Vestre Landsret 15-dobler GDPR-bøde til ILVA A/S for ulovlig opbevaring af personoplysninger

Vestre Landsret afsagde den 2. september 2025 dom i en ankesag mod det danske møbel- og boligtilbehørsfirma ILVA A/S (»ILVA«) for overtrædelse af princippet om opbevaringsbegrænsning i Europa-Parlamentets og Rådets Forordning (EU) 2016/679 af 27. april 2016 (»GDPR«). Sagen blev behandlet under sagsnummer SS-364/2021-VLR.

Sagen vedrørte personoplysninger om ca. 350.000 tidligere kunder, som blev opbevaret i et ældre IT-system (et AX 2.5-system). Opbevaringen fandt sted uden slette- og anonymiseringsprocedurer. Sagen blev afgjort ved Retten i Aarhus i første instans, hvor ILVA blev fundet skyldig og idømt en bøde på 100.000 kr. under hensyntagen til virksomhedens nettoomsætning.

Ankesagen for Vestre Landsret angik navnlig spørgsmål om tilregnelse og bødeudmåling. Landsretten fandt det bevist, at flere personer i ILVA’s interne styringsgruppe kendte til systemets fortsatte brug på trods af, at systemet ikke var underlagt en slettepolitik. Retten fandt derfor, at overtrædelsen skulle tilregnes virksomheden som forsætlig.

Landsretten forelagde præjudicielle spørgsmål for EU-Domstolen om forståelsen af »virksomhed« i relation til bødeudmålingen efter artikel 83 i GDPR, herunder om bødeloftet skulle baseres på datterselskabets omsætning eller koncernens omsætning. Med henvisning til EU-Domstolens besvarelse af landsrettens præjudicielle spørgsmål i sag C-383/23, fik landsretten bekræftet, at begrebet »virksomhed« i GDPR artikel 83 skal forstås i overensstemmelse med konkurrenceretten, og at bødeloftet skal beregnes ud fra koncernens samlede globale omsætning.

Landsretten stadfæstede byrettens dom men forhøjede bøden til 1.500.000 kr. Ved bødefastsættelsen lagde landsretten vægt på den udviste forsætlighed under forløbet samt på koncernens samlede omsætning.

Dommen er af principiel betydning, fordi den fastlægger, at bødeloftet efter GDPR artikel 83 i danske straffesager skal beregnes med udgangspunkt i den samlede globale årlige omsætning i koncernen. Derudover fastslår dommen, at ledelsens kendskab til faktiske forhold i strid med GDPR’s princip om opbevaringsbegrænsning kan kvalificeres som en forsætlig overtrædelse, hvilket anses som en skærpende omstændighed ved bødefastsættelsen.

Læs Vestre Landsrets dom her: https://domsdatabasen.dk/#/sag/9975/11672/

Datatilsynet har udtalt kritik af kriminalforsorgen for mangelfuld håndtering af indsigtssager

Det danske Datatilsyn (»Datatilsynet«) traf den 10. juli 2025 afgørelse i en sag om Den Danske Kriminalforsorgs (»Kriminalforsorgens«) håndtering af indsattes indsigtsanmodninger. Sagen blev behandlet under journalnummer 2024-432-0030.

Datatilsynet fandt flere kritisable forhold ved et tilsyn af Kriminalforsorgens behandling af indsigtssager fra indsatte. På baggrund af tilsynet har Datatilsynet udtalt kritik af Kriminalforsorgen.

Datatilsynets udtalte kritik af Kriminalforsorgens manglende overholdelse af indsigtsretten efter GDPR artikel 15 samt af udøvelsen af den registreredes rettigheder herunder overholdelse af tidsfrister efter GDPR artikel 12. Kriminalforsorgens behandling af indsigtssagerne var mangelfuld bl.a. på grund af utilstrækkeligt kendskab til reglerne herunder anvendelse af forkert lovgrundlag, idet der ikke blev skelnet mellem aktindsigt efter lovbekendtgørelse nr. 433 af 22. april 2014 (»den danske lov om forvaltning«) og lovbekendtgørelse nr. 145 af 24. februar 2020 (»den danske lov om offentlighed«) og indsigtsretten efter GDPR.

