Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 54 609 62 euro mot Problem Solving s.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante granskat företaget Problem Solving efter att ha fattat ett beslut mot operatören Vodafone Italia S.p.A. i november 2020. Problem Solving agerade som telesäljpartner till Vodafone och förvärvade listor med kontaktuppgifter från tredjepartsleverantörer för att vidareförmedla listorna till Vodafone. Avtalet mellan Vodafone och Problem Solving gällde utförande av utgående och inkommande samtalshanteringstjänster för att främja kommersiella kampanjer. I avtalet nämndes inte verksamheten att förvärva listor med kontaktuppgifter för Vodafones räkning.
Problem Solving förvärvade kontaktlistor med cirka 4 300 000 personuppgifter och förmedlade dem till Vodafone mellan 2019 och 2020. Listorna förvärvades från tredje part, Ad-Opera s.r.l. och BR Pharma s.r.l. Den ursprungliga leverantören av listorna var Ad-Opera s.r.l. som Problem Solving valde att under 2020 ersätta med BR Pharma s.r.l. Den senare ansågs mer lämpad för att höja kvalitetsnivån på Problem Solvings verksamhet.
Under granskningen hävdade Problem Solving att bolaget inte haft någon beslutsfattande roll när det gällde användningen av listor och att bolaget betraktade Vodafone som personuppgiftsansvarig. Problem Solving hävdade bland annat att bolaget laddade upp kontaktuppgifterna i systemet ”Vodafone Deduplica Liste” för att få en ”validering” från Vodafone och för att agera i enlighet med Vodafones instruktioner.
Garante konstaterade att företaget förvärvat cirka 4 300 000 personuppgifter från Ad-Opera och BR Pharma, som företaget sedan delat med Vodafone i syfte att genomföra reklamkampanjer. Garante ansåg att denna behandling skedde mellan oberoende personuppgiftsansvariga.
Garante inledde förfarandet mot Problem Solving den 11 mars 2022 och anklagade bolaget för flera överträdelser. För det första överträdelse av artikel 13 GDPR, genom att inte informera de registrerade som fanns med i Ad-Operas och Br Pharmas listor om delningen med Vodafone. För det andra, överträdelse av artiklarna 5.1 (a), 6 och 7 GDPR för att ha lämnat ut de ovan nämnda uppgifterna utan de registrerades samtycke.
Garante konstaterade att Problem Solvings argument inte var tillräckliga för att utesluta ansvar. Garante hänvisade till myndighetens inledande granskning 2020 där de konstaterade att bolaget agerat som en oberoende personuppgiftsansvarig vid behandlingen av personuppgifter i samband med förvärvet av listor från tredje part (listleverantörer).
Garante konstaterade därför att Problem Solving har en dubbel verksamhet. Den första verksamheten består av förvärv av listor från tredjepartsleverantörer, där Garante betraktade Problem Solving som en oberoende personuppgiftsansvarig. Den andra verksamheten ansågs vara av typiskt reklambaserad karaktär och bestod i att kontakta de personer som fanns med i de förvärvade kontaktlistorna (och som godkänts av Vodafone) för att marknadsföra Vodafones tjänster, varvid Garante betraktade Problem Solving som ett personuppgiftsbiträde till Vodafone. Garante noterade också att det i avtalet mellan Problem Solving och Ad-Opera inte nämndes att företaget köpte listorna för Vodafones räkning. Enligt Garante var dessutom föremålet för avtalet mellan Problem Solving och Br Pharma, tillhandahållandet av affärsrådgivningstjänster, vagt och odefinierat. Detta avslöjade att Problem Solving agerade som den första personen när det gällde att formalisera de ömsesidiga skyldigheterna med leverantörerna av listorna, och även utvidgade sitt eget verksamhetsområde, till förmån för sig självt och definitivt inte Vodafone. Därutöver konstaterade Garante att förfarandet med att ersätta den tidigare leverantören av förteckningen med den som kontrakterades 2020 visade att Problem Solving agerade på egen hand, på grundval av självständiga företagsbedömningar.
Mot bakgrund av ovanstående har Garante utfärdat en sanktionsavgift på 54 609 62 euro mot Problem Solving, vilket motsvarar 2 procent av bolagets omsättning, och förbjöd dessutom bolaget att vidare behandla uppgifterna från tredjepartsleverantörerna.
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och direktmarknadsföring. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.