Ett företag i Frankrike raderade inte personuppgifter i tid enligt GDPR. Därför fick företaget en sanktionsavgift på 1 750 000 euro. Företaget som arbetar med pensioner, hade behållt personuppgifter i flera år efter att kundrelationen med personerna hade upphört och hade inte gallrat personuppgifterna enligt reglerna i GDPR. Utöver detta hade företaget inte informerat personer om att de spelade in telefonsamtal.
Raderade inte personuppgifter i tid enligt GDPR
Det var flera tusen personer som omfattades av detta. Syftet från första början med att inhämta personuppgifterna var att kunna verifiera ansökan när personen blev kund. Därefter bör ett företag radera personuppgifterna när personen ifråga upphör att vara en kund, eftersom de inte är nödvändiga för det syfte de blev inhämtade för från första början. Det ska ske så snart uppgifterna inte längre är nödvändiga, vilket bör vara något år. I detta fall gick det upp till 5 år.
Företaget hade tidsperioder för när gallringen av personuppgifter ska ske. Däremot skedde det aldrig och därför fick de en sanktionsavgift. Dessutom lagrade företaget känsliga personuppgifter och personuppgifter tillhörande flera miljoner människor.
En annan överträdelse mot GDPR som företaget gjorde var att inte informera om behandling av personuppgifter i samband med telefonsamtal med företaget. I och med att personer blev inspelade utan deras kännedom om det, behöver företaget informera om rättigheterna i samband med det.
Här kan du läsa mer om ärendet på European Data Protection Boards hemsida.
