanter – vidnerne Vidne 4 og Vidne 5 – under tilsynsbesøget anmodede om, at et konkret ældre køb blev kørt igennem AX 2012-systemet med henblik på at kontrollere, om person-oplysningerne knyttet til det pågældende køb var blevet behørigt slettet. Efter forklaringen fra Stilling 3 Vidne 3, lægges det i den forbindelse til grund, at han over for tilsynet uopfordret oplyste, at det ikke ville være muligt at ud-finde oplysningerne i AX 2012, da der var tale om en købstransaktion dateret før 2015, men at oplysningerne derimod med sikkerhed fortsat ville kunne findes i det ældre AX 2.5-system, da der ikke heri var blevet implementeret nogen sletteprocedurer. Det er ubestridt, at kundeoplysningerne i AX 2.5-sy-

side 28

stemet i form af kundens telefonnummer, navn, adresse, mailadresse og købs-historik er personoplysninger i databeskyttelsesforordningens forstand, jf. herved art. 4, nr. 1, men at oplysningerne ikke er af en sådan personfølsom karakter, at de er omfattet af forordningens art. 9 og 10.

Det er endvidere ubestridt, at tiltalte efterfølgende tog initiativ til at få imple-menteret en sletteprocedure i AX 2.5-systemet, og at personoplysninger æld-re end bogføringslovens 5-års frist de facto var slettet pr. 18. januar 2019 ved, at oplysningerne var blevet erstattet og anonymiseret af et løbenummer. Det er herunder ubestridt, at anonymiseringen lever op til kravene i databe-skyttelsesforordningen, idet registreringerne i systemet ikke længere er iden-tificerbare. Det bemærkes, at nævnte dato samtidig udgør det i tiltalen anfør-te sluttidspunkt for gerningsperioden.

Retten finder, at der i lighed med AX 2012-systemet allerede pr. 25. maj 2018 burde have været implementeret slette- eller anonymiseringsprocedurer for kundeoplysningerne i AX 2.5-systemet, og at denne frist tilsvarende bur-de have været fastsat efter bogføringslovens § 10 til 5 år fra udgangen af det regnskabsår, materialet vedrører. Identificerbare kundeoplysninger i AX 2.5-systemet af ældre dato end denne frist har dermed været opbevaret i et læn-gere tidsrum end det, der var nødvendigt til de formål, hvortil de pågældende personoplysninger blev behandlet, og de burde derfor have været slettet eller anonymiseret. Der forelå derfor objektivt en overtrædelse af databe-skyttelsesforordningens art. 5, stk. 1, litra e, som anført i tiltalen frem til den 18. januar 2019. Det bemærkes hertil, at retten ikke finder, at de lovlige hen-syn for databehandling, der er angivet i databeskyttelsesforordningens art. 6, var opfyldt efter dette tidspunkt, hvorved bemærkes, at en eventuel længere-varende garantiforpligtelse på enkelte af virksomhedens produkter ikke i sig selv nødvendiggør en længere opbevaringsfrist, da det i første række er op til kunden selv at dokumentere sin ret.

For så vidt angår omfanget af personoplysninger, der blev opbevaret for læn-ge i AX 2.5-systemet, bemærkes, at tiltalte oprindeligt selv oplyste over for Datatilsynet, at der var tale om i alt 392.630 kunde-id´er. Tiltalte har imidler-tid efterfølgende gjort gældende, at der reelt forelå flere dobbeltregistreringer end først antaget samt en lang række af yderligere fejlkilder, og at antallet af registreringer således er højere end det faktiske antal identificerbare kunder i systemet. Da oplysningerne er slettet, har det ikke under sagen været muligt at få fastlagt det præcise omfang, men anklagemyndigheden har oplyst, at der skønsmæssigt er fratrukket ca. 10 procent, hvilket er baggrunden for det i til-talen anførte tal på ”ikke under 350.000” tidligere kunder.

Retten bemærker hertil, at det efter bevisførelsen ikke kan udelukkes, at an-tallet af kunder var noget lavere end oprindeligt anslået af tiltalte selv, og at denne usikkerhed må komme tiltalte til gode. Retten finder imidlertid, at denne usikkerhed er tilgodeset ved det af anklagemyndigheden foretagne for-sigtige skøn, og finder det således på baggrund af bevisførelsen ubetænkeligt

side 29

at lægge til grund, at der blev opbevaret et meget betydeligt antal – og af en størrelsesorden på ca. 350.000 – kundeoplysninger i AX 2.5-systemet, der burde have været anonymiseret eller slettet senest pr. 25. maj 2018.

