デンマーク監督機関が保管期限を設定せず顧客データ削除を怠ったとして北欧家具会社に制裁金を勧告


デンマーク監督機関が保管期限を設定せず顧客データ削除を怠ったとして北欧家具会社に制裁金を勧告

6月11日、デンマークのデータ保護監督機関のDatatilsynetは、北欧家具販売店を展開するIDDesign A/Sに対して、38万5千人の顧客データの削除を怠ったとして、150万デンマーククローネ(2,450万円程度)の制裁金を提案したと報告した。

本件は、2018年の秋にDatatilsynetはIDDesignへの調査訪問にて判明したことである。IDDataでは情報システムを逐次更新中であるが、多数ある家具店のうちいくつかについては古い情報システムを使い続けていた。これらの古い情報システムでは、38万5千人の顧客に関する名前、住所、電話番号、電子メールアドレス、購買履歴の情報を収集していたが、これらの顧客データは削除されたことがないとのことである。

EU一般データ保護規則(GDPR)第5条個人データの処理に関する原則の1項(e)では「その個人データが取扱われる目的のために必要な期間だけ、データ主体の識別を許容する方式が維持されるべきである(個人情報保護委員会仮訳)」とされている。

IDDesignは、これらのデータ保持期限に関して示すことが出来ず、情報システム上での削除期限も指定していなかった。

なお、 デンマークでは、他国と異なり、データ保護監督機関が制裁金を決定することができない。最終的には裁判所にて判決が下されることになる。

EDPBでのニュースリリース
https://edpb.europa.eu/news/national-news/2019/danish-dpa-set-fine-furniture-company_es
Datatilsynetのニュースリリース
https://www.datatilsynet.dk/presse-og-nyheder/nyhedsarkiv/2019/jun/moebelfirma-indstillet-til-boede/

関連記事

  • 2020年 9月 23日
GDPR執行事例リスト