Boka kurs

Frankrike: Tagadamedia får 75 000 euro i sanktionsavgift otillräckligt samtycke och bristande dokumentation

Linkedin Facebook X-twitter Envelope

Commission Nationale de l’Informatique et des Libertés (CNIL) har utfärdat en sanktionsavgift på 75 000 euro mot Tagadamedia för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att CNIL, mellan mars och oktober 2022, genomförde både platsbesök och onlineinspektioner av Tagadamedias webbplats. Vid dessa kontroller konstaterades att företaget samlat in personuppgifter såsom för- och efternamn, födelsedatum, postadress, e-postadress och telefonnummer via formulär där användare uppmanades delta i tävlingar eller produkttester.

Tagadamedia baserade denna behandling på samtycke enligt artikel 6.1 (a) GDPR, men CNIL konstaterade att utformningen av samtyckesformulären inte uppfyllde kraven enligt artikel 4.11 GDPR, som kräver att samtycke ska vara frivilligt, specifikt, informerat och otvetydigt. CNIL konstaterade därför att Tagadamedia saknade giltigt samtycke för att överföra personuppgifter till sina kommersiella partner, vilket utgör en överträdelse av artiklarna 6.1 (a) och 4.11 GDPR.

Vidare konstaterade CNIL att uppgifter från registrerade som uttryckligen nekat samtycke ändå överfördes till partnerbolag för andra ändamål (såsom tekniska åtgärder och kvalificering), då med berättigat intresse som rättslig grund. Eftersom den ursprungliga behandlingen vilade på samtycke ansåg CNIL att detta utgjorde en otillåten ändring av ändamål i strid med artikel 5.1 (b) GDPR, samt att behandlingen saknade rättslig grund i enlighet med artikel 6 GDPR.

Därutöver konstaterade CNIL att Tagadamedia inte uppfyllde kraven enligt artikel 30 GDPR, då företagets register över behandling var ofullständigt och delades med ett annat företag utan att tydligt ange personuppgiftsansvar.

När det gäller säkerhetsåtgärder enligt artikel 32 GDPR, konstaterade CNIL att kraven uppfylldes tack vare att åtkomst till databasen skyddades genom VPN med individuella autentiseringsnycklar, trots att ett enda administrationskonto användes.

På grundval av dessa överträdelser fastställde CNIL en administrativ sanktionsavgift på 75 000 euro i enlighet med artiklarna 6.1 (a) och 30 GDPR.

Mer information

Myndighet: Commission Nationale de l’Informatique et des Libertés (CNIL)

Land: Frankrike

Lagrum: Art. 6 GDPR, art. 30 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 75 000 euro

Mottagare: Tagadamedia

Beslutsnummer: SAN-2023-025

Beslutsdatum: 2023-12-29

Källa: Beslut

Relaterade nyheter

Sverige: Regeringen uppdaterar handlingsplan för nationell cybersäkerhetsstrategi

Sverige: FI identifierar brister i kontinuitetsplanering och hantering av IKT-risker hos finansiella företag

Sverige: Regeringen föreslår lag om AI-baserad ansiktsigenkänning i realtid

Sverige: Sverige ska bygga motståndskraft i samhällsviktig verksamhet

Belgien: Infobel får 40 000 i sanktionsavgift för otillåten vidareförsäljning av personuppgifter

Spanien: Personuppgiftsansvarig får 300 euro i sanktionsavgift för otillräckligt samarbete med tillsynsmyndigheten

Spanien: Energibolag får 500 000 euro i sanktionsavgift för felaktig hantering av kunduppgifter

Italien: Företag får 20 000 euro i sanktionsavgift för olaglig behandling av barns hälsouppgifter

Österrike: Bagerikedja får 33 500 euro i sanktionsavgift för olaglig kamerabevakning

Sverige: Ny lag om straffansvar för olovlig finansiell verksamhet

Fler nyheter

Kostnadsfritt webbinarium om klassning av AI-system enligt AI-förordningen

Under webbinariet går vi igenom hur AI-system bedöms enligt AI-förordningens olika risknivåer och vad det innebär för din verksamhet.

Till webbinaret