Sanktionsavgifter från Integritetsskyddsmyndigheten

Integritetsskyddsmyndigheten (IMY) utför regelbundet granskningar av hanteringen av personuppgifter inom bolag. Det är av stor vikt att man som arbetsgivare eller arbetstagare är medveten om hur uppgifter lagras och hanteras inom verksamheten. Den senaste tiden har bland annat personuppgiftshanteringen inom Spotify och Bonnier News granskats. I det följande kommer besluten från IMY gentemot Spotify och Bonnier att sammanfattas.

Spotify

Av dataskyddsförordningen, GDPR, följer en rätt för enskilda personer att få reda på vilka personuppgifter en verksamhet hanterar om personen i fråga och få information om hur dessa uppgifter används.&

Vid IMYs granskning av Spotifys hantering av kunders rätt att få tillgång till sina personuppgifter, konstaterade myndigheten att bolaget lämnar ut de personuppgifter som bolaget behandlar när enskilde begär det, men menar att bolaget inte tillräckligt tydligt informerar om hur dessa uppgifter används av bolaget.

Enligt IMY bör det vara lätt för den som begär sina uppgifter att förstå exakt hur uppgifterna används av bolaget. Hur uppgifterna lagras bör även förklaras på den enskildes eget språk och inte endast på engelska. Syftet med detta är att den enskilde ska ha möjlighet att kontrollera om hanteringen av personuppgifterna är laglig.

IMY bedömde att bristerna med hänsyn till sammanhanget varit av låg allvarlighetsgrad. Spotify ansågs även ha vidtagit åtgärder i syfte att tillgodose kraven på enskildas rätt till tillgång. Dessa omständigheter var enligt IMY förmildrande. Till följd av att Spotifys information inte varit tillräckligt tydlig samt med hänsyn till de förmildrande omständigheterna utfärdade IMY en administrativ sanktionsavgift om 58 miljoner kronor. Det högsta maxbeloppet som IMY kan utfärda är 20 miljoner euro eller fyra procent av den globala årsomsättningen beroende på vilket belopp som är högst.

Bonnier

IMY har efter en granskning av hur Bonnier News samlat in och hanterat personuppgifter upptäckt brister. Bonnier News har samlat in personuppgifter för att använda dessa i samband med marknadsföring. Personuppgifterna hade samlats in från flertalet källor som därefter använts för riktad annonsering via internet, fysisk post och telefonförsäljning.

Uppgifter som samlats in har exempelvis gällt köp som gjorts inom Bonnier-koncernen samt vissa surfbeteenden. Dessa uppgifter har kompletterats med andra personuppgifter som köpts in utifrån. Sådana uppgifter har exempelvis gällt uppgifter om hushållets bilägande, kunders kön, postnummer samt statistiska uppgifter som baserats på det aktuella bostadsområdet och givit indikationer på personers köpkraft och livsfas.

Bonnier har uppgett att de baserat hanteringen av personuppgifter på en intresseavvägning mellan den registrerades intresse och den nödvändiga behandlingen för aktuell marknadsföring. IMY anser dock att de registrerade inte kan förvänta sig att all denna data samlas in vid exempelvis ett besökande av en webbsida. En sådan omfattande profilering som i aktuellt fall kräver enligt IMY samtycke och en intresseavvägning är således inte en tillräcklig rättslig grund för personuppgiftsbehandlingen.

En intresseavvägning kan dock, enligt IMY, användas som rättslig grund när bolaget samkör personuppgifter som inte innefattar surfhistorik och använder dessa uppgifter i marknadsföringssyfte.

Det faktum att bolaget har vidtagit olika åtgärder för att begränsa integritetsintrånget vägdes in vid IMYs bedömning. IMY utfärdade en sanktionsavgift om 13 miljoner kronor för bristerna.

Sammanfattningsvis

Både Spotify och Bonnier har användare i flera länder varför beslutet om sanktionsavgift fattats i samarbete med övriga dataskyddsmyndigheter i EU. Att observera är att både Spotify och Bonnier har överklagat IMYs beslut. Vi återkommer med en uppdatering när förvaltningsrätten avgjort målet.

Ovan beslut från IMY tydliggör vikten av en medveten hantering och lagring av personuppgifter för att uppfylla de förpliktelser som följer av GDPR.

Relaterade artiklar

Denna webbplats använder cookies

Cookies ("kakor") består av små textfiler. Dessa innehåller data som lagras på din enhet. För att kunna placera vissa typer av cookies behöver vi inhämta ditt samtycke. Vi på Alex AB (publ), orgnr. 559338-7698 använder oss av följande slags cookies. För att läsa mer om vilka cookies vi använder och lagringstid, klicka här för att komma till vår cookiepolicy.

Hantera dina cookieinställningar

Nödvändiga cookies

Nödvändiga cookies är cookies som måste placeras för att grundläggande funktioner på webbplatsen ska kunna fungera. Grundläggande funktioner är exempelvis cookies som behövs för att du ska kunna använda menyer och navigera på sajten.

Cookies för statistik

För att kunna veta hur du interagerar med webbplatsen placerar vi cookies för att föra statistik. Dessa cookies anonymiserar personuppgifter.

Cookies för annonsmätning

För att kunna erbjuda bättre service och upplevelse placerar vi cookies för att kunna anpassa marknadsföring till dig. Ett annat syfte med denna behandling är att kunna marknadsföra produkter eller tjänster till dig, ge anpassade erbjudanden eller marknadsföra och ge rekommendationer kring nya koncept utifrån vad du har köpt tidigare.

Cookies för personlig annonsmätning

För att kunna visa relevant reklam placerar vi cookies för att anpassa innehållet för dig

Cookies för anpassade annonser

För att visa relevanta och personliga annonser placerar vi cookies för att tillhandahålla unika erbjudanden som är skräddarsydda efter din användardata