Integritetsskyddsmyndigheten (IMY) konstaterar att Expressen Lifestyle AB har behandlat personuppgifter i strid med artikel 13.1 (c) dataskyddsförordningen (GDPR) genom att ange felaktig rättslig grund för behandlingen av de registrerades personuppgifter under maj 2018 fram till den 4 juni 2019. IMY ger Expressen Lifestyle en reprimand för överträdelsen.
Av beslutet framgår att IMY den 4 juni 2019 inlett en tillsyn mot Bonnier Magazine and Brands AB. Tillsynen var inte föranledd av något klagomål utan syftade till att granska om de samtycken som inhämtas för att uppfylla skyldigheten att ha en rättslig grund enligt artikel 6.1 GDPR levde upp till kraven i dataskyddsförordningen på frivillighet, information och tydlighet samt att den rättsliga grunden tydligt framgår. Bonnier Magazine and Brands AB hade vid tillsynens inledande en kryssruta på sin webbsida tillsammans med texten. ”Jag godkänner prenumerationsvillkoren. Därmed samtycker jag till personuppgiftsbehandling inom Bonnierkoncernen.”
I sitt yttrande till IMY har Bonnier Magazines and Brands uppgett att informationen i registreringsflödet i bolagets webbshop, Magasinshoppen, av misstag inte uppdaterats på samma vis som på övriga webbsidor. I och med dataskyddsförordningens ikraftträdande 2018 genomförde Bonnier Magazine and Brands AB ett omfattande arbete som bland annat innebar att bolaget omvärderade sin lagliga grund för behandling av personuppgifter. I stället för samtycke grundade Bonnier Magazine and Brands AB sin behandling av kunders personuppgifter huvudsakligen på de rättsliga grunderna i artikel 6.1 (b) GDPR, avtal, eller i artikel 6.1 (f) GDPR, berättigat intresse. I det normala registreringsflöde som användes på Bonnier Magazine and Brands AB:s webbsidor ombads kunden att godkänna prenumerationsvillkoren och bekräfta att hen har tagit del av Bonnier Magazine and Brands AB:s dataskyddspolicy. Bonnier Magazines and Brands AB har uppgett att man omedelbart när IMY inledde tillsynen vidtagit åtgärder för att uppdatera Magasinshoppen med korrekt information i registreringsflödet.
IMY anser att texten bredvid kryssrutan på bolagets webbsida ”Jag godkänner prenumerationsvillkoren. Därmed samtycker jag till personuppgiftsbehandling inom Bonnierkoncernen”, gett den registrerade intryck av att bolagets rättsliga grund för behandling av personuppgifter är samtycke enligt artikel 6.1. (a) GDPR. Den informationstext som fanns under länken med texten om prenumerationsvillkoren förstärkte detta ytterligare genom formuleringen ”Vid beställning samtycker du till att dina personuppgifter inklusive e-postadress, mobiltelefonnummer för samtal och sms-meddelanden och eventuella andra digitala adresser, får lagras och användas inom Bonnier för digitala tjänster, marknadsföring, samt för statistik- och analysändamål.”. Vidare lämnades på samma ställe information om villkoren för samtycke inklusive rätten att återkalla samtycket.
Bolaget har uppgett att bolaget inte grundar sin behandling av kunders personuppgifter på samtycke utan huvudsakligen på de rättsliga grunderna avtal eller berättigat intresse enligt artikel 6.1 (b) och (f) GDPR.
IMY konstaterar mot den bakgrunden att bolaget behandlat personuppgifter i strid med artikel 13.1 (c) GDPR genom att ange felaktig rättslig grund för behandlingen av registrerades personuppgifter. Den aktuella bristen har inte haft allvarliga konsekvenser vilket gör att IMY endast ger bolaget en reprimand.
Bonnier Magazines and Brands AB har genom fusion upplösts den 1 juni 2022 och gått upp i Expressen Lifestyle AB.