Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 6 000 euro mot Geturhotels S.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en privatperson lämnat in ett klagomål då han under flera år mottagit oönskade marknadsföringsmeddelanden från Geturhotels, trots att han vid upprepade tillfällen motsatt sig fortsatt behandling och begärt att hans uppgifter skulle raderas. De första meddelandena skickades redan från 2021 och fortsatte, efter ett tillfälligt uppehåll, återkommande från mars 2024. Geturhotels uppgav att personuppgifterna hade samlats in 2015 i samband med köp av hotelltjänster och att marknadsföringen grundades på bolagets berättigade intresse enligt GDPR. Geturhotels hänvisade vidare till ett internt “misstag” som inneburit att den registrerades begäran om avregistrering inte hade registrerats korrekt i bolagets system.
Garante konstaterade att Geturhotels olagligen behandlat personuppgifter genom att skicka marknadsförings-sms utan giltigt samtycke, i strid med artikel 6.1 (a) GDPR och nationell rätt. Myndigheten konstaterade vidare att bolaget inte hade vidtagit tillräckliga tekniska och organisatoriska åtgärder för att säkerställa att invändningar och begäran om radering faktiskt fick genomslag, vilket innebar överträdelser av artiklarna 5.1 (e), 17 och 24 GDPR.
Mot denna bakgrund förklarade Garante behandlingen olaglig och ålade Geturhotels en sanktionsavgift om 6 000 euro, med hänvisning till överträdelsernas varaktighet och bolagets ansvarsnivå, men även med beaktande av att ärendet avsåg ett enskilt fall och begränsade personuppgifter.