Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 1 750 000 euro mot försäkringsbolaget Sgam AG2R la Mondiale för brott mot artiklarna 5.1 (e), 13 och 14 i dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL genomfört en granskning av Sgam AG2R la Mondiale-gruppen 2019. Vid denna granskning upptäckte CNIL att Sgam AG2R la Mondiale sparat uppgifter om miljontals kunder under en alltför lång tid. Vidare framkom att bolaget inte uppfyllt sina informationsskyldigheter i samband med genomförda telefonkampanjer.
När det gällde lagringstiderna följde Sgam AG2R la Mondiale inte den maxima Sgam AG2R la Mondiale uppgifter om nästan 2 000 kunder som inte varit i kontakt med bolaget på mer än tre år, och i vissa fall fem år.
När det gäller kunduppgifterna följde Sgam AG2R la Mondiale inte lagringstiderna som anges i nationell lag då bolaget behöll uppgifter om mer än 2 miljoner kunder, varav några uppgifter var känsliga (hälsouppgifter) eller integritetskänsliga (bankuppgifter), efter att parternas avtalsförhållande upphört.