Garante per la protezione dei dati personali (Garante) har utfärdat sanktionsavgifter om totalt 12 501 000 euro mot två finansiella företag för otillåten behandling av personuppgifter via deras betaltjänstapplikationer i strid med dataskyddsförordningen (GDPR) och den italienska dataskyddslagen.
Bakgrund
Garante mottog under våren 2024 ett stort antal klagomål från användare av företagens betaltjänstapplikationer. Klagomålen gällde att användarna uppmanats att ge applikationerna åtkomst till uppgifter på sina enheter för att upptäcka skadlig programvara, och att vägran att lämna sådan åtkomst skulle leda till att applikationen blockerades efter ett begränsat antal inloggningar.
Garante inledde en utredning och genomförde bland annat en inspektion hos ett av företagen i juli 2024. Behandlingen genomfördes via en tredjepartslösning för bedrägeribekämpning och avsåg bland annat information om installerade och aktiva applikationer på användarnas enheter.
Myndighetens bedömning
Garante konstaterade inledningsvis att företagens åtkomst till uppgifter lagrade på användarnas enheter skedde utan stöd i den italienska dataskyddslagen, som genomför e-integritetsdirektivet. Undantaget från samtyckeskravet för åtgärder som är strikt nödvändiga för att tillhandahålla ett begärt tjänst bedömdes inte vara tillämpligt, eftersom det fanns tekniska alternativ med lägre integritetsrisker och eftersom den aktuella konfigurationen inte visats leda till effektivare bedrägeribekämpning.
Garante konstaterade vidare att behandlingen av personuppgifter för bedrägeribekämpning saknade adekvat rättslig grund enligt 6.1 (f) GDPR. Företagen hade åberopat berättigat intresse som rättslig grund, men Garante bedömde att intresseavvägningen inte var tillräcklig, de registrerades intressen och grundläggande rättigheter vägde tyngre än företagens intresse av att använda den aktuella konfigurationen, bland annat mot bakgrund av att behandlingen av applistor kan avslöja känslig information om användarna och att mindre ingripande alternativ fanns tillgängliga.
Myndigheten fann också att principen om öppenhet i 5.1 (a) GDPR och informationsskyldigheten i 13 GDPR hade åsidosatts, eftersom informationen till användarna inte specificerade att behandlingen utfördes via tredjepartslösningen eller att uppgifter om installerade och aktiva applikationer samlades in.
Garante konstaterade därutöver att personuppgiftsbiträdesavtalen inte uppfyllde kraven i 28 GDPR. Behandlingen via tredjepartslösningen ingick inte i avtalet med personuppgiftsbiträdet, och den aktuella underleverantören var inte korrekt angiven.
Myndigheten fann vidare att företagen underlåtit att genomföra en konsekvensbedömning avseende dataskydd (DPIA) i enlighet med 35 GDPR innan behandlingen inleddes, samt att behandlingen inte uppfyllde kraven på inbyggt dataskydd och dataskydd som standard enligt 25 GDPR.
Slutligen konstaterade Garante en överträdelse av principen om lagringsminimering i 5.1 (e) GDPR, eftersom den faktiska lagringstiden översteg den angivna med fyra månader. Garante ålade även företagen att specificera lagringstider och behandlade uppgifter i tredjepartslösningen.
Praktiska konsekvenser
Beslutet visar att bedrägeribekämpning inte utan vidare legitimerar en långtgående insamling av personuppgifter från användares enheter. Avgörande för Garantes bedömning var att tekniska alternativ med lägre integritetsrisker fanns tillgängliga och att den valda konfigurationen inte visats vara mer effektiv. Organisationer som använder tredjepartslösningar för säkerhets- eller bedrägeribekämpning behöver också säkerställa att personuppgiftsbiträdesavtalen täcker de behandlingar som faktiskt utförs, inklusive av underleverantörer.
Kontakta oss
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.