Ilva idømt millionbøde for ulovlig opbevaring af kundedata Vestre Landsret har slået hårdt ned på møbelkæden Ilvas lange opbevaring af personfølsomme oplysninger og hævet bøden fra 100.000 til 1,5 millioner kroner. Sagen handler om 350.000 kunders navne, adresser, telefonnumre, e-mailadresser og købshistorik, som ifølge dommen var gemt uden lovligt grundlag i årevis en klar overtrædelse af GDPR-reglerne. Baggrund Allerede i 2021 fastslog Københavns Byret, at Ilva opbevarede oplysninger uden at kunne dokumentere et fortsat behov. Datatilsynet indstillede virksomheden til en bøde i millionklassen, men byretten endte med en forholdsvis beskeden sanktion på 100.000 kroner. Landsretten har nu stadfæstet, at denne forseelse fortjener et langt strengere efterspil. “En virksomheds juridiske ansvar stopper ikke ved kasselågen,” lød det fra dommeren, da bøden blev fastlagt. I praksis betyder afgørelsen, at danske forbrugere kan forvente, at deres oplysninger ikke efterlades liggende som forladte sofaer i et kælderrum. Millionbøden skal ses som et klart signal om, at persondata ikke er rekvisitter i en virksomheds gamle, støvede skuffer. Ifølge dommen har Ilva hverken slettet eller anonymiseret oplysninger, selv om formålet med behandlingen var ophørt. Kundedataene lå der, som om de ventede på at blive vækket til live uden nogensinde at have bedt om det. Konsekvenser og perspektiv Sagen skærper opmærksomheden på databeskyttelse i detailhandlen, hvor store kundedatabaser er blevet en selvfølge. Virksomheder opfordres nu til at gennemgå deres procedurer for sletning og anonymisering, så gamle oplysninger ikke samler støv i systemerne. Ellers risikerer de også at blive mødt med en lignende bøde. For Ilva er millionbøden en dyr påmindelse om, at kæden af ansvar strækker sig fra design af møbler og interiør til den usynlige verden af bits og bytes. Bøden falder som en tung puf af en lædersofa umulig at ignorere, og med klare aftryk i virksomhedens økonomi og omdømme. Datatilsynet har allerede annonceret øget tilsyn med detailbranchen, og flere lignende sager kan være på vej. For både forbrugere og virksomheder understreger Landsrettens afgørelse, at ingen data må blive stående ubrugt og ulovligt hverken i kælderen eller i skyen.
Stor bøde til møbelkæde for ulovlig opbevaring af kundedata.Vestre Landsret har idømt møbelkæden Ilva en bøde på 1,5 millioner kroner for over flere år at have opbevaret personoplysninger om 350.000 kunder i strid med GDPR. Dermed skærpes den straf, som byretten i 2021 fastsatte til 100.000 kroner.Sagen handler om, at Ilva fortsat opbevarede navne, adresser, telefonnumre, e-mailadresser og købshistorik, selv efter at der ikke længere var et lovligt grundlag for behandlingen. Datatilsynet indstillede tidligere, at selskabet burde møde en bøde i størrelsesordenen 1,5 millioner, og landsretten fulgte denne anbefaling.I byretten blev det konstateret, at Ilva havde overskredet sin adgang til at tilvejebringe og fastholde kunders data. Landsretten lagde ved afgørelsen vægt på, at den lange opbevaringsperiode forstærkede krænkelsen af kundernes ret til privatliv. Domstolen fremhævede også virksomhedens særlige pligt til at beskytte personfølsomme oplysninger og respektere den tillid, kunderne havde lagt i kæden.Ilva har ikke ønsket at udtale sig om dommen, men har ifølge retsdokumenterne anført, at fejlen skyldes manglende overblik i forbindelse med systemopdateringer. Landsrettens afgørelse markerer en tydelig præcisering af, hvor alvorligt manglende sletning af unødvendige kundeoplysninger kan straffes under GDPR.
Møbelkæden Ilva er pålagt en bøde på 1,5 millioner kroner af Vestre Landsret for ulovlig opbevaring af personoplysninger. Sagen handler om cirka 350.000 nuværende og tidligere kunder, hvis navne, adresser, telefonnumre, e-mailadresser og købshistorik ifølge dommen blev opbevaret uden hjemmel i persondataforordningen (GDPR).Byretten i 2021 idømte Ilva en bøde på 100.000 kroner. Her fastslog retten, at møbelkæden i flere år havde gemt kundedata, selv om der ikke længere var et sagligt behov for oplysningerne. Landsretten fandt i sin afgørelse, at overtrædelsen har været af en sådan karakter og omfang, at en markant højere straf var nødvendig.Datatilsynet havde anbefalet en bøde i størrelsesordenen 1,5 millioner kroner. I dommen lægger landsretten vægt på, at Ilva hverken slettede eller anonymiserede dataene, efter at de oprindelige formål med opbevaringen var opfyldt. Ifølge afgørelsen vidner handlingen om en grov tilsidesættelse af borgernes ret til privatliv og beskyttelse af personoplysninger.Ilva har i sagen anført, at dataene primært blev brugt til markedsføring og kundeservice, men erkendte også, at interne rutiner for sletning og opdatering af informationerne ikke fungerede efter hensigten. I dommen understreges det, at manglende overholdelse af GDPR-reglerne ikke kan opvejes af et kommercielt formål.Sagen sender et klart signal til erhvervslivet: Virksomheder må straks gennemgå og ajourføre deres databehandlingssystemer, hvis de vil undgå bødestraf. Datatilsynets direktør har udtalt, at afgørelsen understreger tilsynets vilje til at slå hårdt ned, når persondata opbevares uden lovligt grundlag.