Retten i Aarhus
Retten i Aarhus

Foto : RhinoMind / Wikimedia Commons

»Det er meget at få en bøde på 100.000 kroner for en forglemmelse«

Flere mener, at møbelkæden Ilva er sluppet billigt med en bøde på 100.000 kroner for sin GDPR-overtrædelse. Men overtrædelsen var uagtsom - og ifølge flere advokater er det en høj bøde.
Fra 1,5 millioner kroner til 100.000 kroner: Retten i Aarhus har afsagt dom i Danmarks første retssag om overtrædelse af GDPR, og det betyder, at møbelkæden Ilva A/S står til at skulle betale 100.000 kroner for at have gemt omkring 350.000 kunders personoplysninger i et gammelt it-system uden lovligt grundlag.
Vil du have fuld adgang til ComplianceTech?

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her
SAGEN KORT

Møbelkæden Ilva A/S blev fredag 12. februar 2021 idømt en bøde på 100.000 kroner for at have overtrådt GDPR’s princip om opbevaringsbegrænsning.

Virksomheden havde gemt kunders persondata for længe i et ældre og til dels udfaset it-system, som ikke blev brugt til daglig. Personoplysningerne talte navne, adresser, telefonnumre, e-mails og købshistorik for cirka 350.000 kunder

Oplysningerne skulle have været slettet efter bogføringslovens 5 års frist, men det var de ikke blevet. Derfor vurderede retten, at Ilva havde brudt databeskyttelsesforordningens artikel 5, stk.1, litra e: 

»Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.«

Datatilsynet havde oprindeligt indstillet til en bøde på 1,5 millioner kroner, hvilket anklagemyndigheden var enig i. Datatilsynet og anklagemyndigheden mente blandt andet, at Ilva med vilje havde undladt at slette personoplysningerne, og at bødens størrelse skulle fastsættes ud fra hele Jysk-koncernen omsætning og ikke kun Ilvas omsætning.

De to forhold var Retten i Aarhus uenig i. Anklagemyndigheden overvejer nu at anke dommen til landsretten.

Kilde: Specialanklager Jan Østergaard, Danmarks Domstole, Kammeradvokaten, Kromann Reumert, Databeskyttelsesforordningen