הרשות להגנת המידע הדנית (להלן "הרשות הדנית") השיתה לאחרונה (11.06.2019) קנס של 180,000 אירו על חברת הרהיטים הדנית – IDdesign (להלן "רשת הרהיטים") בגין אחסון בלתי חוקי של מידע אישי אודות 385,000 לקוחותיה.
הקנס ניתן לאחר שהרשות הדנית מצאה כי מספר מסוים של חנויות רשת הרהיטים משתמשות במערכת ישנה, אשר מכילה מידע אישי של כ- 385,000 לקוחות. מידע זה כלל שמות, כתובות, מספרי טלפון, כתובות דואר אלקטרוני והיסטוריית רכישה.
השימוש במערכת ישנה לאחסון מידע אישי של אנשים, ללא הגבלת זמן, מהווה הפרה של תקנות הגנת המידע האירופאיות (להלן "GDPR"), אשר מחייבות חברות באיחוד האירופי לעבד נתונים אישיים באופן כזה, שלא ניתן יהיה לזהות את נושאי המידע במשך זמן רב מהנדרש למטרות שבגינן מתבצע עיבוד המידע האישי.
הרשות הדנית גילתה כי למרות שרשת הרהיטים הכניסה מערכת חדשה בחלק מחנויותיה, לצורך עיבוד נתונים אישיים, עדיין מספר רב של חנויות נותרו ללא המערכת החדשה, והמשיכו לאחסן כמויות גדולות של נתוני לקוחות.
רשת הרהיטים הודתה כי המידע המאוחסן במערכות הישנות טרם נמחק, וכן כי לא נקבעו מועדים ספציפיים לצורך מחיקת המידע – כנדרש ב- GDPR. כמו כן, החברה לא ציינה האם נתוני הלקוחות המאוחסנים במערכות הישנות נדרשים למטרות עיבוד המידע.
ה- GDPR קובע כי מידע אישי חייב להיות מאוחסן באופן כזה שלא ניתן יהיה לזהות את נושאי המידע – במשך זמן רב מהנדרש – לצורך המטרות שעבורם מעובדים הנתונים האישיים. רשת הרהיטים לא ציינה מתי הנתונים האישיים במערכת הישנה אינם הכרחיים עוד למטרות עיבוד, ולכן לא ציינה את המועד האחרון למחיקת הנתונים האישיים המעובדים במערכת.
הקנס שהושת על רשת הרהיטים, בהתאם לתקנות ה- GDPR, אמור לשמש קריאת השכמה לחברות נוספות אשר מאחסנות כמויות גדולות של נתוני לקוחות, ובד בבד אין באמתחתן תכנית מסודרת למחיקת נתונים אלה, ובכלל זה אם נתונים אלה אינם נחוצים למטרות עיבוד או אינם מוחזקים לזמן העולה על הנדרש.
יצוין, כי ה- GDPR מחייב חברות לקבל הסכמה מפורשת טרם איסוף המידע האישי אודותיהם ואחסונו. מלבד מידע אישי כגון שמות, כתובות מגורים, כתובות דוא"ל, מספרי טלפון ומספרי זיהוי ממשלתיים – נתונים אלה יכללו גם כתובות IP, DNA ו- Cookies.
יחד עם זאת, חברות נדרשות לכבד את בקשתו של כל נושא מידע לתקן את המידע אודותיו ו/או למחוק אותו משרתיהם. הסכמה כאמור לא תהיה קבועה ונושאי המידע יוכלו לבטל את הסכמתם בכל עת שירצו. לפיכך, ככל שחברה באיחוד האירופי מעוניינת לשלוח הודעות שיווקיות באמצעות דוא"ל או טקסט, יהיה עליה לוודא כי ההודעות נשלחות רק ללקוחות אשר הסכימו לכך במפורש.
