Møbelkæde anklaget for ulovligt kundekartotek
I strid med reglerne har møbelkæden ILVA opbevaret oplysninger om cirka 350.000 kunder, mener anklagemyndigheden ved Østjyllands Politi.
Selskabet bag møbelkæden er derfor blevet anklaget for overtrædelse af EU's persondataforordning, også kaldet GDPR.
- Der er tale om den første prøvesag, som Rigsadvokaten har udvalgt med henblik på at fastlægge en praksis på området, siger specialanklager Jan Østergaard.
Prøvesagerne skal være med til at fastlægge en række principielle spørgsmål på området. Blandt andet, hvor høj straffen skal være. Datatilsynet har til politiet indstillet, at der gives en bøde på halvanden million kroner.
Jan Østergaard fortæller til Ritzau, at anklagemyndigheden i anklageskriftet ikke har opgivet noget om bødekravets størrelse. Ifølge ham spiller en række af parametre nemlig ind i strafudmålingen.
Grundlaget for bødens størrelse er virksomhedens omsætning. Og ud fra sagens omstændigheder i øvrigt fastsættes så en procentsats, og bødens størrelse beregnes.
- Vi ønsker at stille retten frit med hensyn til udmålingen af straffen, siger Jan Østergaard.
Sagen opstod, da Datatilsynet tilbage i efteråret 2018 gennemførte et tilsynsbesøg hos ILVA A/S. Baggrunden for besøget var de nye persondataregler, som trådte i kraft i maj 2018.
Forordningen stiller en række strengere krav til virksomheders håndtering af personoplysninger end de gamle regler i persondataloven.
Ved besøget fandt Datatilsynet et gammelt it-system, som indeholdt navne og adresser, telefonnumre og e-mails på kunder. Der var samtidig oplysninger om deres købshistorik.
Datatilsynet mente ikke, at kartoteket var foreneligt med de nye GDPR-regler. De kræver nemlig, at der er fastsat nogle frister for, hvornår oplysninger, som ikke længere er nødvendige at opbevare, skal slettes.
Samtidig siger reglerne, at en virksomhed skal kunne dokumentere, at oplysningerne rent faktisk er blevet slettet.
Hos ILVA oplyser økonomidirektør Martin Krogh til Ritzau, at selskabet ikke har nogen kommentarer til sagen, så længe den er under behandling.
Martin Krogh fortalte i juni, da Datatilsynet oplyste om anmeldelsen, til erhvervsmediet Finans, at selskabet har strammet procedurerne.
- Vi må erkende, at vi ikke har fået slettet de data til tiden. Op til ikrafttræden af de nye dataregler var vi mange systemer igennem. Det omtalte system er opdateret, så alle data er slettet i forbindelse med sagen, sagde han.
Østjyllands Politi oplyser, at sagen er sendt til Retten i Aarhus, men at det endnu ikke er bestemt, hvornår den bliver gennemført.
Ud over sagen mod ILVA har Datatilsynet anmeldt en anden tilsvarende sag. I den er taxaselskabet 4x35 anmeldt for at gemme kundeoplysninger fra knap ni millioner taxature. Endnu er der ikke taget stilling til, om der skal rejses tiltale i den sag.
/ritzau/