Datatilsynet fremhævede, at fejlene i behandlingen af indsigtssagerne resulterede i, at indsatte ikke fik udleveret de oplysninger, som de havde ret til, og grundet lange svartider ikke fik oplysninger udleveret inden for de gældende tidsfrister. På den baggrund udtalte Datatilsynet kritik af Kriminalforsorgen for manglende overholdelse af indsigtsreglerne i GDPR.

Kriminalforsorgen har efterfølgende oplyst, at der er iværksat afhjælpende tiltag herunder målrettet onboarding af medarbejdere. Datatilsynet har tilkendegivet, at de i 2026 vil følge op og anmode Kriminalforsorgen om en redegørelse for de implementerede tiltag på området samt for behandlingstiderne for indsigtssager.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/jul/datatilsynet-udtaler-kritik-af-kriminalforsorgen

Datatilsynet giver Superligaen tilladelse til automatisk ansigtsgenkendelse men ikke klubberne i 1. division

Det danske Datatilsyn (»Datatilsynet«) traf den 16. juli 2025 afgørelse om tilladelse til automatisk ansigtsgenkendelse for fodboldklubberne i henholdsvis Superligaen og 1. division efter § 7, stk. 4 i lovbekendtgørelse nr. 289 af 8. marts 2024 (»den danske lov om databeskyttelse«). Sagen blev afgjort under journalnummer 2024-51-0014.

Sagen omhandlede anmodning om tilladelse til at anvende automatisk ansigtsgenkendelse for alle 12 klubber i Superligaen og alle 12 klubber i 1. division. Datatilsynet meddelte Superligaklubberne tilladelse til automatisk ansigtsgenkendelse i sæsonen 2025/2026. Klubberne i 1. division fik afslag på anmodningen.

Datatilsynet begrundede afslaget til 1. divisionsklubberne med, at der ikke forelå de samme udfordringer med uroligheder ved afviklingen af kampe i 1. division som i Superligaen. Datatilsynet lagde derudover vægt på, at antallet af karantænesager og antallet af tilskuere var markant lavere ved fodboldkampe i 1. division sammenlignet med i Superligaen. I den forbindelse fremhævede Datatilsynet, at behovet for at sikre ro og orden gennem anvendelsen af automatisk ansigtsgenkendelse var større i Superligaen end i 1. division. Således ville anvendelsen af ansigtsgenkendelsesteknologi ikke stå i rimeligt forhold til formålet. Ifølge Datatilsynet ville behandlingen ikke være nødvendig af hensyn til væsentlige samfundsinteresser, og derfor fik klubberne i 1. division meddelt afslag på anvendelse af automatisk ansigtsgenkendelse.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/jul/-fodboldklubberne-i-superligaen-faar-tilladelse-til-brug-af-ansigtsgenkendelse

Datatilsynet har udtalt alvorlig kritik af tandlægevirksomheds skjulte optagelser

Det danske Datatilsyn (»Datatilsynet«) traf 26. august 2025 afgørelse i en sag vedrørende skjulte lydoptagelser hos en tandlægevirksomhed. Sagen blev afgjort under journalnummer 2024-31-1076.

Klager var ansat hos tandlægevirksomheden, og i ansættelsesperioden foretog tandlægevirksomheden lydoptagelser af samtaler med klager. Klager var ikke informeret om at samtalerne blev optaget. Tandlægevirksomheden oplyste, at der under ansættelsesperioden var kontroverser med klager, og at optagelserne skulle anvendes som dokumentation herfor. Klager lagde efter sin fratrædelse sag an mod tandlægevirksomheden i en ansættelsesretlig retssag.

Datatilsynet vurderede, at tandlægevirksomheden ikke havde et retligt grundlag for optagelserne af klager, da hensynet til at sikre sig mod eventuelle krav i en retssag ikke kunne påberåbes af tandlægevirksomheden som legitim interesse efter GDPR artikel 6, stk. 1, litra f, idet optagelserne af klager var påbegyndt allerede tre år inden, at klager lagde sag an mod tandlægevirksomheden.

Datatilsynet vurderede yderligere, at en arbejdsgivers optagelse af en samtale med en arbejdstager har karakter af en uventet behandling, og at der på den baggrund skulle have været givet information om lydoptagelsen inden den blev igangsat, hvilket Datatilsynet udledte af princippet om gennemsigtighed i GDPR artikel 5, stk. 1, litra a.

I afgørelsen udtalte Datatilsynet alvorlig kritik af tandlægevirksomhedens behandling af personoplysninger, da de skjulte lydoptagelser af samtalerne ikke havde overholdt GDPR artikel 5, stk. 1, litra a om gennemsigtighed og artikel 6, stk. 1 om retligt grundlag.

