Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 40 000 euro mot en datamäklare för otillåten vidareförsäljning av personuppgifter i strid med dataskyddsförordningen (GDPR).
Bakgrund
Av beslutet framgår att företaget haft tillgång till personuppgifter som härrörde från en telekomoperatör. Uppgifterna såldes vidare inom en kedja av aktörer och användes slutligen för att skicka oönskad direktmarknadsföring till en privatperson. Efter att ha mottagit marknadsföringen lämnade den registrerade in ett klagomål till GBA. Myndighetens prövning fokuserade på företagets roll som vidareförsäljare av uppgifterna.
Företaget gjorde gällande att behandlingen grundade sig på samtycke som den registrerade påstods ha lämnat i samband med tecknande av ett telefonabonnemang samt på avtalsenliga arrangemang med den ursprungliga uppgiftslämnaren. GBA delade dock inte denna bedömning. GBA konstaterade att företaget inte kunde visa att den registrerade hade lämnat ett giltigt samtycke till att bolaget samlade in och sålde personuppgifterna vidare för marknadsföringsändamål.
Myndighetens bedömning
Vid sin bedömning slog GBA fast att samtycket inte uppfyllde kraven på att vara fritt givet, specifikt, informerat och entydigt. Det fanns inget direkt samband mellan telefonabonnemanget och Infobels vidareförsäljning av uppgifterna, den registrerade hade inte fått tydlig information om att Infobel skulle behandla uppgifterna eller i vilket syfte, och möjligheten att motsätta sig behandling var utformad som en opt-out-lösning snarare än ett aktivt val. Myndigheten betonade att passivitet eller utebliven invändning inte utgör giltigt samtycke enligt GDPR.
Sammanfattningsvis konstaterade GBA att företaget hade behandlat personuppgifter utan giltig rättslig grund och därmed brutit mot principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR i kombination med artiklarna 6 och 24 GDPR.
Praktiska konsekvenser
Beslutet illustrerar de höga krav som GDPR ställer på samtycke som rättslig grund för behandling av personuppgifter, särskilt i situationer där uppgifter delas mellan flera aktörer i en datakedja. Organisationer som förlitar sig på samtycke behöver säkerställa att samtycket är tydligt, informerat och specifikt för den aktuella behandlingen. Det är inte tillräckligt att hänvisa till generella samtycken eller avtalsarrangemang hos en tidigare aktör i kedjan. Beslutet understryker också vikten av transparens kring hur personuppgifter samlas in, delas och används, särskilt i datadrivna affärsmodeller.
Relaterad expertis
TechLaw tillhandahåller juridisk rådgivning i frågor som rör behandling av personuppgifter och efterlevnad av dataskyddsförordningen. Läs mer om vår expertis inom dataskydd och integritet.
Behöver ni stöd i att analysera hur GDPR påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: GBA.