Retten finder det endvidere bevist, at tiltalte var databehandler – og ikke da-taansvarlig – for de tre Bolighus 1butikker, der blev drevet på selvstændig franchisebasis, og hvis kundedata tillige blev behandlet i AX 2.5-systemet. Det bemærkes hertil, at det efter forklaringen fra Stilling 2 Vidne 2 kan lægges til grund, at alle ældre registreringer i AX 2.5-systemet efter til-synsbesøget blev slettet uden at inddrage de anførte tre butikker i beslut-ningen herom, ligesom der først ultimo januar 2019 blev indgået særskilte da-tabehandlingsaftaler med disse butikker. På den baggrund har tiltalte – i hvert fald frem til indgåelsen af databehandlingsaftalerne – været dataansvarlig i databeskyttelsesforordningens forstand, jf. herved art. 4, nr. 7, og der kan herefter ikke indrømmes tiltalte noget yderligere ”fradrag” for de kundeop-lysninger i AX 2.5-systemet, der har hidrørt fra køb i disse tre selvstændige Bolighus 1butikker.

Efter forklaringen fra Stilling 7 i Dansk Erhverv Vidne 7 lægges det til grund, at Stilling 3 Vidne 3's oplysning om AX 2.5 under tilsynsbesøget umiddelbart kom som en overraskelse for de øvrige tilstede-værende deltagere. Denne observation underbygges af, at det efter forklarin-gen fra Stilling 2 Vidne 2 og chefjurist Vidne 1 kan læg-ges til grund, at de efterfølgende rettede henvendelse til et eksternt advokat-firma med henblik på at få afklaret det databeskyttelsesretlige grundlag for udfasede datasystemer, og at de herunder blev gjort bekendt med, at eventu-elle ældre registreringer heri ligeledes skulle slettes. Efter rettens vurdering bærer dette reaktionsmønster tydeligt præg af, at de manglende sletninger i AX 2.5-systemet navnlig havde karakter af en forglemmelse som følge af en for ensidig fokusering på de aktive datasystemer under det omfattende comp-liancearbejde med virksomhedens datasystemer hen over efteråret 2017 og foråret 2018. Retten finder, at tiltalte burde have tilrettelagt compliancearbej-det på en måde, der tog højde for at implementere sletteprocedurer i samtlige relevante datasystemer, hvori der blev opbevaret personoplysninger, uanset om disse var i aktiv brug eller ej, og at denne undladelse kan tilregnes tiltalte som uagtsom. Det er derimod ikke bevist, at tiltalte forsætligt undlod at im-plementere de nødvendige sletteprocedurer i AX 2.5-systemet. Der er herun-der ikke holdepunkter for – som påstået af anklagemyndigheden – at statuere forsæt ud fra betragtninger om dolus eventualis. Tiltalte er derfor alene skyl-dig i uagtsomt at have forset sig som beskrevet i tiltalen vedrørende overtræ-delse af databeskyttelsesforordningens art. 5, stk. 1, litra e.

Særligt for så vidt angår databeskyttelsesforordningens art. 5, stk. 2, hvoref-ter ”[d]en dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 over-holdes (»ansvarlighed«)” bemærkes, at det i en straffesag efter almindelige straffeprocessuelle principper – uanset bestemmelsens ordlyd – er anklage-myndigheden, der har bevisbyrden for, at bestemmelsen er overtrådt, jf. her-ved også EU´s Charter om grundlæggende rettigheder art. 48, stk. 1.

side 30

Det ligger imidlertid fast, at tiltalte på datoen for tilsynsbesøget den 8. okto-ber 2018 ikke havde fastsat slettefrister eller udarbejdet retningslinjer for sletning i AX 2.5-systemet, ligesom retten, som anført ovenfor, har fundet tiltalte skyldig i at have overtrådt databeskyttelsesforordningens art. 5, stk. 1, litra e. Herved er tiltalte eo ipso ansvarlig for ikke at have overholdt databes-kyttelsesforordningens art. 5, stk. 2. Efter omstændighederne i sagen, og så-ledes som tiltalen er rejst – hvorefter der er tidsmæssigt sammenfald mellem begge de påtalte overtrædelser – har bestemmelsen imidlertid ingen selvstæn-dig retlig betydning og er alene et formelt citeringsmæssigt anliggende.

Ad bødefastsættelsen

Anklagemyndigheden har efter indstilling fra Datatilsynet nedlagt påstand om en bøde på 1,5 mio. kr. Efter oplysningerne fra anklagemyndigheden og Da-tatilsynet er den omsætningsmæssige ramme bag skønnet over bødens stør-relse baseret på ikke blot tiltaltes omsætning, men den samlede omsætning for hele Koncern.

