GDPR Case 012. Danish DPA set to fine furniture company

日期：11 June 2019

國家：丹麥

關鍵字：資訊系統；儲存限制；不當處理

GDPR：§5(1)(e) (storage limitation)、§17(1)(a)（personal data are no longer necessary）

裁決：行政罰鍰（DKK 1,5 million）、命令（刪除個人資料）

摘要：

(1) 因為 IDdesign（某家具設計公司）未依法刪除 385,000 位消費者個人資料，監管機關因而建議對其處以行政罰鍰。

備註：大多數歐洲國家的監理機關，其本身即可對控管者處以行政罰鍰，但是愛沙尼亞和丹麥則有不同的設計。在這兩個國家，監管機關在調查和評估案件後，應將案件移交警方，由警方審查是否足夠證據可對控管者提出指控，最終，仍由法院決定是否課處以及課處若干之罰鍰。

(2) IDdesign 的門市中，有部分已導入新的資訊系統，用以取代舊有系統，但仍有部分門市仍在使用舊的系統。在舊的資訊系統中，儲存消費者過去所提供的姓名、地址、電話號碼、電郵信箱以及購買紀錄，總數包括 385,000 位消費者。在調查過程中，IDdesign 承認從未刪除前述個人資料。

(3) 由於 GDPR 規定，個人資料的儲存，必須不超過處理個人資料所需的期間，考量 IDdesign 無法說明舊系統儲存前述個人資料的目的，該公司內部也沒有針對資料保存期限設有規定，因此，監管機關認定這些過時的個人消費資訊已無任何儲存必要，因而要求該公司予以刪除，並建議課以行政罰鍰。