Læs Datatilsynets afgørelse her: https://www.datatilsynet.dk/afgoerelser/afgoerelser/2025/aug/tandlaegevirksomhed-faar-alvorlig-kritik-for-skjulte-lydoptagelser

Datatilsynet indleder undersøgelse af Region Hovedstaden i forbindelse med forskningsprojekt

Det danske Datatilsyn (»Datatilsynet«) indledte den 5. september 2025 af egen drift en sag vedrørende et forskningsprojekt i Region Hovedstaden. Sagen opstod i kølvandet på medieomtale af regionens behandling af personoplysninger i forbindelse med et konkret forskningsprojekt, hvor en forsker fra Region Hovedstadens psykiatri fik tilladelse til at anvende personoplysninger fra 3,65 millioner danskeres sygehusjournaler til projektet.

Datatilsynet har derfor i en høringsskrivelse af 5. september 2025 bedt Region Hovedstaden redegøre for de databeskyttelsesretlige vurderinger, der gik forud for regionens igangsættelse af behandlingen af personoplysninger, herunder hvorvidt der blev foretaget en konsekvensanalyse.

I høringsskrivelsen fremgik også Datatilsynets generelle bemærkninger vedrørende konsekvensanalyser. Datatilsynet bemærkede, at konsekvensanalyser er væsentlige retssikkerhedsgarantier for de registrerede og at konsekvensanalyser skal foreligge inden behandlingen af personoplysninger påbegyndes. Hvis behandling af personoplysninger påbegyndes, og risikoen for de registreredes rettigheder er høj, vil behandlingen være ulovlig, hvis der ikke er foretaget en konsekvensanalyse inden.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/sep/datatilsynet-indleder-undersoegelse-af-region-hovedstaden

EDPB og EDPS har vedtaget fælles udtalelse vedrørende EU-Kommissionens forslag

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 9. juli 2025, at Det Europæiske Databeskyttelsesråd (»EDPB«) og Den Europæiske Tilsynsførende (»EDPS«) har vedtaget en fælles udtalelse til EU-Kommissionens forslag om at forenkle foranstaltninger for små og mellemstore virksomheder samt for small-cap og mid-cap selskaber.

I udtalelsen fremstår EDPB og EDPS overordnet positive overfor EU-Kommissionens (»Kommissionens«) forslag. Dog fremsætter EDPB og EDPS også en række opfordringer til Kommissionen om tilføjelser og præciseringer af forslagets præampelbetragtninger samt præciseringer af Kommissionens valg af minimumstærskel i forslaget.

Kommissionens forslag indebærer bl.a. indskrænkelser af kravet i GDPR, om at dataansvarlige og databehandlere skal føre en fortegnelse over deres behandlingsaktiviteter. I den forbindelse opfordrer EDPB og EDPS i deres udtalelsen til, at Kommissionen skal præcisere, at grænsen for ikke at skulle føre fortegnelse fastsættes til 750 medarbejdere fremfor for den oprindeligt overvejede grænse på 500 medarbejdere. EDPB og EDPS opfordrer ligeledes til at præcisere, at en fortegnelse kun vil være påkrævet for behandlingsaktiviteter, som sandsynligvis vil resultere i en høj risiko for de registreredes rettigheder. Formålet med den opfordrede præcisering er at undgå misforståelsen om, at en fortegnelse vil være påkrævet for alle behandlingsaktiviteter, hvis bare én af behandlingsaktiviteterne sandsynligvis vil resultere i høj risiko for de registreredes rettigheder.

Slutteligt opfordrer EDPB og EDPS i udtalelsen til, at Kommissionen skal indføre begreberne små og mellemstore virksomheder samt small-cap og mid-cap selskaber i GDPR.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/internationalt/internationalt-nyt/2025/jul/edpb-og-edps-vedtager-faelles-udtalelse-om-eu-kommissionens-forslag

Datatilsynet vil åbne kontor i Grønland

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 19. august 2025, at Datatilsynet vil åbne et kontor i Grønland. Beslutningen om åbningen af et kontor i Grønland kom på baggrund af et stærkt grønlandsk ønske om at styrke vejledningen om databeskyttelse samt på baggrund af den danske regerings beslutning om at justitsområdet i Grønland skal styrkes med 850 mio. kr. Kontoret i Grønland tilføres tre årsværk.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/aug/datatilsynet-vil-aabne-kontor-i-groenland

