Sagen opstod som følge af et af Datatilsynet gennemført tilsyn i efteråret 2018, hvor der blandt andet var fokus på, om virksomheden havde fastsat frister for sletning af kunders personoplysninger, samt om disse frister blev efterlevet. Under tilsynet kom det frem, at der ikke var blevet fastsat slettefrister for et gammelt og delvist udfaset system, der udelukkende blev anvendt af et begrænset antal af virksomhedens butikker. I dette system lå oplysninger om ca. 350.000 kunders navn, adresse, telefonnummer, e-mail og købshistorik.
Datatilsynet valgte at politianmelde virksomheden for denne overtrædelse af GDPR. Efter indstilling fra Datatilsynet nedlagde Anklagemyndigheden påstand om en bøde på 1,5 mio. kr.
Byretten valgte i sin afgørelse at lægge vægt på, at virksomheden havde lagt store kræfter og ressourcer i at overholde GDPR, og at overtrædelsen derfor måtte anses for at være sket uagtsomt. Herudover blev det også tillagt vægt, at der udelukkende var tale om almindelige (ikke-følsomme) personoplysninger, som blev opbevaret i et gammelt og delvist udfaset it-system, der kun blev tilgået sporadisk.
Desuden havde ingen af de registrerede lidt skade som følge af overtrædelsen, der alene blev karakteriseret som værende af formel karakter.
Landsretten skal nu tage stilling til, hvorvidt overtrædelsen skal takseres til en bøde, og hvor stor denne i givet fald skal være.
Et af de spørgsmål som landsretten forventeligt vil skulle tage stilling til i den sammenhæng, er, hvorvidt en eventuel bøde skal fastsættes på baggrund af omsætningen i hele Jysk-koncernen, som Ilva A/S er en del af, eller om det udelukkende er omsætningen i Ilva A/S, der, som anført af byretten, skal lægges til grund.
Lundgrens følger naturligvis sagen tæt.
