דנמרק: חברת הרהיטים איידי דיזיין נקנסה על אי מחיקת מידע

הרשות הדנית להגנת מידע ממליצה להטיל קנס של 230,000 אירו על חברת הרהיטים IDdesign בשל אי-מחיקת מידע על 385,000 לקוחות. הרגולטור קבע כי החברה הפרה את תקנות הגנת המידע האירופיות (GDPR) הקובעות כי מידע לא ישמר לתקופה העולה על הנדרש למטרה לשמה נאסף. בנוסף, החברה לא קבעה מדיניות שימור מידע ולא קיימה נוהל מעקב אחר יישומה בהתאם לעיקרון האחריותיות (Accountability)שב-GDPR.

במהלך שנת 2018 הרגולטור פתח בהליך פיקוח על חברת הרהיטים. בהליך התברר כי חלק מחנויות החברה השתמשו במערכת ERP שלא עודכנה. במערכת נשמרו שמות, כתובות, מספרי טלפון, כתובות דואר אלקטרוני והיסטורית רכישה של כ-385.000 לקוחות. השמירה התארכה מעבר לתקופה הנדרשת למימוש מטרת איסוף המידע. בשאלון ששלח לה הרגולטור ציינה החברה כי יש לה מדיניות מחיקת מידע במערכת ה- ERP החדשה המותקנת ביתר החנויות, אך התברר כי בפועל המדיניות לא יושמה. בנוסף, לא היה בחברה נוהל המוודא את יישום מדיניות מחיקת המידע במערכת משאבי אנוש.

הרשות להגנת המידע מצאה כי החברה חייבת בין היתר לקבוע מדיניות כתובה על תקופת שמירת המידע, ליישם את מדיניות מחיקת המידע ולהגדיר ולקיים נוהל מעקב אחר יישום המדיניות. החברה הפרה חובות אלה ולכן המליצה הרשות למשטרה להטיל עליה את הקנס. מקור: הרשות הדנית להגנת מידע