DPA глоби с 1,5 млн. датски крони фирма заради незаличени данни на 385 000 клиенти

Компанията за мебели IDesign е глобена  с  1,5 милиона датски крони за нарушаване на чл. 5, § 1, б. „д” и чл. 5, § 2 от Общия регламент за защита на данните (GDPR)

Датската агенция за защита на данните съобщи, че компанията за мебели IDesign е била проверена през 2018 г. дали  е определила крайни срокове за заличаване на данните на клиентите и дали тези крайните срокове се спазват.

Преди инспекцията IDdesign представила на институцията справка за системите, които компанията използва за обработка на лични данни. Този документ разкрил, че някои от мебелните магазини използват по-стара система, която е  заменена от по-нова в други магазини. В старата система била събрана информация за имената, адресите, телефонните номера, електронните адреси и историята на покупките на около 385 000 клиенти. По време на проверката станало ясно, че в тази система не са определени срокове за заличаване, така че личните данни в старата система никога не са били заличавани.

Според GDPR личните данни трябва да се съхраняват по такъв начин, че субектите на данни да не могат да бъдат идентифицирани за по-дълъг период от време, отколкото е необходимо за целите, за които въпросните лични данни се обработват.

IDdesign не посочва кога личните данни в старата система вече не са необходими за целите на обработката и по този начин не е определил крайни срокове, приложими за заличаване на обработените в системата лични данни.

DPA посочва в решението си, че IDdesign не е спазил изискванията на Общия регламент за защита на данните като не е заличил информацията за 385 000 клиенти и е обработвала личните им данни за по-дълъг период от необходимия.

Можете да споделите: