Datatilsynet har beslutat att framföra kritik mot att Telmore A/S utlämnande av en klagandes e-postadress till Meta Ireland i marknadsföringssyfte inte har skett i enlighet med dataskyddsförordningen (GDPR).
Av beslutet framgår att Datatilsynet har tagit emot ett klagomål från en medborgare som klagar över att Telmore lämnat ut hans personuppgifter till Meta Ireland. Klagomålet innehöll fyra huvudpunkter:
- Telmores överföring av den klagandes personuppgifter till Meta Ireland
- Telmores överföring av den klagandes personuppgifter till Förenta staterna
- Telmores bristfälliga uppfyllande av sin upplysningsplikt
- Telmores bristfälliga svar på den klagandes begäran om tillgång
Enligt Telmore gjordes utlämnandet i syfte att undanta den klagande från bolagets riktade marknadsföring på Facebook. Detta gjordes genom att använda Facebooks verktyg Custom Audience, som gör det möjligt för företag att skräddarsy sina annonser till specifika användargrupper. Verktyget fungerar genom att företaget vidarebefordrar information, såsom e-postadresser, om till exempel kunder, vilket jämförs med Meta Irelands egen information om Facebook-användare. I fallet hade Telmore bedömt att Meta Ireland agerade som personuppgiftsbiträde åt företaget.
Efter en genomgång av ärendet, och efter att ärendet har överlämnats till Datarådet, konstaterar Datatilsynet att Telmores behandling av den klagandes personuppgifter inte kunde grundas på en intresseavvägning. Datatilsynet finner därmed anledning att framföra kritik mot att Telmores utlämnande av klagandens e-postadress till Meta Ireland i marknadsföringssyfte inte har skett i enlighet med artikel 6.1 GDPR.
Vidare har Telmores bedömning av rollfördelningen mellan bolaget och Meta Ireland åsidosatts av tillsynsmyndigheten, som bedömt att det förelegat ett gemensamt personuppgiftsansvar i ärendet. På grundval av detta konstaterar Datatilsynet att Telmore inte fastställt sitt ansvar för efterlevnaden av skyldigheterna enligt artikel 26.1 GDPR som gemensamt personuppgiftsansvarig med Meta Ireland. Datatilsynet valde dock att inte kritisera detta, eftersom det bristande fastställandet av ansvaret berodde på att Datatilsynets undantagsvis bortsåg från Telmores bedömning av rollfördelningen.
Datatilsynet drog också slutsatsen att det inte var lämpligt att fortsätta utredningen av de andra klagomålen i ärendet, eftersom det är en avgörande förutsättning för efterlevnad av dataskyddsreglerna att man korrekt identifierar sin egen roll i behandlingen av personuppgifter, inklusive rollfördelningen med eventuella affärspartners. Eftersom Datatilsynet bortsåg från Telmores bedömning av denna grundförutsättning skulle en fortsatt utredning inte ge den klagande korrekt information om hur uppgifterna behandlats. Datatilsynet betonade också att Telmore inte längre delade den klagandes e-postadress med Meta Ireland.
Datatilsynet betonade för Telmore att om företaget fortfarande förväntar sig att använda Meta Irelands Custom Audience-verktyg måste företaget se till att det finns ett så kallat gemensamt avtal som fastställer parternas respektive ansvar för efterlevnaden av skyldigheterna i GDPR.