Den franska dataskyddsmyndigheten Commission Nationale de l’Informatique et des Libertés (“CNIL”) har bötfällt försäkringsbolaget SGAM AG2R LA MONDIALE med 1 750 000 euro för brott mot artiklarna 5.1 (e), 13 och 14 i dataskyddsförordningen (”GDPR”).
Av beslutet framgår att CNIL genomfört en granskning av AG2R LA MONDIALE-gruppen 2019. Vid denna granskning upptäckte CNIL att SGAM AG2R LA MONDIALE sparat uppgifter om miljontals kunder under en alltför lång tid. Vidare framkom att bolaget inte uppfyllt sina informationsskyldigheter i samband med genomförda telefonkampanjer.
När det gällde lagringstiderna följde SGAM AG2R LA MONDIALE inte den maximala lagringstid på tre år som definierats i koncernens register över behandlingar. Som ett resultat sparade SGAM AG2R LA MONDIALE uppgifter om nästan 2 000 kunder som inte varit i kontakt med bolaget på mer än tre år, och i vissa fall fem år.
När det gäller kunduppgifterna följde SGAM AG2R LA MONDIALE inte lagringstiderna som anges i nationell lag då bolaget behöll uppgifter om mer än 2 miljoner kunder, varav några uppgifter var känsliga (hälsouppgifter) eller integritetskänsliga (bankuppgifter), efter att parternas avtalsförhållande upphört.