Den italienska Dataskyddsmyndigheten har bötfällt modeföretaget La Rinascente med
300 000 euro för avsaknad av konsekvensbedömning samt brister i företagets tekniska och organisatoriska skyddsåtgärder.
Bristerna uppdagades när myndigheten agerade på ett klagomål från en registrerad. Av beslutet framgår att den registrerade hade ett lojalitetskort hos modeföretaget. I juli 2021 besökte den registrerade en butik och hade en dispyt med en anställd. Senare samma dag fick den registrerade ett e-postmeddelande om att hon aktiverat ett nytt lojalitetskort.
På det nya kortet, som den registrerade aldrig begärt, hade hennes namn ändrats till “Donzella Svampita” (”Galen Tjej”). Den registrerade kontaktade kundtjänsten, som informerade henne om att lojalitetskortet, som aktiverats för flera år sedan, spärrats och ersatts av det nya. Den registrerade kände sig kränkt och lämnade in ett klagomål till myndigheten.
Vid tillsynen identifierade myndigheten flera brister i företagets GDPR-efterlevnad; såsom avsaknaden av information om överföringen av personuppgifter från webbplatsbesökare till Facebook för reklam- och profileringssyften, avsaknaden av en konsekvensbedömning avseende dataskydd som utförts före de aktuella profileringsaktiviteterna och avsaknaden av information om lagringsperioden för personuppgifter från kunder som är registrerade i lojalitetsprogrammet.
Myndigheten noterade visserligen att personuppgiftsincidenten var ett resultat av den anställdes självständiga beslut att bryta mot företagets instruktioner. Dock konstaterade myndigheten att företaget inte genomfört tillräckliga organisatoriska och tekniska åtgärder för att säkerställa en adekvat konfidentialitetsnivå vid behandlingen av personuppgifter varför de gjort sig skyldiga till överträdelser av artiklarna 5.1 (f) och 32.1 (b) och (d) GDPR.
Dessutom ansåg myndigheten att företaget borde ha utfört en konsekvensbedömning avseende dataskydd, vilket inte gjorts. Av denna anledning konstaterade myndigheten en överträdelse av artikel 35.1 GDPR.
När det gäller lagringstiden av uppgifter ansåg myndigheten att den otydliga lagringstiden på 7 år var överdriven och inkonsekvent. Myndigheten menade att lagringsperioden bör vara tydligt fastställd, särskilt när det gäller integritetskränkande behandling av personuppgifter, såsom profilering. Myndigheten konstaterade därför även en överträdelse av artikel 5.1 (a), (b), (c) och (e) samt artikel 12.1 GDPR.
Källa: TechLaw
