Integritetsskyddsmyndigheten (IMY) konstaterar att MAG Interactive AB vid hantering av begäran om radering behandlat personuppgifter i strid med dataskyddsförordningen (GDPR). IMY ger MAG Interactive en reprimand enligt för den konstaterade överträdelsen.
Av beslutet framgår att en registrerad i Frankrike begärt radering av sina personuppgifter i spelet QuizDuel av MAG Interactive som är ett mobilspelföretag baserat i Sverige. Den registrerade loggade in i spelet via sitt Facebook-konto.
MAG Interactive svarade med att begära ytterligare information från den registrerade för identifieringsändamål, trots att den registrerade angett sitt Facebook-ID och sina e-postadresser i sin begäran om radering. MAG Interactive förklarade att varken det Facebook-ID eller de tre e-postadresser som den registrerade angett i sin begäran om radering gav några träffar vid en direkt sökning i den MAG Interactives system. MAG Interactive förklarade vidare att det enklaste sättet för den registrerade att begära radering var genom att ladda ner spelet igen och begära radering i spelet.
Den registrerade svarade att han inte längre hade något konto. MAG Interactive begärde då ytterlige information för att återställa den registrerades konto och för att göra det möjligt för den registrerade att begära radering av sina personuppgifter som användarnamnet, namnen på tre vänner, namnen på tre motståndare och en e-postadress att koppla kontot till.
Den registrerade svarade och begärde att få tillgång till den information som MAG Interactive hade om denne. MAG Interactive informerade återigen den registrerade om att den inte kunde hitta den registrerades konto med den registrerades Facebook-ID och uppgav att den registrerade kunde begära tillgång till personuppgifter från ett spel hos MAG Interactive.
Den registrerade svarade att han spelade spelet QuizDual på Facebook och att han inte hade något konto hos MAG Interactive och därför inte kunde begära åtkomst från kontot. MAG Interactive hävdade att spelet aldrig funnits på Facebook men att den registrerade kan ha loggat in via en Facebooksida i en mobilapplikation. Eftersom den registrerade nämnde spelet kunde MAG Interactive dock använda spelinformationen för att hitta ett konto som var kopplat till en av de e-postadresser som den registrerade angett. MAG Interactive raderade därefter kontot och informerade den registrerade om raderingen.
Den registrerade lämnade in ett klagomål mot till den franska datainspektionen Commission Nationale de l’Informatique et des Libertés (CNIL). Med tanke på behandlingens gränsöverskridande karaktär utnyttjade IMY de mekanismer för samarbete och enhetlighet som föreskrivs GDPR, eftersom MAG Interactive var baserad i Sverige.
IMY konstaterade inledningsvis att en personuppgiftsansvarig enligt artikel 12.6 GDPR kan begära ytterligare information om denne har rimliga skäl att tvivla på MAG Interactives identitet. Mot bakgrund av MAG Interactives argumentation ansåg IMY att sådana rimliga skäl fanns, men att även om MAG Interactive hade rimliga skäl borde denne gjort en proportionalitetsbedömning för att motivera den verifieringsmetod som användes för att inte i onödan samla in fler personuppgifter. IMY konstaterade att vid tidpunkten för den registrerades begäran om radering behandlade MAG Interactive endast en e-postadress som var kopplad till den registrerade, reklam-ID för den registrerades telefon samt den registrerades användarnamn och lösenord. IMY ansåg därför att en felaktig radering av dessa uppgifter inte skulle medföra några större nackdelar eller konsekvenser för den registrerade, och att kraven på identifiering därför kunde sättas relativt lågt. IMY konstaterade också att MAG Interactive i slutändan kunde tillmötesgå begäran om radering med endast den e-postadress som var kopplad till användarkontot. IMY ansåg därför att en begäran om ytterligare uppgifter i form av användarnamnen för tre vänner och tre motståndare varken var nödvändig eller proportionerlig för att bekräfta den registrerades identitet enligt artikel 12.6 GDPR.
IMY undersökte därefter om det var förenligt med artikel 12.2 GDPR att kräva att den registrerade skulle logga in på sitt konto och göra sin begäran om radering inifrån spelet. I EDPB:s riktlinjer om rätt till tillgång (01/2022) anges att den personuppgiftsansvarige kan uppmuntra den registrerade att använda ett självbetjäningsverktyg, men att den personuppgiftsansvarige också måste hantera begäranden om tillgång som inte skickas via den etablerade kommunikationskanalen. Genom att kräva att den registrerade skulle logga in på ett spel för att skicka sina förfrågningar underlättade inte MAG Interactive den registrerades utövande av sin rätt till radering. IMY ansåg därför att MAG Interactive brutit mot artikel 12.2 GDPR.
IMY ansåg att överträdelserna var ringa enligt skäl 148, eftersom de konstaterade överträdelserna ligger relativt långt tillbaka i tiden och MAG Interactive till fullo tillmötesgick den registrerades begäran om radering. IMY gav därför MAG Interactive en reprimand för överträdelse av artikel 12.2 GDPR och artikel 12.6 GDPR.