Integritetsskyddsmyndigheten (IMY) har utfärdat en reprimand mot företaget Tronic Sverige för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade beställt en produkt från den tyska webbplatsen för Trionic, ett företag som bland annat säljer rullstolar. Enligt den registrerade skickade den personuppgiftsansvarige sedan en kopia av hans orderbekräftelse till domänleverantören för den registrerades e-postleverantör. Den registrerade meddelade den personuppgiftsansvarige sitt missnöje med detta förfarande. Den registrerade klagade också över att den personuppgiftsansvarige delade personuppgifter med ett annat företag, trots att detta inte nämndes i integritetspolicyn. Den registrerade avbeställde senare beställningen.
Den personuppgiftsansvarige klargjorde sina olika behandlingar och motsvarande rättsliga grunder. För det första misstänkte den personuppgiftsansvarige först att den registrerade angett en felaktig personlig e-postadress för denna beställning. När den personuppgiftsansvarige försökte kontakta den registrerade med det angivna telefonnumret fungerade inte detta. Det visade sig att den registrerade hade angett ett faxnummer i stället för ett telefonnummer. Eftersom det inte fanns något annat sätt att kontakta den registrerade beslutade den personuppgiftsansvarige att skicka orderbekräftelsen till e-postadressen ”info” i den registrerades e-postdomän. Förutom att den personuppgiftsansvarige hävdade att detta var det enda sättet att kontakta den registrerade, uppgav den personuppgiftsansvarige också att den var rättsligt skyldig att göra detta enligt artikel 5.1 (d) GDPR. Den personuppgiftsansvarige nämnde inte uttryckligen artikel 6.1 (c) GDPR, men nämnde att bolaget använde den rättsliga grunden rättslig förpliktelse.
För det andra tillät den personuppgiftsansvarige sina kunder att betala med faktura på den tyska marknaden. Den personuppgiftsansvarige hade dock tidigare upplevt att dessa fakturor inte betalades. För att förhindra att detta hände igen delade den personuppgiftsansvarige den registrerades personuppgifter med sitt personuppgiftsbiträde, som tillhandahöll bedrägerikontrolltjänster. Den personuppgiftsansvariges rättsliga grund för denna behandling var artikel 6.1 (f) GDPR, för den personuppgiftsansvariges berättigade intresse av att förhindra bedrägerier. Bolaget tillhandahöll också sin bedömning av varför dess intressen vägde tyngre än den registrerades intressen. Den personuppgiftsansvarige hänvisade dock bara till detta personuppgiftsbiträde i sin integritetspolicy som ”externa resurser”, utan någon ytterligare förklaring.
För det första, när det gäller avsändandet av e-postmeddelandet till info-adressen för den registrerades e-postdomän, erkände IMY att den personuppgiftsansvarige måste följa artikel 5.1 (d) GDPR. Denna bestämmelse tillät dock också endast behandling av personuppgifter som var strikt nödvändig. I detta fall ansåg IMY att det fanns mindre ingripande åtgärder som den personuppgiftsansvarige kunde ha vidtagit, till exempel att skicka ett fax till den registrerade, vilket varit möjligt. Behandlingen var därför inte nödvändig. IMY fastställde att artikel 6.1 (c) GDPR och ingen annan rättslig grund kunde användas för denna behandling. Den personuppgiftsansvarige bröt därför mot artikel 6.1 GDPR.
För det andra ansåg IMY att den personuppgiftsansvarige kunde åberopa artikel 6.1 (f) GDPR för att dela personuppgifter med sitt personuppgiftsbiträde i syfte att bekämpa bedrägerier. IMY bedömde följande tre kriterier för bedömningen av berättigat intresse. För det första noterade IMY att intresset av att förhindra bedrägerier var berättigat vid tidpunkten för behandlingen, med tanke på att det var ett faktiskt intresse och inte bara hypotetiskt. För det andra fastställde IMY att det också var nödvändigt för den personuppgiftsansvarige att dela dessa uppgifter med sitt personuppgiftsbiträde för att förhindra bedrägerier, eftersom den personuppgiftsansvarige inte kunde uppfylla detta syfte på ett lika effektivt sätt. Dessutom var utlämnandet av dessa uppgifter inte alltför omfattande eller integritetskänsligt. För det tredje fastställde IMY på grundval av flera faktorer att den registrerades intressen inte vägde tyngre än den personuppgiftsansvariges berättigade intressen. IMY ansåg att den personuppgiftsansvariges intresse av att förhindra bedrägerier vägde tungt eftersom den registrerades beställning betalades med ett kreditköp. Detta intresse måste jämföras med den registrerades intresse av att förhindra att hans uppgifter behandlas. IMY ansåg i detta avseende att den registrerade rimligen kunde förvänta sig att den personuppgiftsansvarige skulle behandla uppgifterna vid kreditköp mot faktura, trots de mindre bristerna i integritetspolicyN. IMY ansåg också att behandlingen inte verkade vara allvarligt integritetskränkande och att uppgifterna i sig inte var verkligt integritetskänsliga.
IMY konstaterade dock att det fanns en överträdelse av artikel 13.1 (e) GDPR eftersom personuppgiftsbiträdet endast nämndes i den personuppgiftsansvariges integritetspolicy som en av dess ”externa resurser” för bedrägeribekämpning. IMY ansåg att denna beskrivning inte var tillräckligt specifik. IMY fastställde att detta var en mindre överträdelse och utfärdade en reprimand enligt artikel 58.2 (b) GDPR.