Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 200 000 euro mot Nirvam S.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Nirvam är ett italienskt företag som driver en plattform för online-dating där användarna kan registrera sig och söka efter potentiella partners. I samband med registreringen ombads användarna lämna uppgifter om bland annat land, region, bostadsort, födelsedatum och e-postadress. Användarna kunde också ladda upp foton av sig själva. Nirvam har över 4,7 miljoner registrerade användare.
Garante genomförde en granskning av företagets behandling av personuppgifter och hittade flera brister och överträdelser av GDPR. Nirvam behandlade bland annat känsliga uppgifter om användarnas sexuella läggning och preferenser utan att inhämta deras uttryckliga samtycke eller informera dem om syftet och rättslig grund för behandlingen. Nirvam sparade också användarnas uppgifter längre än nödvändigt och utan att ange tydliga kriterier för radering.
Nirvam integritetspolicy innehöll inte heller någon information om de olika och ytterligare behandlingar som företaget utförde för användningen av tjänsten. Det saknades också information om möjligheten för berörda parter att utöva sina rättigheter, inklusive möjligheten att lämna in ett klagomål till Garante.
Vidare hade Nirvam inte vidtagit tillräckliga säkerhetsåtgärder för att skydda användarnas uppgifter mot obehörig åtkomst, ändring eller förlust. Nirvam hade heller inte utsett en dataskyddsombud, fört ett register över behandlingar eller utfört en konsekvensbedömning avseende dataskydd för behandlingen.
Garante beslutade att utfärda en sanktionsavgift på 200 000 euro mot Nirvam för brott mot artiklarna 5.1 (a), (f), 5.2, 9, 13, 24, 30, 32, 35 och 37 GDPR. Garante beordrade Nirvam att vidta åtgärder för att rätta till bristerna och anpassa sig till GDPR inom 90 dagar från beslutet. Garante förbehöll sig rätten att vidta ytterligare åtgärder om företaget inte följde beslutet.