Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 50 000 euro mot Trasporto Passeggeri Emilia-Romagna S.p.A. (TPER) för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att kollektivtrafikföretaget TPER samlat in ett ogiltigt samtycke i sitt tryckta formulär för prenumeration av säsongsbiljetter. I formuläret gjordes ingen åtskillnad mellan obligatoriska och frivilliga uppgifter, såsom mobiltelefonnummer och e-postadress, och användarna informerades inte tydligt om sin rätt att invända mot behandling för direktmarknadsföringsändamål. Formuläret togs i bruk sedan den 1 juli 2016 och används fortfarande.
Garante konstaterade att TPER:s informationsmeddelande om behandlingen av personuppgifter inte innehöll flera uppgifter som krävs enligt artikel 13.1 GDPR. Detta omfattade kontaktuppgifter till dataskyddsombudet, den rättsliga grunden för behandlingen, möjliga mottagare av personuppgifter, lagringstid för uppgifterna, berörda parters rättigheter, rätten att när som helst återkalla sitt samtycke och rätten att lämna in ett klagomål till en dataskyddsmyndighet. Garante konstaterade också att den information som lämnats var mycket allmänt hållen eftersom den inte klargjorde de faktiska omständigheter under vilka de registrerade kunde ta emot direktmarknadsföring. Garante konstaterade därför att TPER brutit mot artiklarna 5.1 (a), 7.3, 12.1, 13 och 21.4 GDPR.
Vidare konstaterade Garante att TPER samlade in och behandlade personuppgifter om den registrerade för direktmarknadsföring och för att skicka sms om tjänstens status. Garante bedömde att detta samtycke varken var fritt, specifikt eller tillräckligt informerat Med hänsyn till detta konstaterade Garante att det förelåg en överträdelse av principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR, samt kraven på samtycke enligt artiklarna 6.1 (a) och 7 GDPR.
Slutligen konstaterade Garante att den lagringstid på tio år som TPER angett inte var proportionerlig, varpå myndigheten konstaterade en överträdelse av principen om lagringsminimering enligt artikel 5.1 (e) GDPR. Garante förelade därför TPER att följa dess riktlinjer om en lagringstid på 24 månader för marknadsföringsändamål och 12 månader för uppgifter som rör profilering.