Der er i sagen alene rejst tiltale mod tiltalte, der er et datterselskab, og ankla-gemyndigheden har under sagen oplyst, at der ikke tillige er rejst tiltale imod moderselskabet, da der ikke var noget grundlag herfor. Det følger af ankla-geprincippet i retsplejelovens § 883, stk. 3, at retten ikke kan domfælde for noget forhold, der ikke omfattes af tiltalen. Det vil stride mod princippet i denne bestemmelse at tillægge omstændigheder, der er knyttet til et andet retssubjekt, imod hvilket tiltale er undladt, betydning ved strafudmålingen i en skærpende retning. Det gælder navnlig i en situation som den foreliggen-de, hvor tiltalte driver selvstændig detailvirksomhed, og hvor der således ik-ke er tale om, at moderselskabet har oprettet et datterselskab med det ene formål at henføre koncernens databehandling hertil. Herefter – og under hen-syntagen til, at ordlyden i strafhjemlen i databeskyttelsesforordningens art. 83, stk. 5, henviser til ”en virksomhed” – findes der, uanset betragtning nr. 150 til forordningen, ikke grundlag for at basere bødeberegningen på koncer-nens samlede omsætning.

Det fremgår af sagen, at tiltaltes omsætning var ca. en fjerdedel af koncern-ens samlede omsætning i regnskabsåret 2016/2017. På denne baggrund, og da tiltalte som anført ovenfor alene er fundet skyldig i uagtsomt at have over-trådt databeskyttelsesforordningen, skal bødens størrelse være væsentligt la-vere end anklagemyndighedens påstand.

Retten finder endvidere ikke, at anklagemyndigheden og Datatilsynet i for-mildende retning har taget behørigt hensyn til de formildende omstændighe-der, der følger af databeskyttelsesforordningens art. 83, stk. 2, herunder at der er tale om en førstegangsovertrædelse af databeskyttelsesforordningen, at de omhandlede oplysninger var af en almindelig og ikke personfølsom karak-ter, at de befandt sig i et ældre og til dels udfaset system, der kun blev tilgået

side 31

lejlighedsvist, at ingen registrerede har lidt nogen skade, og at overtrædelsen – også efter Datatilsynets egen opfattelse – alene var af formel karakter. He-rudover skal det endvidere med betydelig vægt indgå i vurderingen, at det er godtgjort, at tiltalte havde udfoldet ganske betydelige bestræbelser på at sik-re, at virksomhedens mange datasystemer både IT-teknisk og juridisk var i overensstemmelse med databeskyttelsesforordningens ikke ukomplicerede regelsæt.

Retten har på den baggrund overvejet, hvorvidt overtrædelsen overstiger tærsklen mellem udtalelse af kritik – der i retligt regi ville have karakter af en advarsel efter retsplejelovens § 900 – eller om det efter omstændighederne er påkrævet at idømme tiltalte en bøde. I lyset af databeskyttelsesforordningens overordnede strafudmålingsprincip om, at det skal sikres, at overtrædelser af forordningen imødegås med sanktioner, der er effektive, proportionale, og som har en afskrækkende virkning, finder retten imidlertid – navnlig under hensyntagen til den betydelige datamængde, som tiltalte ikke havde fået ano-nymiseret eller slettet, og dermed det betydelige antal registrerede, overtræ-delsen angår – at tiltalte er hjemfalden til bødestraf. Der er i forarbejderne til databeskyttelsesloven (lovforslag nr. 68 af 25. oktober 2017, pkt. 2.8.3.7) lagt op til en ”væsentlig forøgelse” af bødeniveauet for overtrædelser af data-beskyttelsesforordningens bestemmelser sammenlignet med hidtidig praksis, der i nævnte forarbejder (pkt. 2.8.1.4) angives til et niveau på mellem 2.000 og 25.000 kr., afhængigt af overtrædelsens karakter.

På den baggrund, og efter en samlet vurdering af alle de ovenfor anførte for-mildende omstændigheder, finder retten, at tiltalte skal idømmes en bøde på 100.000 kr., jf. herved databeskyttelsesforordningens artikel 83, stk. 2 og stk. 5, jf. stk. 9, jf. artikel 5, stk. 1, litra e, og stk. 2, jf. artikel 4, nr. 1 og ar-tikel 6, jf. lov nr. 502 af 23. maj 2018 om supplerende bestemmelser til for-ordning om beskyttelse af behandling af personoplysninger og om fri udveks-ling af sådanne oplysninger § 41, stk. 1, nr. 4, jf. stk. 3, jf. stk. 6.

Thi kendes for ret:

Tiltalte A/S, skal betale en bøde på 100.000 kr.

Tiltalte skal betale sagens omkostninger.

Dommer

side 32