Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 5 000 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR) vid olaglig direktmarknadsföring.
Bakgrund
Av beslutet framgår att Garante inledde sin utredning i mars 2025 efter mottagna klagomål om oönskad marknadsföring via digitala kontaktlistor. Utredningen visade att företaget, som driver en plattform för försäljning av kontaktlistor till främst fastighetsmäklare och inkassobolag, behandlade personuppgifter utan giltig rättslig grund enligt artikel 6.1 GDPR och utan att uppfylla kraven på transparens och information enligt artiklarna 12–14 GDPR.
Myndighetens bedömning
Garante konstaterade att företaget agerade som personuppgiftsansvarig snarare än som personuppgiftsbiträde, genom att självständigt välja och koppla upp sig mot externa dataleverantörer samt bestämma hur behandling av kontaktuppgifter skulle ske. Detta utgjorde ett fastställande av ändamål och medel enligt artikel 4.7 GDPR. Garante fann dessutom att företaget brustit i hanteringen av registrerades rättigheter genom att begäran om tillgång och radering enligt artiklarna 15 och 17 GDPR felaktigt hade vidarebefordrats till en extern leverantör, vilket stred mot artikel 12.3 GDPR.
Vidare bedömde Garante att företagets webbformulär och informationspraxis inte uppfyllde kraven på specifikt, informerat och uttryckligt samtycke för marknadsföringsändamål enligt artiklarna 6.1 (a) och 7 GDPR. Den information som tillhandahölls de registrerade uppfyllde inte kraven i artikel 5.1 (a) GDPR, bland annat eftersom integritetspolicyn uppdaterades först efter inspektionen och tidigare hänvisade till en annan verksamhetsägare.
Utredningen visade också brister i tekniska och organisatoriska skyddsåtgärder. Företaget saknade tillräckliga åtkomstbegränsningar för systemadministratörer, vilket medförde risk för obehörig åtkomst i strid med artiklarna 5.1 (f) och 32 GDPR samt artikel 24 GDPR om ansvarsskyldighet.
Mot bakgrund av samtliga överträdelser, inklusive brott mot principerna om laglighet, öppenhet, ändamålsbegränsning, riktighet och säkerhet enligt artiklarna 5.1 (a), (b), (d) och (f) samt 5.2 GDPR, fastställde Garante att en sanktionsavgift på 5 000 euro var proportionerlig.
Praktiska konsekvenser
Beslutet visar att företag måste säkerställa korrekt rättslig grund för direktmarknadsföring, uppfylla informationsskyldighet gentemot registrerade, hantera registrerades rättigheter korrekt och implementera tillräckliga tekniska och organisatoriska säkerhetsåtgärder.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Garnate.