Garante per la protezione dei dati personali (Garante) har bötfällt Douglas Italia S.p.A. med 1,4 miljoner euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en kund lämnat in ett klagomål till Garante mot Douglas Italia. Enligt Garante klagande kunden på uteblivet svar från Douglas Italia efter en begäran om att utöva sina rättigheter som registrerad. Garante noterade vidare att myndigheten inlett en utredning, under vilken Douglas Italia klargjort att företaget bildats genom sammanslagning av tre företag (nedan kallade företagen) och att Douglas Italias databas som innehåller cirka 10 miljoner kunder därför omfattade de databaser som ursprungligen tillhörde företagen.
I slutet av utredningen konstaterade Garante att underlåtenheten att besvara den klagandes begäran var ett undantag och att Douglas Italia i allmänhet hanterade de registrerades begäran på ett korrekt sätt och i rätt tid. Garante konstaterade dock att Douglas Italia brutit mot följande bestämmelser:
- Artiklarna 6 och 7 GDPR genom att kräva att användarna samtidigt ger sitt samtycke till de allmänna försäljningsvillkoren, integritetsmeddelandet och cookiepolicyn
- Artiklarna 5.2 och 24 GDPR, eftersom Douglas Italia inte kunde styrka att de inhämtat samtycke från företagets kunder vid förnyelse av kundernas lojalitetskort, och inte heller kunde styrka de behandlingar som företaget utförde
- Artiklarna 5.1 (b) och 5.1 (e) GDPR genom att lagra uppgifter om företagets kunder som inte förnyat sina lojalitetskort hos Douglas Italia i ett inaktivt tillstånd för att underlätta ett eventuellt utbyte av lojalitetskorten
- Artikel 13.2 (a) GDPR på grund av diskrepanser mellan Douglas Italias praxis och den information som lämnats i företagets integritetsmeddelande
- Artikel 12 GDPR på grund av bristen på öppenhet och tillgång till information om behandlingen av personuppgifter
- Artiklarna 5.2, 24 och 25.1 GDPR på grund av bristande överensstämmelse mellan de alternativ som fanns i det formulär som användes för att samla in samtycke till direktmarknadsföring och den konkreta operativa praktiken (i detta avseende konstaterade Garante att kunder som endast gett sitt samtycke till marknadsföring via telefon även fått SMS-marknadsföring och vice versa)
- Artiklarna 5.2, 13 och 24 GDPR eftersom Douglas Italia inte kunde lämna några klargöranden om syftet med insamlingen och lagringsperioderna för de uppgifter som samlats in via Douglas Italias blogg, och på grund av bristen på information om insamlingen av uppgifter via nämnda blogg.
Mot bakgrund av de konstaterade överträdelserna utfärdade Garante böter på 1,4 miljoner euro och ålade Douglas Italia att:
- Ändra appens utformning så att det finns en tydlig åtskillnad mellan integritetsmeddelandet och cookiepolicyn och att båda texterna endast anger den behandling som faktiskt utförs och de syften som eftersträvas
- Inom 15 dagar radera de personuppgifter om Douglas Italias kunder som sparats i mer än tio år
- Att inom 30 dagar radera eller pseudonymisera de personuppgifter om Douglas Italias kunder som sparats i upp till tio år, och att i det senare fallet skriva detta på företagets webbplats och skicka ett meddelande till de kunder vars e-postadress finns tillgänglig för företaget, där kunderna informeras om att deras uppgifter kommer att raderas inom sex månader om de inte förnyar sitt lojalitetskort
- Radera personuppgifterna för alla de kunder som efter ovannämnda meddelande beslutar att inte förnya sitt lojalitetskort inom 15 dagar efter det att den ovannämnda sexmånadersperioden löpt ut
- Vidta lämpliga organisatoriska och tekniska åtgärder och ge feedback inom 30 dagar
Avslutningsvis noterade Garante att Douglas Italia kan överklaga beslutet inom 30 dagar.