Retten i Aarhus
Retten i Aarhus

Foto : RhinoMind / Wikimedia Commons

»Det er meget at få en bøde på 100.000 kroner for en forglemmelse«

Flere mener, at møbelkæden Ilva er sluppet billigt med en bøde på 100.000 kroner for sin GDPR-overtrædelse. Men overtrædelsen var uagtsom - og ifølge flere advokater er det en høj bøde.
Louise Holst Andersen, @louholand

https://pro.ing.dk/10234

23. feb 2021 04:55
Fra 1,5 millioner kroner til 100.000 kroner: Retten i Aarhus har afsagt dom i Danmarks første retssag om overtrædelse af GDPR, og det betyder, at møbelkæden Ilva A/S står til at skulle betale 100.000 kroner for at have gemt omkring 350.000 kunders personoplysninger i et gammelt it-system uden lovligt grundlag.
Vil du have fuld adgang til ComplianceTech?

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Har du allerede et abonnement? Log ind
Er dit prøveabonnement udløbet? Køb
Få prøveabonnement

Mere om sletning

Prøv ComplianceTech

ComplianceTech er et medie til compliance-ansvarlige i danske virksomheder og offentlige myndigheder. Vi udgiver løsningsorienterede artikler om data compliance og konkrete værktøjer til, hvordan din organisation overholder reglerne og er compliant på den mest effektive måde - uanset om det handler om GDPR, cookies, NIS-loven eller ISO-standarder.

Klik her
SAGEN KORT

Møbelkæden Ilva A/S blev fredag 12. februar 2021 idømt en bøde på 100.000 kroner for at have overtrådt GDPR’s princip om opbevaringsbegrænsning.

Virksomheden havde gemt kunders persondata for længe i et ældre og til dels udfaset it-system, som ikke blev brugt til daglig. Personoplysningerne talte navne, adresser, telefonnumre, e-mails og købshistorik for cirka 350.000 kunder

Oplysningerne skulle have været slettet efter bogføringslovens 5 års frist, men det var de ikke blevet. Derfor vurderede retten, at Ilva havde brudt databeskyttelsesforordningens artikel 5, stk.1, litra e: 

»Personoplysninger skal opbevares på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt til de formål, hvortil de pågældende personoplysninger behandles.«

Datatilsynet havde oprindeligt indstillet til en bøde på 1,5 millioner kroner, hvilket anklagemyndigheden var enig i. Datatilsynet og anklagemyndigheden mente blandt andet, at Ilva med vilje havde undladt at slette personoplysningerne, og at bødens størrelse skulle fastsættes ud fra hele Jysk-koncernen omsætning og ikke kun Ilvas omsætning.

De to forhold var Retten i Aarhus uenig i. Anklagemyndigheden overvejer nu at anke dommen til landsretten.

Kilde: Specialanklager Jan Østergaard, Danmarks Domstole, Kammeradvokaten, Kromann Reumert, Databeskyttelsesforordningen

Jobfinder
Compliance engineer
Praktikant med statistisk forståelse
Information Security Officer
Se flere Opret job
Vær den første til at kommentere