Datatilsynet udpeget som tilsynsmyndighed for udvalgte bestemmelser i AI-forordningen

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 22. august 2025, at Datatilsynet er blevet udpeget som tilsynsmyndighed for to bestemmelser i Europa-Parlamentets og Rådets forordning (EU) 2024/1689 af 13. juni 2024 (»AI-forordningen«). Det drejer sig om AI-forordningens artikel 5, stk. 1, litra d og g, hvor Datatilsynet skal føre tilsyn med reglerne om forbudte former for AI.

Artikel 5, stk. 1, litra d omhandler forbud mod AI-systemer, som anvendes til at vurdere eller forudse risikoen for, at en fysisk person begår en strafbar handling og som alene er baseret på profilering af den fysiske person eller på deres personlighedstræk og personlige egenskaber.

Artikel 5, stk. 1, litra g omhandler forbud mod AI-systemer, som anvendes til biometrisk kategorisering for at udlede race, politisk anskuelse, fagforeningsmedlemskab, religiøs eller filosofisk overbevisning, seksuelle forhold eller seksuel orientering.

Klageadgang og indberetningspligt ved alvorlige hændelser indtræder den 2. august 2026. Indtil da kan Datatilsynet dog indlede sager af egen drift.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/aug/datatilsynet-udpeget-som-tilsynsmyndighed-for-udvalgte-bestemmelser-i-ai-forordningen

Datatilsynets statistik over brud på persondatasikkerheden er blevet udvidet

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 1. september 2025, at Datatilsynet har udvidet statistikken over anmeldelser af brud på persondatasikkerheden med en mere specificeret opdeling og med et større indblik i utilsigtede hændelser.

Opdateringen indebærer bl.a., at statistikken over brud på persondatasikkerheden i den offentlige sektor nu er inddelt i statslige, regionale og kommunale myndigheder. Derudover er statistikken over utilsigtede hændelser udbygget med flere hændelsestyper.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/sep/datatilsynet-udvider-statistikken-over-brud-paa-persondatasikkerheden

Datatilsynet har publiceret råd til borgerne om beskyttelse efter sikkerhedsbrud

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 10. september 2025, at Datatilsynets hjemmeside er blevet opdateret med nye råd til, hvordan borgere kan beskytte sig efter et sikkerhedsbrud.

Datatilsynet har publiceret en række råd om hvad borgere, hvis personoplysninger er blevet ramt af et sikkerhedsbrud, kan gøre for at begrænse risikoen for misbrug, herunder risikoen for phishing, misbrug af kodeord og identitetstyveri. Rådene på Datatilsynets hjemmeside omhandler både kontakt til den relevante virksomhed eller myndighed samt råd til, hvordan borgere selv kan begrænse misbrug.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/sep/saadan-kan-du-beskytte-dig-efter-et-sikkerhedsbrud

Datatilsynet redegør for retningslinjer for politiske sms’er i forbindelse med valgkampe

Det danske Datatilsyn (»Datatilsynet«) redegjorde den 12. september 2025 for reglerne om politiske partiers brug af personoplysninger under valgkampe i lyset af det forstående kommunalvalg i Danmark den 18. november 2025. Her fremhævede Datatilsynet Europa-Parlamentets og Rådets forordning (EU) 2024/900 af 13. marts 2024 om gennemsigtighed og målretning i forbindelse med politisk reklame (»forordningen om gennemsigtighed og målretning af politisk reklame«), som skal gøre det lettere for borgere at genkende politiske reklamer og identificere afsenderen.

Partierne skal generelt behandle borgernes personoplysninger inden for rammerne af databeskyttelsesreglerne og i den forbindelse sikre, at vælgerne tydeligt informeres om, hvilke personoplysninger der behandles, hvor personoplysningerne stammer fra, og til hvilke formål personoplysningerne anvendes.

Fra den 10. oktober 2025 gælder det yderligere for målrettet politisk onlinereklame, at målretning, f.eks. baseret på alder eller bopæl, kun må ske med vælgerens samtykke efter forordningen om gennemsigtighed og målretning af politisk reklame. Der gælder desuden et forbud mod at målrette onlinereklamer på baggrund af særligt følsomme personoplysninger som politisk eller religiøs overbevisning, fagforeningsmedlemskab, seksualitet eller helbred.

