Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 300 000 euro mot Ediscom S.p.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Ediscom är ett marknadsföringsföretag som kontaktar potentiella kunder för tredjepartsleverantörers räkning genom sms, e-post och automatiserade samtal. För att bedriva denna verksamhet använder företaget av en omfattande databas med kontaktuppgifter till mer än 21 miljoner människor. Personuppgifter samlas in både direkt av Ediscom och av tredje part. Generellt sett anser Ediscom att de agerar som personuppgiftsansvarig. I vissa fall hyr Ediscom dock databaser från tredje part i syfte att tjäna pengar på dem. Även om kostnader och vinster delas anser Ediscom sig vara ett personuppgiftsbiträde på uppdrag av ägarna till dessa databaser.
Ediscom tar regelbundet emot återkallelser av samtycke och begäran om radering. Eftersom Ediscom förlitar sig på flera databaser där uppgifterna delvis överlappar varandra, för man vanligtvis in dessa förfrågningar i svarta listor för att undvika att återimportera samma uppgifter från en annan källa och använda dem igen. I fall där Ediscom anser sig fungera som personuppgiftsbiträde meddelar företaget den ursprungliga personuppgiftsansvarige om begäran om radering eller återkallande av samtycke.
Vissa registrerade har hävdat att de motsatt sig behandling för marknadsföringsändamål. De fick dock fortfarande samtal och meddelanden från Ediscom. Med anledning av dessa klagomål inledde den Garante en mer omfattande granskning av Ediscoms affärsmetoder. Granskningen gällde både de webbplatser som Ediscom använder för att direkt samla in personuppgifter och personuppgifter som lämnats ut till Ediscom av tredje part.
På flera webbplatser som drivs av Ediscom uppmanas användarna att delta i lotterier eller att prenumerera på nyhetsbrev om matlagning eller hälsa. Teoretiskt sett kan användarna välja om Ediscom får använda och dela deras uppgifter för marknadsföringsändamål, men i praktiken konstaterade Garante ett flertal överträdelser av GDPR. Överträdelser kunde också konstateras med avseende på personuppgifter som ursprungligen samlats in av tredje part.
Garante konstaterade att de webbplatser som förvaltas av Ediscom i stor utsträckning använder sig av förbjudna dark patterns vid insamling av samtycke. När användaren redan nekat sitt samtycke till marknadsföring, dyker ett nytt fönster upp och ber om samma samtycke igen. När användarna utforskade vissa av webbplatserna erbjöds de dessutom möjlighet att klicka på en länk som tog dem till en annan webbplats som förvaltas av Ediscom. Genom att klicka på länken importerade den registrerade alla sina uppgifter till den andra webbplatsen, där det samtycke som nekats på den första webbplatsen automatiskt gavs. Av dessa skäl konstaterade Garante överträdelser av artiklarna 5.1 (a), 6.1 (a), 7.2 och 25 GDPR.
De uppgifter som samlades in av webbplatserna var också överdrivna mot bakgrund av ändamålsbegränsning och uppgiftsminimering. Ediscom ställde många onödiga frågor, exempelvis om användarnas årsinkomst, familjestatus eller arbete. Vissa av dessa frågor var obligatoriska, medan alternativet att ignorera eller hoppa över dem i andra fall inte var tydligt synligt. Enligt Garante användes en sådan teknik helt klart för att profilera registrerade personer i avsaknad av specifikt samtycke för riktad reklam. Därför bröts artiklarna 5.1 (a-c), 6 och 7 GDPR. På en av de granskade webbplatserna fanns dessutom ingen integritetspolicy och ingen information om den personuppgiftsansvarige identitet. Detta innebar en överträdelse av artiklarna 5.1 (a) och 13 GDPR.
Därutöver konstaterade Garante att Ediscom bett användaren att lämna personuppgifter om ”vänner” som eventuellt var intresserade av samma tjänster. Dessa frågor om ovetande tredje personer kunde inte, trots att de inte var obligatoriska, bygga på någon giltig rättslig grund och stred därför mot artiklarna 6 och 14 GDPR.
När det gäller Ediscoms roll i behandlingen av uppgifter som erhållits från tredje part konstaterade Garante att Ediscoms självkvalificering som personuppgiftsbiträde var olämplig. Företaget fastställde nämligen ändamålen och medlen för behandlingen även när det hanterade tredje parters databaser. När Ediscom nekade ansvar som personuppgiftsansvarig lät företaget dessutom inte användarna utöva sina rättigheter enligt artiklarna 17 och 21 GDPR, vilket lett till att de registrerade som redan invänt mot behandlingen, först sattes de upp på en svart lista, och därefter kontaktades på nytt eftersom de fanns i en tredje parts databas. Ediscom hävdade att man inte kunde uppfylla de registrerades önskemål och flyttade över ansvaret på ett annat företag, som i sin tur förnekade att det var den personuppgiftsansvarige.
Garante konstaterade också att Ediscoms kontroll av de förteckningar som tillhandahölls av tredje part inte var tillräcklig. En sådan kontroll bör garantera att det samtycke som behandlingen bygger på är giltigt. Istället valde Ediscom att förlita sig på IP-adresser som tillhandahölls av tredje part för att kontrollera att samtycket samlats in på ett giltigt sätt. Ett effektivare alternativ hade enligt Garante varit att förlita sig på det bekräftelsemail som den ursprungliga personuppgiftsansvarige skickade till de berörda personerna. I vilket fall som helst visade de klagomål som ursprungligen låg till grund för utredningen att Ediscoms kontroll inte nått sitt mål. Ediscom bröt således mot artiklarna 5.2 och 24 GDPR.
Mot bakgrund av allt detta har Garante utfärdat en sanktionsavgift på 300 000 euro mot Ediscom för överträdelser av artiklarna 5.1 (a-c), 5.2, 6.1 (a), 7.2, 21, 24 och 25 GDPR.
TechLaw bistår verksamheter i frågor som rör dataskydd, samtycke och direktmarknadsföring. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.