Garante per la protezione dei dati personali (Garante) har utfärdat en varning mot Empower Sports AG för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade tecknat ett månadsabonnemang hos Empower Sports AG (den personuppgiftsansvarige), som tillhandahåller tv-streamingtjänster för sportevenemang via appen Eleven Sports. Efter att ha begärt att hans uppgifter ska raderas och återkallat sitt samtycke till att ta emot den personuppgiftsansvariges nyhetsbrev fick han dock fortfarande ett flertal oönskade e-postmeddelanden. Den registrerade lämnade därför in ett klagomål till Garante den 13 januari 2022.
Efter en begäran om information från Garante uppgav den personuppgiftsansvarige att för att stoppa kommunikationen var det endast nödvändigt att klicka på ”unsubscribe” längst ner i det senast mottagna e-postmeddelandet. Garante inledde därefter en utredning på grund av bristen på motiveringar från den personuppgiftsansvarige och underrättade denne om de påstådda överträdelserna av artiklarna 12, 17 och 21 GDPR.
Den 20 juni 2022 lämnade den personuppgiftsansvarige ytterligare förtydliganden om klagomålet till Garante. Den registrerade hade två abonnemang (månads- och säsongsabonnemang) kopplade till olika e-postadresser. Efter att ha avslutat månadsabonnemanget begärde den registrerade att hans personuppgifter skulle raderas med den e-postadress som var kopplad till säsongsabonnemanget (som fortfarande var aktiverat). Därefter begärde den registrerade från en tredje e-postadress att inte längre få någon kommersiell kommunikation. Det angavs dock inte vilka e-postadresser han hänvisade till. Detta fördröjde därför processen. Dessutom skickade den registrerade sina förfrågningar, vissa av dem var av administrativ-avtalsmässig karaktär, andra gällde behandling av personuppgifter, till samma e-postadress utan att skilja dem åt efter ämne. Dessa meddelanden skickades alltså inte korrekt till de behöriga avdelningarna.
Den personuppgiftsansvarige försäkrade i alla fall att den underlättade avregistreringen från nyhetsbrevet och raderade de uppgifter om den registrerade som inte längre var nödvändiga för den personuppgiftsansvariges behandlingsändamål i enlighet med artikel 17.3 GDPR.
För det första tog Garante hänsyn till att det var svårt för den personuppgiftsansvarige att identifiera den registrerade på grund av att den registrerade använde flera e-postadresser som inte alltid motsvarade de anslutna prenumerationerna. Dessutom beaktades det faktum att alla den registrerades efterföljande förfrågningar om radering av hans uppgifter aldrig nämnde vilka e-postadresser som skulle raderas. Dessutom måste det erkännas att den personuppgiftsansvarige uppfyllde den registrerades begäran om att inte längre få nyhetsbrevet inom den 30-dagarsperiod som anges i artikel 12.3 GDPR. Följaktligen fann Garante ingen överträdelse av artikel 21 GDPR.
För det andra ansåg Garante att med tanke på att uppgifterna om den registrerade var nödvändiga för att den personuppgiftsansvarige skulle kunna fullgöra sina avtalsförpliktelser, var det för närvarande inte möjligt att uppfylla begäran om radering. Därför konstaterades ingen överträdelse av artikel 17 GDPR.
Garante konstaterade dock att den personuppgiftsansvarige kunde ha svarat på den registrerades begäran tidigare. Till exempel att underrätta den registrerade om svårigheterna med att identifiera honom, tillsammans med en begäran om ytterligare information, i enlighet med artikel 12.6 GDPR. Eller att klargöra att det inte var möjligt att radera vissa uppgifter, men att det var möjligt att avregistrera sig från nyhetsbreven.
Garante angav också att det är den personuppgiftsansvariges skyldighet (särskilt för ett företag av Empower Sports storlek) att vidta organisatoriska åtgärder för att i möjligaste mån identifiera de mottagna förfrågningarna och rikta dem till de behöriga kontoren. Oavsett hur de har kvalificerats av de registrerade. Som svar på detta uttalande förklarade den personuppgiftsansvarige att den vidtagit åtgärder för att åtgärda det problem som dataskyddsombudet tog upp.
Av dessa skäl, och i avsaknad av liknande krav mot den personuppgiftsansvarige, utfärdade Garante en varning till den personuppgiftsansvarige i enlighet med artikel 58.2 (b) GDPR om en överträdelse av artikel 12 GDPR. Garante erinrade om vikten av att vidta lämpliga tekniska och organisatoriska åtgärder för att ge ett adekvat svar på de registrerades förfrågningar.