Sanktionsavgift om 13 miljoner kronor för profilering av kunder utan samtycke

Den svenska Integritetsskyddsmyndigheten (”IMY”) meddelade den 27 juni 2023 beslut i ett tillsynsärende mot Bonnier News AB (”Bonnier”) efter en granskning av hur Bonnier samlade in och hanterade personuppgifter i syfte att använda dessa för marknadsföring. Granskningen resulterade i en administrativ sanktionsavgift om 13 miljoner kronor. Bonnier har överklagat sanktionsbeslutet till förvaltningsrätten.

Bolag inom Bonnierkoncernen samlade in personuppgifter från kunder och personer som besökte bolagens webbplatser. De insamlade uppgifterna överfördes sedan till koncerngemensamma databaser där profiler skapades om enskilda personer. Datan användes sedan för riktad annonsering online, marknadsföring via fysisk post och telefonförsäljning. Uppgifterna som samlades in innefattade bland annat köpinformation från olika företag inom koncernen samt analyser av internetanvändares beteenden på företagens webbplatser. I vissa fall kombinerades denna information även med externa personuppgifter såsom kundens kön, hushållets bilägande, postnummer och ytterligare statistik baserat på individens bostadsområde. Denna statistik inkluderade aspekter som livsfas, köpkraft och boendesituation. Bonnier behandlade uppgifterna med stöd av den rättsliga grunden berättigat intresse i artikel 6.1. f) GDPR och menade att de hade ett berättigat intresse i att bl.a. förstå sina kunders önskemål och behov för att kunna uppnå relevans i innehåll och annonsering.

IMY framhöll inledningsvis att uppgifterna som användes för profilering ursprungligen samlades in genom webbkakor och att det samtyckeskrav som gäller för webbkakor enligt lag (2022:482) om elektronisk kommunikation ger ett starkt integritetsskydd för de registrerade. Integritetsskyddet riskerar att undermineras om de insamlade personuppgifterna i ett senare led kan behandlas med stöd av andra rättsliga grunder t.ex. berättigat intresse.

IMY uttalade även att profileringen i fråga var omfattande till sin karaktär och inte någonting som en registrerad kan förvänta sig utan att ha lämnat sitt samtycke. De registrerade kan inte heller förvänta sig att beteendedata samlas in i marknadsföringssyfte endast eftersom de besöker en webbsida, eller att datan kommer att sammanställas med information från andra köpsituationer och information från externa källor. Vid en sammantagen bedömning fann IMY därför att de registrerades integritetsintresse vägde tyngre än Bonniers marknadsföringsintresse. Profileringen krävde därför samtycke, och hade därmed skett i strid med GDPR.

Vid bestämmandet av sanktionsavgiftens storlek tog IMY bl.a. hänsyn till att profileringen i fråga hade varit omfattande till sin karaktär, pågått under lång tid och berört ett stort antal registrerade vilket motiverande en hög sanktionsavgift. IMY beaktade dock även att Bonnier hade vidtagit omfattande åtgärder i form av satta lagringsfrister, att uppgifter inte registrerades på produktnivå och att inte fler uppgifter än nödvändigt lämnades ut till anslutna bolag för att begränsa intrånget i de registrerades personliga integritet. Detta gjorde att överträdelsernas allvarlighetsgrad minskades i betydande mån. Beslutet fattades i samarbete med övriga dataskyddsmyndigheter i EU eftersom Bonnier har användare i flera länder.

Tillsynsärendet visar på det starka integritetsskydd som de registrerade har vid beteendeprofilering. Av intresse är även den koppling som görs till att uppgifterna i fråga ursprungligen samlades in genom webbcookies med stöd av samtycke.

Reprimand för otillräckligt skydd av personuppgifter på lärplattform

IMY inledde den 18 oktober 2022 ett tillsynsärende mot lärplattformsbolaget Vklass AB (”Vklass”) mot bakgrund av flera anmälningar om personuppgiftsincidenter. Anmälningarna hade inkommit från före detta samt befintliga kunder, vilka utgjordes av aktörer inom skol- och utbildningsverksamhet.

En elev som använde lärplattformen lyckades komma åt personuppgifter och ladda ner dem till en egen databas, för att sedan publicera dem online. Detta möjliggjordes genom att systemövervakning avseende anrop mot lärplattformens adressböcker saknades. Vklass hade på grund av detta ingen möjlighet att upptäcka vare sig incidenterna eller vilka som hade drabbats.

IMY konstaterade att Vklass hade behandlat personuppgifter i strid med GDPR, genom att inte i adekvat utsträckning skydda personuppgifterna genom lämpliga tekniska och organisatoriska säkerhetsåtgärder. Lärplattformen innehöll även personuppgifter tillhörande barn, vilka är särskilt skyddsvärda enligt GDPR. Dock hade Vklass agerat snabbt så snart incidenten uppdagats, samt därefter vidtagit säkerhetsåtgärder. IMY gjorde därför bedömningen att förseelserna var att betrakta som en mindre överträdelse och tilldelade Vklass en reprimand.

Av särskilt intresse i tillsynsärendet är att Vklass är personuppgiftsbiträde i relation till sina kunder. Beslutet påvisar att både den person­upp­giftsansvariga och personuppgiftsbiträdet har ett ansvar för att säkerställa att personuppgifterna hanteras och skyddas på ett korrekt sätt.