Gegevensbeschermingsautoriteit (GBA) har utfärdat en varning mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en tjänsteleverantör (personuppgiftsansvarig) publicerat en faktura på sin Facebook-sida som innehöll den registrerades för- och efternamn samt adress. Publiceringen skedde i samband med en tvist mellan den registrerade och den personuppgiftsansvarige om betalning(ar), där den personuppgiftsansvarige publicerat fakturan för att illustrera de priser som företaget tillämpade på sina tjänster.
Den registrerade lämnade bland annat in ett klagomål till det lokala poliskontoret med hänvisning till brott mot GDPR. Efter detta tog den personuppgiftsansvarige endast bort postadressen på fakturan, men raderade inte den registrerades namn. Den personuppgiftsansvarige blockerade också den registrerade från att få tillgång till den personuppgiftsansvariges Facebook-sida. Den 19 juli 2022 lämnade den registrerade in ett klagomål till GBA för att ta upp den personuppgiftsansvariges vägran att uppfylla hennes begäran om radering.
Enligt GBA måste den personuppgiftsansvarige vid upprättandet av en faktura samla in viss grundläggande information om den registrerade. Fakturan måste innehålla förnamn, efternamn, e-post, faktureringsadress, leveransadress samt innehållet i inköpen och/eller tjänsten (jfr artikel 4.1 GDPR). Den personuppgiftsansvarige måste också, i egenskap av tjänsteleverantör, uppfylla förfrågningar från registrerade enligt artiklarna 15-22 GDPR.
Efter en genomgång av ärendet konstaterade GBA att den personuppgiftsansvarige, även efter den registrerades tidigare klagomål, fortfarande publicerade den registrerades förnamn och efternamn på Facebook-sidan den 3 oktober 2022, att själva fakturan publicerades på den personuppgiftsansvariges Facebook-sida, och att den registrerades namn fanns kvar i vissa av den personuppgiftsansvariges kommentarer som ingick i detta Facebook-inlägg.
GBA ansåg att den personuppgiftsansvarige inte uppfyllt något av villkoren för laglig behandling enligt artikel 6 GDPR för behandlingen i fråga (publiceringen av fakturan med den registrerades namn). För fullständighetens skull undersökte GBA om behandlingen kunde ha grundats på ett berättigat intresse enligt artikel 6.1 (f) GDPR. Enligt GBA behövde den personuppgiftsansvarige uppfylla tre kumulativa villkor för att kunna använda denna rättsliga grund: (i) att den personuppgiftsansvariges eller den tredje parts eller de tredje parters som uppgifterna lämnas ut till har ett berättigat intresse, (ii) att behandlingen av personuppgifter är nödvändig för att uppfylla det berättigade intresset och (iii) att den registrerades grundläggande rättigheter och friheter har inte företräde (avvägningstestet).
För det första fastställde GBA att offentliggörandet av en prislista över den personuppgiftsansvariges tjänster (i form av en faktura) kunde betraktas som ett berättigat intresse av skäl som rör pristransparens och ett sätt att vinna kundernas förtroende.
För det andra ansågs behandlingen (offentliggörandet) inte vara nödvändig för att uppnå syftet. GBA uppgav att för detta nödvändighetstest måste man analysera om samma resultat skulle kunna uppnås på annat sätt, utan behandling av personuppgifter överhuvudtaget eller utan onödig omfattande behandling. I detta fall bidrog behandlingen endast till att den registrerade stämplades som en person som inte uppfyllde sina ekonomiska skyldigheter, vilket också var ett angrepp på hennes person och värdighet i händelse av en tvist. Publiceringen erbjöd enligt GBA inte något mervärde i syfte att skapa prisöppenhet. Detta syfte kunde också enligt GBA ha uppnåtts utan att offentliggöra en faktura med personuppgifter, genom att publicera en broschyr eller en folder.
För det tredje ansåg GBA att för avvägningstestet borde den registrerades rimliga förväntningar ha beaktats när det gäller behandling av personuppgifter för ett visst ändamål (jfr skäl 47 i GDPR). GBA konstaterade att den registrerade inte kunde ha förutsett att den personuppgiftsansvarige skulle ha lagt ut hennes faktura med hennes personuppgifter på Facebook. Den personuppgiftsansvarige bad inte heller om samtycke till att publicera fakturan på Facebook enligt artikel 6.1 (a) GDPR. Den personuppgiftsansvarige misslyckades därför med avvägningstestet. GBA konstaterade vidare att den personuppgiftsansvarige inte kunde åberopa berättigat intresse enligt artikel 6.1 (f) GDPR och att den personuppgiftsansvarige inte tycktes följa artikel 6 GDPR.
Mot denna bakgrund var den personuppgiftsansvarige enligt GBA skyldig att radera den registrerades personuppgifter så snart som möjligt enligt artikel 17.1 GDPR. GBA konstaterade också att den personuppgiftsansvarige inte tycktes följa artikel 24 GDPR, eftersom företaget publicerat fakturan för att illustrera de priser som tillämpades och/eller för att lösa en tvist. Detta verkade enligt GBA inte garantera att behandlingen skedde i enlighet med dataskyddsförordningen och andra dataskyddslagar.
GBA ansåg därför att den personuppgiftsansvarige inte följde artiklarna 12.3, 12.4 och 17.1 GDPR och beordrade den personuppgiftsansvarige att uppfylla den registrerades begäran om radering av uppgifter. GBA utfärdade också en varning enligt artikel 58.2 (a) GDPR mot den personuppgiftsansvarige, eftersom företaget underlåtit att följa artiklarna 6 och 24 GDPR. GBA ansåg även att den personuppgiftsansvarige var skyldigt att respektera de registrerades förfrågningar i framtiden.