Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 4,9 miljoner euro mot Edison Energia för överträdelser av dataskyddsförordningen (GDPR) och Codice in materia di protezione dei dati personali (kodexen).
Av beslutet framgår att den personuppgiftsansvarige i detta beslutet var Edison Energia, ett italienskt energibolag. Vid en viss tidpunkt började den personuppgiftsansvarige, inom ramen för en marknadsföringskampanj, ringa upp kunder och potentiella kunder med hjälp av callcenter. Den 7, 8 och 9 februari 2022 lämnade flera registrerade in klagomål till Garante, som alla fokuserade på den ovannämnda marknadsföringen.
Under Garantes utredning framkom det att den personuppgiftsansvarige arbetade med ett annat företag (företag XX) som försåg den förstnämnda med en kontaktlista. Vissa av de registrerade fanns dock också med på en lista över personer som man inte fick ringa upp och som den personuppgiftsansvarige själv hade. Detta hindrade dock inte den personuppgiftsansvarige från att kontakta dem. Det skulle senare visa sig att denna lista över personer som man inte fick ringa var ineffektiv. Det var inte heller möjligt att korrekt rekonstruera på vilket sätt och vid vilken tidpunkt de registrerades samtycke inhämtades och när det slutligen återkallades.
Garante undersökte också det samtycke som den personuppgiftsansvarige själv begärde när den registrerade ville registrera sig på den personuppgiftsansvariges webbplats eller applikation. Ett sådant samtycke var enligt Garante inte specifikt eftersom det tillät behandling för fyra olika syften, nämligen marknadsföring och profilering av Edison Energia och av en tredje part som kunde få personuppgifterna.
I sin integritetspolicy nämnde den personuppgiftsansvarige att företaget behandlade personuppgifter för marknadsföring och profilering. Under Garantes utredning lämnade den personuppgiftsansvarige dock motstridiga bevis som bekräftade att ingen profilering eller delning av uppgifter med tredje part för marknadsföringsändamål skulle äga rum.
Garantes utredningstjänst konstaterade flera överträdelser av GDPR efter att ha fått tillgång till den personuppgiftsansvariges datasystem.
För det första konstaterade Garante att den personuppgiftsansvarige fått förteckningar över personuppgifter från företaget XX. Enbart detta faktum utgjorde en överträdelse, eftersom den personuppgiftsansvarige borde ha inhämtat nytt samtycke för sin marknadsföringsverksamhet. Det faktum att den personuppgiftsansvarige bad om ett enda samtycke för fyra olika ändamål (marknadsföring och profilering av både den personuppgiftsansvarige och en potentiell tredje part) stred också mot kravet på fritt och specifikt samtycke. Dessutom noterade Garante att den personuppgiftsansvarige inte vidtagit tillräckliga åtgärder för att kontrollera efterlevnaden av dataskyddsförordningen, eftersom den inte kontrollerat om den tredje part från vilken den fick sin samtalslista agerade i enlighet med dataskyddsförordningen. Därför bröt den personuppgiftsansvarige mot artiklarna 5.2, 24, 6 och 7 GDPR samt artikel 130 i kodexen.
För det andra fastställde Garante att den personuppgiftsansvarige var ansvarig för att inga stickprovskontroller utfördes med avseende på kontaktuppgifterna i de listor som tillhandahölls av företag XX, trots att den personuppgiftsansvarige anförtrott en annan tredje part att göra detta åt den personuppgiftsansvarige. Enligt artikel 5.2 GDPR var det den personuppgiftsansvariges ansvar att se till att åtgärder vidtogs för att säkerställa att dataskyddsförordningen följdes, vilket inte var fallet här, eftersom personer som motsatt sig marknadsföring fortfarande kontaktades. Detta resulterade i en överträdelse av artiklarna 5.2, 24.1, 24.2 och 25.1 GDPR.
För det tredje konstaterade Garante att den personuppgiftsansvarige inte tillhandahöll ett enkelt sätt att invända mot marknadsföringskampanjen. Garante bekräftade att den registrerade måste kontakta både den personuppgiftsansvarige och Företag XX för att uteslutas från behandlingen. Den registrerade måste invända mot behandlingen av marknadsföringskampanjen hos den personuppgiftsansvarige, som skulle pågå i cirka tre månader. För att förhindra att den registrerade blir målgrupp igen skulle den registrerade dock också behöva invända mot överföringen av uppgifter mellan den personuppgiftsansvarige och företag XX. Detta resulterade i en överträdelse av artiklarna 12.2, 12.3 och 21.2 GDPR.
För det fjärde ansåg Garante att det fanns en diskrepans mellan den behandling som den personuppgiftsansvarige utförde och den information som tillhandahölls på dess webbplats och i dess mobilapplikation. Den personuppgiftsansvarige medgav att den inte delade uppgifter med tredje part och att den inte gjorde någon individuell profilering av de registrerade. Detta resulterade i en diskrepans mellan den information som den personuppgiftsansvarige lämnade och verkligheten. Det var troligt att det skulle leda till rimliga tvivel om vilken behandling som faktiskt utfördes av den personuppgiftsansvarige. Detta resulterade i en överträdelse av artiklarna 12 och 5.1 (a) GDPR.
Slutligen ansåg Garante att den personuppgiftsansvarige underlåtit att inhämta ett fritt och specifikt samtycke för olika behandlingsaktiviteter, men i synnerhet underlåtit att inhämta samtycke för marknadsförings- och profileringssyften. Detta resulterade i överträdelser av artiklarna 6, 7 och 12.1 GDPR samt artikel 130 i kodexen.
Efter att ha övervägt flera försvårande och förmildrande omständigheter har Garante utfärdat en sanktionsavgift på 4,9 miljoner euro mot den personuppgiftsansvarige i enlighet med artikel 58.2 GDPR. Den personuppgiftsansvarige beordrades också att göra flera av sina behandlingar kompatibla med reglerna i GDPR.
TechLaw bistår verksamheter i frågor som rör direktmarknadsföring, telefonförsäljning, samtycken och elektronisk kommunikation enligt GDPR och ePrivacy-reglerna. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.