Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 120 000 euro mot Assiteca Spa för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante inlett en tillsyn av försäkringsmäklaren Assiteca som en del av myndigheternas planerade tillsynsverksamhet för 2022 och efter ett antal klagomål. Tillsynen bestod i att genomföra en simulerad förfrågan om offerter för bilförsäkringar på två webbplatser som drivs av företaget.
Inledningsvis förklarade Assiteca att tjänsterna på dessa två webbplatser tidigare genomförts av 6Sicuro SpA, ett företag som fusionerades med Assiteca i juli 2021. Vid tidpunkten för tillsynen hade de två webbplatserna separata IT-system och var under omarbetning.
Under tillsynen tog Garante upp flera frågor om följande: avsaknad av samtycke till behandling för reklamsyften, bristande insyn i behandlingen av uppgifter, lagringstiden för personuppgifter och avsaknad av tekniska och organisatoriska åtgärder för att förhindra att de registrerade drabbas.
I sitt försvar betonade Assiteca att de avvikelser som upptäcktes under Garantes tillsyn till följd av fusionen skulle betraktas som ”avgränsade effekter som kan hänföras till en felaktig anpassning av systemen och inte till en systematisk brist på säkerhetsåtgärder”. Dessutom har Assiteca inlett processen för att förvärva ett nytt system och gjort ändringar för att rätta till de tekniska avvikelser som det här är fråga om.
I sitt beslut behandlade Garante de fyra frågor som anges ovan. För det första, när det gäller samtycke, hade Assiteca efter sammanslagningen behållit uppgifter om nästan 9 700 kunder från det tidigare företaget utan deras vetskap genom att deras personuppgifter kunde behandlas i reklamsyfte även om de inte hade gett sitt samtycke. Garante konstaterade att vissa användares samtycke inte behandlats korrekt på grund av ett systemfel, genom att vissa samtycken ofrivilligt getts till systemet efter att de registrerade fått tillgång till e-postmeddelanden som innehöll offerter för bilförsäkringar. Assiteca klargjorde att händelsen berodde på ofrivilliga problem av teknisk natur. För 9 700 användare hade dock ett samtycke registrerats som visade på en verklig avsikt och för 2 155 av dessa hade ett samtycke erhållits som aldrig hade uttryckts, vilket strider mot artikel 6.1 (a) och artikel 7 GDPR.
För det andra, när det gäller öppenhet, konstaterade Garante att den information som lämnats till de registrerade inte var tillräckligt tydlig, särskilt när det gällde överföring till tredje part och profilering. Texten i informationsmeddelandet har dock ändrats och innehåller en tydligare redogörelse för de behandlingar som utförs och deras rättsliga grunder. Inga ytterligare åtgärder bedöms därför vara nödvändiga.
För det tredje, när det gäller lagring, hade Assiteca inte i förväg fastställt lagringsperioderna för uppgifterna för de enskilda ändamålen, vilket strider mot artikel 5.1 (e) GDPR.
För det fjärde och sista noterade Garante också att det fanns otillräckliga tekniska åtgärder för behandlingen, men ansåg inte att Assiteca skulle straffas eftersom integreringen av två olika företagssystem nyligen genomförts och de nödvändiga ändringarna gjorts.
I enlighet med artikel 83 GDPR utfärdade Garante en sanktionsavgift på 120 000 euro mot Assiteca. Vid fastställandet av sanktionsbeloppet tog Garante hänsyn till den breda omfattningen av behandlingen, som berörde 9 700 registrerade, överträdelsens allvar genom att felaktigt ange de registrerades önskemål utan deras vetskap och exponera deras respektive personuppgifter samt det sätt på vilket myndigheten fått kännedom om överträdelserna, som en del av en egen utredning. Garante beaktade dock också ett antal förmildrande omständigheter, bland annat att Assitecas avsikter inte verkar ha syftat till att medvetet uppnå effekterna, att korrigerande åtgärder vidtagits i god tid, att det inte förekommit några tidigare överträdelser och att samarbetet med myndigheten varit mycket omfattande.
TechLaw bistår verksamheter i frågor som rör personuppgiftsbehandling, informationssäkerhet och dataskydd i it-system. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.