Sådan forholder IDdesign sig til GDPR-bøde i retten: Sagen burde blot have udløst kritik

Annonceindlæg tema

Identity & Access Management er blevet rygraden i digital sikkerhed

Denne side indeholder artikler med forskellige perspektiver på Identity & Access Management i private og offentlige organisationer. Artiklerne behandler aktuelle IAM-emner og leveres af producenter, rådgivere og implementeringspartnere.

Mandag kl 09:00 er den længe ventede retssag mod møbelkæden IDdesign (tidligere Idemøbler og Ilva) indledt, hvor Datatilsynet mener, at en GDPR-overtrædelse skal koste en bøde på halvanden million kroner.

Bøden er IDdesign's advokater dog funderede over.

Det kom frem i sagens første retsdag, skriver Ritzau.

"Der er højst tale om en formel, teknisk lovovertrædelse, som burde have været afgjort med kritik, eventuelt en tilrettevisning af virksomheden, hvis man mener, at den har gjort noget forkert," lyder det ifølge Ritzau fra advokat Poul Gade, der er forsvarer for Ilva.

Selskabet er tiltalt for ulovligt at gave opbevaret oplysninger på op mod 350.000 kunder i et gammelt it-system.

Advokat Poul Gade siger i retten, at det slet ikke drejer sig om så mange kunder, herunder at oplysninger ikke har været personfølsomme.

Han pointerer også i retssalen, at oplysningerne ikke har været misbrugt.

Kontrolbesøg

I efteråret 2018 opdagede Datatilsynet under et kontrolbesøg - omkring et halvt år efter, at GDPR-lovgivningen trådte i kraft 25. maj 2018 - at selskabet ifølge tilsynet havde opbevaret data om navne, adresser, telefonnumre, mail-adresser og købshistorie på 385.000 tidligere kunder, som burde være slettet.

Selskabet har gennem hele sagen understreget, at der ikke er blevet lækket data.

"Vi er med på, at vi har lavet en fejl. Det anerkender vi, og det er vi kede af. Men det er vigtigt at understrege, at ingen data er blevet lækket eller misbrugt, og der har ikke været nogen ond hensigt. På den baggrund synes vi også, at bødestørrelsen er i overkanten," lød det fra selskabets administrerende direktør Rami Jensen til Computerworld i 2019.

Misæren tog ifølge Rami Jensen udgangspunkt i, at IDdesign stod midt i udfasningen af et ældre ERP-system.

Således var IDdesign ved at skifte ERP-system fra det ældre AX 2.5, der dog forsat blev brugt af enkelte IDMøbler-butikker, til det nye AX 2012-system.

Læs mere om det her: Direktør synes bødekrav på halvanden million kroner for GDPR-brud er for høj: "Der har ikke været nogen ond hensigt"

Sagen har været længe ventet, da det er den allerførste af de store GDPR-sager, der er nået til domstolene herhjemme.

Anklagemyndigheden ved Østjyllands Politi, hvor retssagen er placeret har tidligere betegnet sagen som en ‘både principiel og alvorlig sag,’ som samtidig er ‘en prøvesag, der skal være med til at fastlægge en række principielle spørgsmål til fortolkningen af GDPR-lovgivningen.’

Da dommen er en almindelig straffesag, kan den ankes videre til Østre Landsret af begge parter, ligesom der vil være nogen sandsynlighed for, at den også i sidste ende vil kunne ankes helt til Højesteret.