Den 2. september 2025 blev møbelvirksomheden, ILVA A/S, som er en del af Jysk-koncernen, i Vestre Landsret idømt en bøde på 1,5 mio. kr. for at have opbevaret personoplysninger om kunder i strid med databeskyttelsesforordningens regler.
ILVA A/S opbevarede kundernes personoplysninger for længe
Under et tilsynsbesøg i efteråret 2018 konstaterede Datatilsynet, at ILVA A/S hverken havde fastsat slettefrister i et ældre it-system eller i øvrigt indført procedurer for sletning, og ILVA A/S opbevarede således oplysninger om ca. 350.000 kunders navn, telefonnummer, adresse, e-mail og købshistorik.
Det er et grundlæggende princip i databeskyttelsesforordningen, at personoplysninger skal slettes, når det ikke længere er nødvendigt at opbevare dem. På baggrund heraf indgav Datatilsynet politianmeldelse for overtrædelse af reglerne i databeskyttelsesforordningen.
Byrettens bøde og præjudicielle spørgsmål forelagt EU-Domstolen
Retten i Aarhus fandt, at Ilva A/S havde overtrådt reglerne om opbevaringsbegrænsning, og idømte ILVA A/S en bøde på kr. 100.000. Bøden fastsatte Retten i Aarhus med udgangspunkt i ILVA A/S’ omsætning, og ikke i hele koncernens, som ellers foreslået af Datatilsynet.
Sagen blev anket til Venstre Landsret, i hvilken forbindelse to præjudicielle spørgsmål blev forelagt EU-Domstolen. Spørgsmålene omhandlede fortolkning af virksomhedsbegrebet i databeskyttelsesforordningen, herunder om en bøde skulle fastsættes på baggrund af en virksomheds individuelle omsætning eller en eventuel koncerns samlede omsætning.
Den 13. februar 2025 fastslog EU-Domstolen, at virksomhedsbegrebet i databeskyttelsesforordningen skulle forstås på den måde, at når en dataansvarlig virksomhed eller en enhed heraf pålægges en bøde for overtrædelse af databeskyttelsesforordningen, skal bøden beregnes med udgangspunkt i en procentdel af virksomhedens (koncernens) samlede globale omsætning i det foregående regnskabsår.
I overensstemmelse hermed afsagde Vestre Landsret dom i sagen, og hævede således bøden fra kr. 100.000 til 1,5 mio. kr.
Littler bemærker
Afgørelsen understreger vigtigheden af, at virksomheder overholder databeskyttelsesreglerne, herunder reglen om opbevaringsbegrænsning, og fastlægger derudover, hvordan bøder – i tilfælde af brud på databeskyttelsesreglerne – skal fastsættes.
Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice
her →
Har du spørgsmål til dette indlæg, er du mere end velkommen til at kontakte os.
Denne artikel er udgivet efter aftale med Littler Denmark. Den er oprindeligt udgivet her.
Skal din artikel også udgives via Jurainfo og udsendes direkte, via e-mail, til personer og virksomheder som specifikt efterspørger viden og kompetencer inden for dit område? Ansøg om en profil her.
