Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 8 000 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad tagit emot ett oönskat kommersiellt e-postmeddelande från ett företag. Meddelandet innehöll en inbjudan att skapa ett konto på den nya plattformen för biljettförsäljning online för att köpa abonnemang och biljetter. Den registrerade lämnade in en begäran om tillgång enligt artikel 15 GDPR för att få veta varifrån uppgifterna kom. Enligt den registrerade har denne inte lämnat ut sina uppgifter till företaget. Som svar på detta raderade företaget de aktuella uppgifterna, men företaget svarade inte på begäran om tillgång.
Den registrerade beslutade att lämna in ett klagomål till GBA. Under granskningsförfarandet konstaterade GBA att den registrerades uppgifter kom från en fotbollsklubbs databas som försatts i konkurs. Databasen innehades av en av företagets affärspartner. Vidare konstaterade GBA att företagets integritetspolicy saknade tydlig information om överföring av uppgifter till eller från tredje part. GBA identifierade dessutom andra överträdelser av GDPR, särskilt avseende transparensen för cookies och inställningen av cookies.
GBA konstaterade att det inte fanns någon tydlig rättslig grund för överföringen av uppgifter från företagets affärspartner till företaget. Utan tvekan var det ursprungliga syftet med databehandlingen oförenligt med överföringen till och den efterföljande databehandlingen. För GBA omfattades dock överföringen av tillgångar, inklusive databasen, i samband med konkursförfarandet av berättigat intresse enligt artikel 6.1 (f) GDPR. Den registrerades uppgifter överfördes därför på ett lagligt sätt.
Företaget hade åberopat artikel 6.1 (f) GDPR som rättslig grund för direktmarknadsföring och efterföljande kommersiella utskick. GBA konstaterade att företaget lagligen kunde skicka e-post till tidigare medlemmar i den konkursdrabbade klubben, inklusive den registrerade. Enligt GBA bestod företagets berättigade intresse i att starta om klubben, och det fanns inget alternativ till att effektivt nå ut till de tidigare medlemmarna. Dessutom var medlemmarna medvetna om klubbens konkurs, så ett övertagande av klubben låg inom deras förväntningar.
Vidare konstaterade GBA att det e-postmeddelande som den registrerade mottog inte innehöll all den information som krävs enligt artikel 14 GDPR. Det fanns inte heller någon information om rätten att göra invändningar enligt artikel 21 GDPR, eller någon länk till integritetspolicyn. Företaget bröt därmed mot artiklarna 5.1 (a) , 12.1, 14 och 21.4 GDPR.
Slutligen konstaterade GBA att företaget inte svarat på den registrerades begäran om tillgång. Det faktum att företaget raderade uppgifterna var irrelevant. Den registrerade förväntade sig att bli informerad om uppgifternas ursprung, inte nödvändigtvis om att de raderats. Den registrerades begäran behandlades därför inte och förtaget bröt mot artiklarna 12.3, 12.4 och 15.1 GDPR.