Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 310 000 euro mot Foriou för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att CNIL genomfört en tillsyn i Forious lokaler, i synnerhet avseende den rättsliga grunden för behandlingen och de säkerhetsåtgärder som vidtagits. Foriou var verksam inom marknadsföring och hantering av lojalitetsprogram och kort. För att marknadsföra sina program genomförde Foriou telefonvärvningskampanjer med hjälp av prospektfiler som köpts från flera dataleverantörer som samlade in uppgifterna via anmälningsformulär för onlinetävlingar. De personuppgifter som samlades in var efternamn, förnamn, titel, e-postadress, födelsedatum och postadress.
Deltagarna uppmanades att godkänna användningen av deras personuppgifter för reklamändamål genom att klicka på knappar som ”Validera”. Ovanför eller under denna knapp fanns en text som angav att användaren genom att klicka på denna knapp bekräftade att de läst dataleverantörens integritetspolicy och accepterade att de insamlade uppgifterna används för att skicka dem erbjudanden från företagets partner.
CNIL konstaterade att Foriou saknade giltig rättslig grund för sin telefonbaserade marknadsföring i strid med artikel 6.1 GDPR. Bolaget kunde inte stödja sig på artikel 6.1(f) GDPR om berättigat intresse, eftersom de registrerade inte rimligen kunde förvänta sig kontakt då Foriou inte var upptaget i listan över dataleverantörens partners. Inte heller förelåg ett giltigt samtycke enligt artikel 4.11 GDPR, eftersom formulärens utformning vilseledde användarna och gjorde att samtycket varken var fritt, informerat eller otvetydigt.
CNIL slog vidare fast att avtalsenliga åtaganden från dataleverantörer inte befriar den personuppgiftsansvarige från ansvar, i enlighet med principerna om ansvarsskyldighet i artikel 5.2 GDPR. När det gäller lagringen av kunddata fann myndigheten däremot inte några brister som stred mot kraven på säkerhet i artikel 32 GDPR.
CNIL utfärdade en sanktionsavgift på 310 000 euro mot Foriou för behandlat personuppgifter utan rättslig grund enligt artikel 6.1 GDPR.