Garante per la protezione dei dati personali (Garante) har utfärdat an sanktionsavgift på 150 000 euro mot Sigma s.r.l. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den italienska finanspolisen Guardia di Finanza startat en utredning efter ett klagomål från en Vodafone-kund som upptäckt att hennes avlidne makes namn användes för att debitera hennes kreditkort för ett nytt telefontjänstavtal. Sigma driver två försäljningsställen för Vodafone Italia i norra Italien och agerar som självständig personuppgiftsansvarig enligt ett franchiseavtal med Vodafone.
Utredningen visade att Sigma aktiverat cirka 1 300 SIM-kort och telefontjänster utan kundernas vetskap, genom att lura kunder att skriva under på en surfplatta utan att klargöra konsekvenserna. Sigma sålde mobiltelefoner och tjänster utan kundernas godkännande, och dessa levererades aldrig till kunderna. Kunderna upptäckte köpen genom oväntade avgifter på sina fakturor. Sigma hade även använt personuppgifter från Vodafones informationssystem utan tillåtelse.
Vodafone förklarade att Sigma, enligt deras franchiseavtal, är en återförsäljare med ansvar för personuppgifter relaterade till SIM-kort och telefontjänster. Sigma’s anställda var auktoriserade att identifiera kunder och göra kopior av deras id-kort vid aktivering av nya produkter, samt utföra datainmatning via datorer anslutna till Vodafones system. Genom att kringgå dessa regler och aktivera tjänster olagligt genererade Sigma intäkter över 80 000 euro.
Garante fastställde att Sigma kringgått relevanta bestämmelser och avtalet med Vodafone, och därmed blivit personuppgiftsansvarig för den olagliga behandlingen. Enligt artikel 28.10 GDPR anses ett personuppgiftsbiträde vara personuppgiftsansvarig om det bryter mot GDPR genom att fastställa ändamål och medel för behandlingen. Sigma behandlade kunduppgifter utan samtycke och debiterade dem för tjänster som inte begärts eller levererats, vilket bryter mot artikel 5.1 (a), 5.2 och artikel 13 GDPR.
Garante granskade franchiseavtalet, som specificerade regler för identifiering av personer vid aktivering av nya SIM-kort eller telefontjänster. Enligt Garantes yttrande från 2006 utses operatörer (som Vodafone) till personuppgiftsbiträden, men Sigma agerade självständigt och skulle därför uppfylla kraven i GDPR. Sigma bröt mot principen om laglighet och ansvarighet enligt artikel 5.1 (a) och 5.2 GDPR samt sitt ansvar som personuppgiftsansvarig enligt artiklarna 24.1 och 25.1 GDPR. Sigma saknade även rättslig grund för behandlingen enligt artikel 6 GDPR. Mot denna bakgrund beslutade Garante att utfärda en sanktionsavgift på 150 000 euro mot Sigma och förbjöd bolaget från vidare behandling av kunduppgifter.