Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift på 30 000 euro mot ett företag för bristande konfidentialitet vid marknadsföring via WhatsApp i strid med dataskyddsförordningen (GDPR).
Bakgrund
Av beslutet framgår att AEPD tagit emot två klagomål mot ett bolag som driver en medicinsk klinik i Spanien med inriktning på estetiska ingrepp. De registrerade gjorde gällande att bolaget hade skapat en WhatsApp-grupp i marknadsföringssyfte med hjälp av ett företagsanknutet telefonnummer.
Cirka 90 kunder, däribland klagandena, hade lagts till i gruppen utan att ha lämnat sitt samtycke. Samtliga deltagare kunde ta del av övriga medlemmars telefonnummer och i vissa fall även deras namn. Efter att klagandena uppmärksammat förhållandet lämnade bolagets representant gruppen, som därefter förblev öppen.
Myndighetens bedömning
AEPD ansåg att bolaget inte hade bedömt riskerna med att använda en gruppchattplattform där deltagarna kunde se varandras personuppgifter, och inte heller hade infört lämpliga tekniska eller organisatoriska skyddsåtgärder för att förhindra obehörig åtkomst. Myndigheten underströk att redan uppgiften om att en person är eller har varit kund hos en kosmetisk klinik kan utgöra en hälsouppgift och därmed en särskild kategori av personuppgifter.
Mot denna bakgrund konstaterade AEPD att bolaget hade åsidosatt principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR. Bristerna bedömdes även innebära ett åsidosättande av det ansvar och den omsorgsplikt som följer av ansvarsskyldigheten enligt artikel 5.2 GDPR.
AEPD konstaterade även att bolaget kunde ha rättslig grund för behandling av kunduppgifter för att fullgöra avtal och för marknadsföringsändamål enligt artiklarna 6.1 (b) och 6.1 (f) GDPR. Detta befriade dock inte bolaget från skyldigheten att säkerställa att behandlingen skedde med iakttagande av konfidentialitet.
Praktiska konsekvenser
Beslutet illustrerar de dataskyddsrättsliga riskerna med att använda gruppchattar eller liknande digitala kommunikationsverktyg i marknadsföringssyfte. Organisationer behöver säkerställa att personuppgifter inte exponeras för andra mottagare utan rättslig grund samt att lämpliga tekniska och organisatoriska skyddsåtgärder finns på plats.
Relaterad expertis
TechLaw ger löpande juridisk rådgivning i frågor som rör personuppgiftsbehandling och dataskydd i teknikintensiva verksamheter. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur GDPR bör tolkas eller tillämpas i er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.