Integritetsskyddsmyndigheten (IMY) har utfärdat en reprimand mot Tovenco AB för överträdelse av artiklarna 5.2, 13.1 och 13.2 i dataskyddsförordningen (GDPR).
Av beslutet framgår bland annat att IMY inlett tillsyn mot Tovenco med anledning av ett klagomål. I klagomålet anför den klagande att Tovencs webbplats, www.tovenco.se, innehåller en så kallad Facebook-pixel som lagrar data på ett olagligt sätt och delar med sig av informationen till tredje part. Enligt klagomålet har klaganden inte fått information om behandlingen.
Tovenco har svarat att bolagets hantering av Facebook-pixeln på deras webbplats inte är olaglig. Tovenco har anlitat en extern mediebyrå med enda avsikt att marknadsföra bolagets produkter. Det är mediebyrån som har skött Tovencos hantering av sociala medier. Varken Tovenco eller mediebyrån har sparat personuppgifter. Tovenco har inte haft kännedom om att annonseringen av bolagets produkter, med användning av Facebooks tjänster, har skötts på ett felaktigt sätt. Tovenco har aldrig haft för avsikt att samla in den klagandes personuppgifter. Tovenco har därför inte haft någon rättslig grund för behandlingen enligt artikel 6.1 GDPR.
IMY har med utgångspunkt i klagomålet i ärendet endast granskat Tovencos agerande i det enskilda fallet och då avseende om bolaget har ansvarat för och kunnat visa att den aktuella behandlingen vilar på en rättslig grund och att bolaget har uppfyllt sin informationsskyldighet avseende behandlingen.
Efter utredning av ärendet finner IMY bland annat att:
- Klagandens IP-nummer avser klaganden, eftersom uppgiften, såsom en nätidentfierare i sig syftar till att identifiera en bestämd person och kan användas för att peka ut klaganden i en grupp, varför klagandens personuppgifter behandlats.
- Tovenco är personuppgiftsansvarig för insamlingen och överföringen av klagandens personuppgifter. Att bolaget, med eller utan avsikt, hållit sig omedveten om att den används som ett verktyg för att samla in och översända bland annat klagandens personuppgifter förändrar inte denna bedömning.
- Tovenco har behandlat personuppgifter i strid med artikel 5.2 GDPR genom att inte ha ansvarat för och kunnat visa att artikel 5.1 GDPR efterlevs avseende bolagets insamling och överföring av klagandens IP-adress till Facebook under februari och mars 2021.
- Tovenco har behandlat personuppgifter i strid med artikel 13.1 och 13.2 GDPR genom att inte när uppgifterna erhölls i samband med insamlingen och överföring av klagandens IP-adress till Facebook under februari och mars 2021 ha uppfyllt sin informationsskyldighet avseende behandlingen. Att bolaget inte varit medvetet om att klagandes personuppgifter har behandlats saknar betydelse för bolagets skyldighet att informera om behandlingen.
Vi val av ingripande konstaterar IMY följande relevanta omständigheter. Överträdelsen har drabbat en person. Tovenco har sett över sina rutiner och upphört med användningen av Facebook-pixeln. Tovenco har inte tidigare erhållit någon korrigerande åtgärd för överträdelse av dataskyddsbestämmelserna.
Enligt IMY är det är fråga om mindre överträdelser i den mening som avses i skäl 148 varför Tovenco ges en reprimand enligt artikel 58.2 (b) GDPR för de konstaterade överträdelserna.