Integritetsskyddsmyndigheten (IMY) utför regelbundet granskningar av hanteringen av personuppgifter inom bolag. Det är av stor vikt att man som arbetsgivare eller arbetstagare är medveten om hur uppgifter lagras och hanteras inom verksamheten. Den senaste tiden har bland annat personuppgiftshanteringen inom Spotify och Bonnier News granskats. I det följande kommer besluten från IMY gentemot Spotify och Bonnier att sammanfattas.
Av dataskyddsförordningen, GDPR, följer en rätt för enskilda personer att få reda på vilka personuppgifter en verksamhet hanterar om personen i fråga och få information om hur dessa uppgifter används.&
Vid IMYs granskning av Spotifys hantering av kunders rätt att få tillgång till sina personuppgifter, konstaterade myndigheten att bolaget lämnar ut de personuppgifter som bolaget behandlar när enskilde begär det, men menar att bolaget inte tillräckligt tydligt informerar om hur dessa uppgifter används av bolaget.
Enligt IMY bör det vara lätt för den som begär sina uppgifter att förstå exakt hur uppgifterna används av bolaget. Hur uppgifterna lagras bör även förklaras på den enskildes eget språk och inte endast på engelska. Syftet med detta är att den enskilde ska ha möjlighet att kontrollera om hanteringen av personuppgifterna är laglig.
IMY bedömde att bristerna med hänsyn till sammanhanget varit av låg allvarlighetsgrad. Spotify ansågs även ha vidtagit åtgärder i syfte att tillgodose kraven på enskildas rätt till tillgång. Dessa omständigheter var enligt IMY förmildrande. Till följd av att Spotifys information inte varit tillräckligt tydlig samt med hänsyn till de förmildrande omständigheterna utfärdade IMY en administrativ sanktionsavgift om 58 miljoner kronor. Det högsta maxbeloppet som IMY kan utfärda är 20 miljoner euro eller fyra procent av den globala årsomsättningen beroende på vilket belopp som är högst.
IMY har efter en granskning av hur Bonnier News samlat in och hanterat personuppgifter upptäckt brister. Bonnier News har samlat in personuppgifter för att använda dessa i samband med marknadsföring. Personuppgifterna hade samlats in från flertalet källor som därefter använts för riktad annonsering via internet, fysisk post och telefonförsäljning.
Uppgifter som samlats in har exempelvis gällt köp som gjorts inom Bonnier-koncernen samt vissa surfbeteenden. Dessa uppgifter har kompletterats med andra personuppgifter som köpts in utifrån. Sådana uppgifter har exempelvis gällt uppgifter om hushållets bilägande, kunders kön, postnummer samt statistiska uppgifter som baserats på det aktuella bostadsområdet och givit indikationer på personers köpkraft och livsfas.
Bonnier har uppgett att de baserat hanteringen av personuppgifter på en intresseavvägning mellan den registrerades intresse och den nödvändiga behandlingen för aktuell marknadsföring. IMY anser dock att de registrerade inte kan förvänta sig att all denna data samlas in vid exempelvis ett besökande av en webbsida. En sådan omfattande profilering som i aktuellt fall kräver enligt IMY samtycke och en intresseavvägning är således inte en tillräcklig rättslig grund för personuppgiftsbehandlingen.
En intresseavvägning kan dock, enligt IMY, användas som rättslig grund när bolaget samkör personuppgifter som inte innefattar surfhistorik och använder dessa uppgifter i marknadsföringssyfte.
Det faktum att bolaget har vidtagit olika åtgärder för att begränsa integritetsintrånget vägdes in vid IMYs bedömning. IMY utfärdade en sanktionsavgift om 13 miljoner kronor för bristerna.
Både Spotify och Bonnier har användare i flera länder varför beslutet om sanktionsavgift fattats i samarbete med övriga dataskyddsmyndigheter i EU. Att observera är att både Spotify och Bonnier har överklagat IMYs beslut. Vi återkommer med en uppdatering när förvaltningsrätten avgjort målet.
Ovan beslut från IMY tydliggör vikten av en medveten hantering och lagring av personuppgifter för att uppfylla de förpliktelser som följer av GDPR.