Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 240 000 euro Benetton Group S.r.l. och förelägganden om rättelse för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att förfarandet inletts på grundval av utredningar om Benettons behandling av personuppgifter för marknadsförings- och profileringssyften. Benetton lagrade en stor mängd kunddata på obestämd tid. Bolaget gjorde även den administrativa databasen över anställda i butiker från 7 länder åtkomlig med ett enda lösenord.
Garante konstaterade att Benetton olagligen behandlat personuppgifter för ett betydande antal kunder och tidigare kunder, i avsaknad av lämpliga tekniska och organisatoriska åtgärder för att skydda personuppgifter, och lagrat sådana uppgifter utan att ha fastställt tidsgränser för lagringen. Garante konstaterade vidare att Benettons behandling av personuppgifter inte överensstämde med principerna om ändamålsbegränsning och lagringsminimering.
Sammanfattningsvis har Garante utfärdat en sanktionsavgift på 240 000 euro mot Benetton, som gjort sig skyldig till överträdelser av artiklarna 5.1 (c),(e), 5.2, 13, 16, 24, 32, 33 och 34 GDPR. Sanktionsavgifterna beslutades baserat på det stora antalet berörda personer och överträdelsernas långa varaktighet, att radera eller anonymisera uppgifter om tidigare kunder från mer än tio år tillbaka.