Garante per la protezione dei dati personali (Garante) har bötfällt Alpha Exploration Co. Inc. med 2 miljoner euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att det amerikanska företaget Alpha Exploration Co. Inc. (den personuppgiftsansvarige) sedan 2020 erbjudit och drivit det sociala nätverket Clubhouse. Det sociala nätverket bygger uteslutande på röstinteraktioner som äger rum i samtalsrum. Användarna kan välja att öppna ett temarum eller gå in i en annan persons rum som lyssnare. Från och med januari 2022 kan användarna med hjälp av plattformens nya funktioner Clips & Replays i) lagra och spela in en del av samtalen på plattformen, och ii) dela samma inspelningar med tredje part. På grundval av profilering gör Clubhouse det möjligt för andra användare att hitta personer som kan ha ett gemensamt intresse eller en gemensam koppling. Dessutom samlar Clubhouse in kontaktuppgifter från adressboken i användarnas enheter. Denna insamling gör det möjligt för användarna att få kontakt med personer de känner och att bjuda in vänner att ansluta sig till dem på Clubhouse.
Efter medias avslöjande om att det fanns flera problem med det sätt på vilket personuppgifter behandlades av den personuppgiftsansvarige, inledde Garante en utredning på eget initiativ. Garante fick också en rapport som belyste ett antal kritiska frågor om Clubhouse som rörde säkerhet, utövandet av de registrerades rättigheter, avsaknaden av en EU-företrädare, profilering och lagring av personuppgifter. På grundval av den insamlade informationen informerade Garante den personuppgiftsansvarige om ett antal överträdelser som myndigheten konstaterat efter en första bedömning i ärendet.
Garante började med att överväga om myndigheten var behörig att fatta ett beslut om den personuppgiftsansvariges behandlingsverksamhet. Garante ansåg att villkoren för att dataskyddsförordningen ska vara tillämplig enligt artikel 3.2 (a) GDPR var uppfyllda eftersom den personuppgiftsansvarige erbjöd sina tjänster till registrerade i EU. Garante hävdade att den var behörig på grundval av artikel 55.1 GDPR eftersom Clubhouse i) drevs av ett företag som inte var etablerat i EU, och ii) utgjorde gränsöverskridande behandling av personuppgifter i den mening som avses i artikel 4.23 GDPR eftersom den berörde registrerade i mer än en medlemsstat.
Efter att ha avslutat utredningen ansåg Garante att den personuppgiftsansvarige begått följande överträdelser i samband med tillhandahållandet av Clubhouse-tjänsten. Garante konstaterade en överträdelse av artiklarna 5.1 (a), 6 och 7 GDPR för behandling som utfördes i marknadsföringssyfte, profilering, profildelning och ljudinspelning i avsaknad av en lämplig rättslig grund.
När det gäller den behandling som utförts i marknadsföringssyfte fanns det, trots vad den personuppgiftsansvarige uppgett, en hänvisning i integritetspolicyn till det syfte med direktmarknadsföring för vilket samtycke samlades in på grundval av en opt-out-mekanism. Enligt Garante var en sådan behandling olaglig eftersom den utfördes på grundval av en mekanism för implicit samtycke, vilket inte överensstämde med villkoren för giltigt samtycke enligt artikel 7 GDPR.
När det gäller den behandling som utförs med hjälp av funktionen Clips & Replays, som påstods vara nödvändig för att fullgöra ett avtal, angav Garante att användarvillkoren måste uppdateras för att göra behandlingen mer transparent. I användarvillkoren nämndes inte funktionen Clips & Replays.
Enligt användarvillkoren skulle Clubhouse spela in varje samtal i varje rum på grundval av sitt berättigade intresse av att övervaka eventuella överträdelser av sina riktlinjer. Garante förklarade att denna behandling var olaglig eftersom den utfördes i avsaknad av en lämplig rättslig grund enligt artikel 6 GDPR. I motsats till vad den personuppgiftsansvarige hävdat kunde behandlingen inte rättfärdigas på grundval av berättigat intresse eftersom den skulle ha inneburit en omfattande och genomgripande övervakning och därmed varit oproportionerlig.
Garante förklarade också att behandlingen för profilering var olaglig, vilket den personuppgiftsansvarige motiverade med behovet av att genomföra avtalet. Enligt Garante skulle användaren i själva verket ha kunnat använda tjänsten även utan att lämna någon annan information än den som krävs för att skapa ett konto och utan att låta den personuppgiftsansvarige utföra ytterligare behandling av hur användaren interagerar med plattformen.
Slutligen noterade Garante att integritetspolicyn innehöll information om att användarnas personuppgifter behandlas både för att tillhandahålla tjänsten och för att utveckla och förbättra Clubhouses produkter. Den rättsliga grunden för behandlingen skulle vara den personuppgiftsansvariges berättigade intresse. I detta avseende observerade Garante att i avsaknad av ytterligare specifikationer skulle behandlingen, om den omfattade profilering, förefalla vara helt identisk med den behandling som diskuteras ovan och som syftar till att tillhandahålla tjänsten till den registrerade, och i ett sådant fall skulle den också vara olaglig i avsaknad av en giltig rättslig grund.
Garante konstaterade en överträdelse av artikel 13 GDPR genom att den personuppgiftsansvarige inte tillhandahöll information om behandlingen fram till den 4 augusti 2021, och en överträdelse av artiklarna 5.1 (a) och 12.1 GDPR genom att efter den 4 augusti 2021 tillhandahållit en itegritetspolicy som inte uppfyllde kraven på tydlighet, transparens och begriplighet.
Garante fann också en överträdelse av artikel 14 GDPR eftersom den personuppgiftsansvarige underlät att ge icke-användare information om behandlingen av deras telefonnummer i händelse av att användaren beslutade att synkronisera sina kontakter på Clubhouse-plattformen. Garante instruerade den personuppgiftsansvarige att inkludera en länk till en särskild policy i texten till varje inbjudan som skickas till icke-användare för att gå med i nätverket.
Garante bekräftade också att artiklarna 5.1 (e) och 13 GDPR överträtts eftersom den personuppgiftsansvarige inte gett tillräcklig information om lagringsperioderna för uppgifterna för de specifika ändamålen. Enligt Garante var det också oklart att de ljudfiler som skapades med funktionen Clips & Replays skulle bevaras fram till den eventuella uppsägningen av kontot av den användare som skapade dem, såvida inte användaren begärde att de skulle raderas.
När det gäller den representant i EU som utsetts av den personuppgiftsansvarige bekräftade Garante att artikel 13.1 (a) GDPR överträtts, eftersom kontaktuppgifterna för den utsedda representanten inte angetts i vederbörlig ordning, och att artikel 27.4 GDPR hade överträtts, eftersom en representant med lämpliga funktioner och befogenheter inte utsetts.
Garante bekräftade slutligen att den personuppgiftsansvarige brutit mot artikel 35 GDPR för att inte ha genomfört en konsekvensbedömning avseende dataskydd trots att de utförda behandlingsaktiviteterna föll inom ramen för de typer av behandling som kräver en konsekvensbedömning, med tanke på att de tog formen av profilering av användarna på grundval av deras preferenser och att de uppgifter som behandlades även kunde omfatta minderårigas uppgifter.
Sammanfattningsvis ålade Garante den personuppgiftsansvarige att vidta en rad korrigerande åtgärder i enlighet med artikel 58.2 (d) GDPR och beordrade den personuppgiftsansvarige att anpassa sin behandlingsverksamhet till dataskyddsförordningen. Garante ålade också den personuppgiftsansvarige böter på 2 000 000 euro för överträdelser av bestämmelserna ovan.