Hellenic Data Protection Authority (HDPA) har utfärdat en reprimand mot Infinity Pack för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en apotekare fått flera e-postmeddelanden med reklam för farmaceutiska produkter från företaget Infinity Pack. Den registrerade lämnade in ett klagomål till HDPA och hävdade att denne aldrig haft någon kommersiell relation med Infinity Pack via den specifika e-postadressen, då e-postadressen uteslutande användes för kommunikation med offentliga organ.
HDPA underrättade Infinity Pack och bad om förtydliganden om hur företaget fått kännedom om den specifika e-postadressen. Infinity Pack svarade att företaget inte kunde fastställa källan till informationen, men medgav att företagets företrädare reser till många regioner i Grekland och samlar in marknadsinformation såsom visitkort och kontaktuppgifter till potentiella kunder.
Även om den registrerade drog tillbaka sin begäran under förfarandets gång, beslutade HDPA att fortsätta med granskningar på eget initiativ.
Enligt HDPA fastställer artikel 5.1 GDPR att personuppgifter måste behandlas lagligt, korrekt och på ett öppet sätt, samtidigt som de också samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Dessutom föreskrivs i artikel 5.2 GDPR att den personuppgiftsansvarige är ansvarig för att visa att dessa skyldigheter uppfylls.
Vidare hänvisade HDPA till nationell rätt, och klargjorde att även om lagen tillåter personuppgiftsansvariga att skicka reklam till e-postmeddelanden som lagligen erhållits i samband med deras kommersiella transaktioner, även utan föregående samtycke, kräver gällande regler att ett enkelt sätt att invända mot behandlingen av personuppgifter görs tillgänglig för den registrerade.
I det aktuella fallet ansåg HDPA att Infinity Pack inte kunde visa källan till personuppgifterna och därför inte kunde hävda att uppgifterna hade erhållits i samband med företagets kommersiella verksamhet. Infinity Pack kunde inte heller visa att företaget inhämtat den registrerades samtycke.
Av dessa skäl konstaterade HDPA att artikel 5.1 (a) GDPR hade överträtts. Med hänsyn till att klagomålet var av individuell karaktär och att inga andra överträdelser konstaterades, samt det faktum att Infinity Pack snart efter att ha underrättats justerade sitt beteende, utfärdade HDPA endast en reprimand.