Garante per la protezione dei dati personali (Garante) har bötfällt Cosmopol Security S.p.A. med 20 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Cosmopol Security tagit över en affärsenhet i ett annat företag (Företag X), inklusive befintliga avtal. Den registrerade har tidigare samtyckt till att Företag X behandlar hans personuppgifter.
Enligt den registrerade har han fått elektroniska fakturor från Cosmopol Security, utan att någonsin ha haft ett avtalsförhållande med bolaget. Den registrerade bestred fakturorna och lämnade in en begäran om tillgång för att få reda på varifrån hans personuppgifter kommer och den övriga information som anges i artikel 13 GDPR. Den registrerade fick dock inget svar inom de tidsfrister som anges i artikel 12.3 GDPR, varför den registrerade lämnade in ett klagomål till Garante.
Cosmopol Security hävdade att det inte förelåg någon skyldighet för bolaget att informera de registrerade om ändamålet med behandlingen då denna förblev oförändrad efter förvärvet. Enligt Cosmopol Security hade bolaget kommit överens med Företag X om att behandlingen skulle fortsätta på samma villkor, i enlighet med de ändamål för vilka uppgifterna samlats in och med samma metoder. Cosmopol Security hävdade också att bolaget inte behövde något nytt samtycke från de registrerade av samma skäl.
Garante konstaterade att Cosmopol Security inte lämnat något bevis enligt artikel 5.2 GDPR om den information som skickats till de registrerade om försäljningen av företaget. Det var därför enligt Garante oklart om Cosmopol Security följde artikel 14 GDPR, eftersom bolaget samlat in personuppgifterna från Företag X och inte direkt från den registrerade.
Garante ansåg vidare att Cosmopol Security brutit mot artikel 12.3 GDPR eftersom bolaget inte gav tillgång till uppgifterna inom tidsfristen i samma bestämmelse. Cosmopol Security bröt enligt Garante också mot artikel 12.4 GDPR då bolaget inte informerat den registrerade om orsakerna till den bristande efterlevnaden och om möjligheten att lämna in ett klagomål till tillsynsmyndigheten. Garante konstaterade därutöver en överträdelse av artikel 14 GDPR eftersom Cosmopol Security underlåtit att ge den registrerade den nödvändiga informationen.
Vidare avvisade Garante Cosmopol Securitys argument om att skyldigheten att tillhandahålla information inte existerar om ändamålet med behandlingen förblir oförändrad efter en förändring av ägarskapet för behandlingen. Garante ansåg att denna tolkning stred mot de allmänna principerna om skydd av personuppgifter, särskilt principerna om öppenhet och rättvisa enligt artikel 5.1 (a) GDPR. Garante konstaterade också att det var nödvändigt för att behandlingen ska vara rättvis att parterna får information från de företag som deltar i sammanslagningen. De registrerade bör enligt Garante särskilt informeras om den personuppgiftsansvariges nya namn och kontaktuppgifter på eventuella nya personuppgiftsbiträden.
Garante konstaterade att de registrerade i detta fall inte fått tillräcklig information om den nya personuppgiftsansvariges identitet och kontaktuppgifter enligt artikel 14.1 (a) GDPR. De registrerade kunde enligt Garante inte heller anses veta att företagen kommit överens om att behandlingen skulle fortsätta på samma villkor som tidigare och i enlighet med den nya personuppgiftsansvariges villkor, för samma ändamål för vilka de hade samlats in och med samma metoder. Garante konstaterade vidare att undantaget i artikel 14.5 (b) GDPR inte var tillämpligt, eftersom Cosmopol Security kunde kommunicera med de registrerade. Att kommunicera med de registrerade var därför inte omöjligt och skulle inte innebära en oproportionerligt stor ansträngning.
Garante konstaterade slutligen att den kommunikation som skickats från Cosmopol Security till de registrerade inte kunde anses vara lämplig enligt artikel 14 GDPR. Avsaknaden av adekvat information var anledningen till att den registrerade lämnat in en begäran om tillgång från början.
Enligt Garante gällde överträdelserna inte bara den registrerade utan även alla andra berörda parter vars avtal överförts mellan Cosmopol Security och Företag X.