Frankrike: Lusha Systems behandling av personuppgifter omfattas inte av GDPR:s territoriella tillämpningsområde

Commission Nationale de l’Informatique et des Libertés (CNIL) konstaterar att Lusha Systems INC:s behandling av personuppgifter inte omfattas av dataskyddsförordningen (GDPR).

Av beslutet framgår att den personuppgiftsansvarige är ett amerikanskt företag som inte har någon etablering i Europeiska ekonomiska samarbetsområdet (EES). Den personuppgiftsansvarige erbjöd ett webbläsartillägg för datorwebbläsare som gjorde det möjligt för dess användare att få tillgång till yrkesmässiga kontaktuppgifter (telefonnummer och e-postadress) för registrerade vars profiler besöktes på LinkedIn eller Salesforce.com. Namnen på de registrerade som samlades in med webbläsartillägget jämfördes också av den personuppgiftsansvarige med namn som lagrades i den personuppgiftsansvariges databas.

Den personuppgiftsansvarige erbjöd både betal- och gratisversioner av webbläsartillägget och uppgav att syftet med webbläsartillägget var att bekämpa identitetsbedrägerier genom att låta användarna av webbläsartillägget säkerställa att målpersonen vars profil de besöker “är den person som de påstår sig vara eller arbetar för det företag som de påstår sig tillhöra”.

Den personuppgiftsansvarige erbjöd också tre smartphone-applikationer för “kontakthantering”. Dessa applikationer kunde laddas ner om den registrerade befann sig på franskt territorium. Applikationen samlade in kontaktuppgifter om kontakter som lagrats på den registrerades smartphone. När den registrerade hade skapat ett konto filtrerade den personuppgiftsansvarige uppgifterna för att endast behålla “professionella” kontaktuppgifter (telefonnummer och/eller e-postadresser) om de registrerade, med undantag för kontaktuppgifter för personligt bruk. För att utföra denna filtrering använde den personuppgiftsansvarige offentlig information för att förstå strukturen på ett företags e-postadress och/eller telefonnummer (till exempel prenom.nom@societe.com och för ett franskt företag med säte i Paris: + 33 1) och å andra sidan en vit lista över professionella kontaktnamn som upprättats av företaget CRUNCHBASE och som vid tidpunkten för kontrollerna innehöll kontaktuppgifter från 5-7 miljoner företag. Endast kontakterna på denna vita lista har tagits med i den personuppgiftsansvariges databas. Därför sparades endast “yrkesmässiga” personuppgifter i den personuppgiftsansvariges databas. Applikationerna drogs tillbaka från den franska marknaden i augusti 2022. CNIL inledde en granskning av den personuppgiftsansvarige och genomförde en onlinekontroll av webbläsartillägget och smartphone-applikationerna.

CNIL började med att klargöra vilka de registrerade var i det här fallet, de personer vars uppgifter konsulterades av den personuppgiftsansvariges kunder. CNIL betonade att användarna av webbläsartillägget och smartphone-applikationerna inte var registrerade personer i detta beslut. CNIL konstaterade också att den “professionella” karaktären hos de uppgifter som den personuppgiftsansvarige lagrade inte tog bort den personliga karaktären hos dessa personuppgifter (jfr EU-domstolen, 9 november 2010, Volker m.fl., mål C-92/09 och C-93/09, punkt 59). CNIL fastställde också att den personuppgiftsansvarige var ansvarig för all behandling och därför var den personuppgiftsansvarige (artikel 4.7 GDPR).

CNIL ansåg dock att kraven i artikel 3 GDPR inte var tillämpliga då den personuppgiftsansvarige inte hade ett etableringsställe i EU enligt artikel 3.1 GDPR. Den personuppgiftsansvarige ansåg också att inga tjänster erbjöds till registrerade personer i EU enligt artikel 3.2 (a) GDPR.

CNIL drog vidare slutsatsen att artikel 3.2 (b) GDPR inte heller var tillämplig, eftersom det inte fastställdes att de registrerade var föremål för den personuppgiftsansvariges övervakning av sitt beteende. CNIL konstaterade att personuppgifter om registrerade i EU behandlades av den personuppgiftsansvarige, men att denna behandling endast utgjorde skapandet av en databas med yrkesmässiga kontaktuppgifter (telefon, e-postadress) för att identifiera personer vars profiler besöktes på LinkedIn, i syfte att kontrollera sanningshalten. Detta var enligt CNIL inte en behandling som bestod i att analysera eller förutsäga beteende, personliga preferenser eller rörelser, intressen, ekonomisk situation eller hälsotillstånd. CNIL ansåg också att den personuppgiftsansvarige inte använde sig av behandlingstekniker för personuppgifter som bestod av profilering.

CNIL drog därför slutsatsen att dataskyddsförordningen inte var tillämplig och att det inte låg inom myndighetens befogenheter att utdöma en påföljd. CNIL konstaterade också att alla användare av den personuppgiftsansvariges applikation bör informeras om att den personuppgiftsansvariges behandling inte omfattades av dataskyddsförordningen och att det därför var lämpligt att offentliggöra myndighetens beslut.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 3 GDPR

Sanktionsavgift: N/A

Mottagare: Lusha Systems INC

Beslutsnummer: SAN-2022-024

Beslutsdatum: 2022-12-26

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

09 MAR

Introduktion till dataskyddsförordningen

Lär dig om grunderna i GDPR och vad som gäller vid behandling av personuppgifter.

16 MAR

Molntjänster och tredjelandsöverföringar

Få en genomgång av reglerna för tredjelandsöverföringar vid användning av molntjänster.

23 MAR

Konsekvensbedömning avseende dataskydd

Lär dig att göra en konsekvensbedömning avseende dataskydd i praktiken.