Østjysk møbelkæde anklaget for ulovligt kundekartotek

Ved et tilsynsbesøg fandt Datatilsynet et gammelt it-system hos møbelkæden Ilva med oplysninger om 350.000 kunder.

Det var under et besøg i efteråret 2018, at Datatilsynet opdagede det gamle it-system. Foto: Christian Ringbæk - Ritzau Scanpix

I strid med reglerne har møbelkæden Ilva opbevaret oplysninger om cirka 350.000 kunder, mener anklagemyndigheden ved Østjyllands Politi.

Selskabet bag møbelkæden er derfor blevet anklaget for overtrædelse af EU's persondataforordning, også kaldet GDPR.

Læs også Overlæge deler vigtigt budskab: Vi har unge helt ned til 25 år i respirator

- Anklagemyndigheden anser dette som en både principiel og alvorlig sag. Der er tale om en prøvesag, der skal være med til at fastlægge en række principielle spørgsmål til fortolkningen af GDPR-lovgivningen, siger specialanklager fra Østjyllands Politi Jan Østergaard i en pressemeddelelse.

Anklagemyndighed: Principiel og alvorlig sag

Sagen opstod, da Datatilsynet tilbage i efteråret 2018 gennemførte et tilsynsbesøg hos Ilva A/S. Baggrunden for besøget var de nye persondataregler, som trådte i kraft i maj 2018.

Læs også Byen plejer at vågne nu - i år er det ikke til et kønt syn

Forordningen stiller en række strengere krav til virksomheders håndtering af personoplysninger end de gamle regler i persondataloven.

Ved besøget fandt Datatilsynet et gammelt it-system, som indeholdt navne og adresser, telefonnumre og e-mails på kunder. Der var samtidig oplysninger om deres købshistorik.

Datatilsynet mente ikke, at et sådant kartotek var foreneligt med de nye GDPR-regler.

- Anklagemyndigheden anser dette som en både principiel og alvorlig sag. Der er tale om en prøvesag, der skal være med til at fastlægge en række principielle spørgsmål til fortolkningen af GDPR-lovgivningen, siger specialanklager fra Østjyllands Politi Jan Østergaard.

Datatilsynet mente også, at der manglede at blive fastsat nogle frister for, hvornår data, som ikke længere var nødvendige at opbevare, skulle slettes.

It-direktør i tidligere interview: Vi har ikke fået slettet data

Ritzau har henvendt sig til Ilva for en kommentar til den rejste anklage og afventer et svar.

Tidligere har it-direktør Martin Krogh i IDdesign, som er en del af ILVA A/S, til erhvervsmediet Finans sagt, at selskabet har strammet procedurerne.

- Vi må erkende, at vi ikke har fået slettet de data til tiden. Op til ikrafttræden af de nye dataregler var vi mange systemer igennem. Det omtalte system er opdateret, så alle data er slettet i forbindelse med sagen, sagde han i juni 2019.

Østjyllands Politi oplyser, at sagen er sendt til Retten i Aarhus, men at det endnu ikke er bestemt, hvornår den bliver gennemført.