Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 1 miljon euro mot Mobius Solutions LTD för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Mobius Solutions varit inblandad i ett dataintrång som drabbade användare av musiktjänsten Deezer, där företaget agerade som underleverantör. CNIL underrättades om intrånget efter att användardata publicerats online på den mörka webben, och Deezer rapporterade att Mobius Solutions hade tillhandahållit tjänster för personliga reklamkampanjer som var kopplade till incidenten. Under 2023 och 2024 genomförde CNIL omfattande granskningar av företaget och konstaterade att Mobius Solutions underlåtit att uppfylla flera skyldigheter enligt GDPR i sin egenskap av personuppgiftsbiträde.
CNIL noterade särskilt att Mobius Solutions behöll kopior av uppgifter för över 46 miljoner Deezer-användare efter avtalets upphörande, trots sin uttryckliga skyldighet att radera sådan data. Företaget uppgav att kopiorna hade gjorts av anställda utan dess vetskap, men CNIL bedömde att ansvaret låg hos företaget, eftersom uppgifterna hade lagrats i en icke-produktionsmiljö tillsammans med annan kunddata, vilket utgjorde en betydande säkerhetsrisk.
Vidare har Mobius Solutions kopierat och använt Deezer-användardata utan instruktioner från den personuppgiftsansvarige i syfte att förbättra sina egna tjänster, vilket CNIL bedömde utgöra en otillåten behandling eftersom avtalsklausulerna inte gav företaget rätt att använda uppgifterna för detta ändamål utan föregående instruktioner. CNIL konstaterade dessutom att Mobius Solutions underlåtit att upprätta och underhålla ett register över sina behandlingar, vilket utgör ett brott mot GDPR:s bestämmelser om dokumentation för personuppgiftsbiträden.
Mot bakgrund av dessa överträdelser bedömde CNIL att Mobius Solutions agerat i strid med flera centrala bestämmelser, bland annat artikel 28.3 (g) GDPR om personuppgiftsbiträdens skyldighet att radera personuppgifter efter uppdragets slut, artikel 29 GDPR om behandling av personuppgifter enligt instruktioner från den personuppgiftsansvarige, samt artikel 30 GDPR om skyldighet att föra ett register över behandlingar.
Överträdelserna ansågs särskilt allvarliga med hänsyn till flera faktorer som den mycket stora mängden berörda personer (över 46 miljoner), den betydande risken för intrång i individers privatliv och integritet, samt företagsstorlek och ekonomiska resurser som borde ha möjliggjort fullständig regelefterlevnad. CNIL betonade att underlåtelse att följa instruktioner från den personuppgiftsansvarige och att behålla data utanför produktionsmiljöer inte bara utgör tekniska brister, utan också en grundläggande risk för individers rättigheter och friheter.