Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 80 000 euro mot Caloga för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Caloga använt personuppgifter som samlats in av tredjepartsaktörer via tävlingar och formulär online. Dessa formulär var utformade på ett sätt som manipulerade användarnas val då knappen för att godkänna behandling var tydlig och lättillgänglig medan alternativet att vägra samtycke var dolt. CNIL konstaterade att samtycket därmed inte var fritt, informerat och entydigt, vilket strider mot artiklarana 4.11 och artikel 7 GDPR. Eftersom Caloga använde uppgifterna för att skicka direktmarknadsföring och vidarebefordra data till sina partners, var de ansvariga för att säkerställa att samtycket var giltigt enligt artiklarna 6.1 (a) och 7 GDPR.
CNIL ansåg också att Caloga gjorde det onödigt svårt att återkalla samtycke. Användarna behövde kontakta företagets dataskyddsombud via e-post, vilket stred mot kravet i artikel 7.3 GDPR, där det anges att det ska vara lika enkelt att återkalla ett samtycke som att ge det.
Vidare konstaterade CNIL att Caloga lagrade personuppgifter under en orimligt lång period. Caloga betraktade uppgifter som aktiva i tolv månader efter senaste aktivitet (t.ex. öppning av e-post), och behöll dem därefter i ytterligare fyra år, vilket kunde innebära att uppgifterna i praktiken aldrig raderades. Detta stred mot principen om lagringsminimering enligt artikel 5.1 (e) GDPR, där det anges att personuppgifter inte får lagras längre än vad som är nödvändigt för de ändamål för vilka de behandlas.
Sanktionsavgiften på 80 000 euro motiverades av överträdelsernas allvar, omfattningen (många registrerade berördes), och att Caloga haft ekonomisk vinning av behandlingen, i strid med artikel 83.5 GDPR.