For andre former for politisk reklame, såsom telefonopkald eller husstandsomdeling, gælder databeskyttelsesreglerne fortsat, hvilket betyder, at partierne skal kunne begrunde, hvorfor indsamlingen og anvendelsen af personoplysningerne er nødvendig og vurdere, om deres interesse i at nå vælgerne vejer tungere end hensynet til den enkeltes privatliv.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/sep/politiske-sms%e2%80%99er-i-valgkampen-hvad-gaelder-for-brugen-af-dine-oplysninger

Datatilsynets analyse af Østre Landsrets dom om erstatning efter GDPR artikel 82

Det danske Datatilsyn (»Datatilsynet«) offentliggjorde den 19. september 2025 en analyse af Østre Landsrets dom af 20. august 2025 vedrørende erstatning efter GDPR artikel 82.

Sagen omhandlede en borgers krav om erstatning for immateriel skade efter et databrud. Østre Landsret tilkendte borgeren ret til erstatning på 2.500 kr., efter at borgerens helbredsoplysninger af kommunen ved en fejl blev delt med en tredjepart. Sagen er blevet anket til Højesteret.

Østre Landsret dom er den første dom i Danmark, hvor der er tilkendt erstatning for immateriel skade efter GDPR. Den danske dom skal ses i lyset af EU-domstolens afgørelse i sag C-300/21 fra 4. maj 2023, hvor EU-domstolen fastslog, at erstatning efter GDPR ikke begrænser sig til materiel skade men også omfatter immateriel skade. Herudover fastslog EU-domstolen, at erstatning efter GDPR artikel 82 ikke må være betinget af, at den skade, som den registrerede har lidt, skal have en vis alvorsgrad. Der er således intet minimumskrav for skadens alvorlighed.

Datatilsynet har vurderet, at landsretssagen udgør en væsentlig praksisændring, idet erstatning uden økonomisk tab ikke hidtil har været tilkendt efter GDPR af en dansk domstol. I hidtidige sager vedrørende erstatning uden økonomisk tab efter GDPR artikel 82 er erstatning blevet afvist med henvisning til krav om kvalificeret skadevirkning, således at skaderne fra databruddet ikke har været af sådan karakter, at der kunne kræves erstatning.

Datatilsynet har vurderet, at afgørelsen, såfremt den stadfæstes af Højesteret, kan medføre omfattende konsekvenser for virksomheder og myndigheder, eksempelvis hvis der anlægges gruppesøgsmål af borgere ramt af samme databrud.

Læs Datatilsynets pressemeddelelse her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/sep/ny-dansk-dom-kan-aendre-praksis-for-erstatning-efter-gdpr

Datatilsynet advarer om risici ved brug af AI-værktøjer til udformning af henvendelser og klager

Det danske Datatilsyn (»Datatilsynet«) udgav den 22. september 2025 en række anbefalinger om brugen af AI-værktøjer i lyset af at have konstateret en markant stigning i antallet af klager og henvendelser, som helt eller delvist er udarbejdet ved hjælp af kunstig intelligens.

Datatilsynet tilråder, at klager som udgangspunkt udformes med egne ord, således at det tydeligt fremgår, hvad der klages over. Datatilsynet bemærker endvidere, at klager udarbejdet med hjælp fra AI-værktøjer ofte risikerer at forvride eller forenkle klagens egentlige indhold, hvilket betyder, at anvendelsen af sådanne værktøjer ikke nødvendigvis er en fordel.

Ønsker man trods denne anbefaling at benytte AI-værktøj til at udarbejde en henvendelse, fremhæver Datatilsynet vigtigheden af at undgå, at indtaste fortrolige eller følsomme personoplysninger eller andre oplysninger, som man ikke ønsker videregivet til udbyderen af værktøjet eller tredjemand. Selvom mange udbydere tilbyder en mulighed for at fravælge indsamling af oplysninger til videre træning af systemet, bør brugeren være opmærksom på, at oplysninger alligevel kan blive behandlet og videregivet. Dette skyldes bl.a., at AI-værktøjer ofte er konstrueret på en måde, hvor selv udbyderen eller udvikleren ikke har fuldstændig indsigt i, hvordan systemet internt behandler data.

Læs Datatilsynets anbefalinger her: https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2025/sep/flere-klager-til-datatilsynet-udarbejdes-med-ai-vaerktoejer