Lexnova Nyheter

Sveriges största juridiska nyhetstjänst – bevakning av rättsfall, lagstiftning och förarbeten inom alla rättsområden och instanser.

Miljonavgift för Bonnier News på grund av bristfällig personuppgiftshantering

Bonnier News, som bland annat ligger bakom titlarna Dagens Nyheter och Expressen, måste betala en sanktionsavgift på 13 miljoner kronor, beslutar Integritetsskyddsmyndigheten. Bolagets personuppgiftsbehandling, där användarens surfbeteende kopplas ihop med en kunddatabas, har inte kunnat ske med intresseavvägning som rättslig grund.

Det var efter att Integritetsskyddsmyndigheten, IMY, uppmärksammade att Bonnier News AB och andra bolag inom Bonnierkoncernen behandlar personuppgifter för marknadsföringsändamål med stöd av en intresseavvägning som myndigheten inledde sin granskning av bolaget.

IMY beskriver det personuppgiftssamarbete som sker inom koncernens 15 bolag enligt följande.

”De anslutna bolagen samlar in personuppgifter från sina kunder och personer som besöker bolagens webbplatser. De insamlade uppgifterna överförs till två koncerngemensamma databaser, en kunddatabas (KDB) och en beteendedatabas (beteendedatabasen). I dessa databaser skapas profiler om enskilda personer. Till profilerna knyts även information hämtad från Bisnode Sverige AB.”

Personuppgifterna i beteendedatabasen behandlas i syfte att visa anpassat innehåll och anpassade annonser i koncernbolagens digitala tjänster, såsom Dagens Nyheter och Expressen. De uppgifter som samlas in från kunderna är bland annat den besökta sidans webbadress, kategori och innehållstagg. Även användarens enhetstyp, IP-adress och surfbeteende lagras. Efter 30 dagar gallras informationen.

I kunddatabasen lagras personuppgifterna i syfte att användas för koncernbolagens marknadsföring av egna produkter och tjänster genom fysisk post och telefonförsäljning. Uppgifter om kundens namn, adress, telefonnummer, personnummer, e-postadress liksom uppgifter kopplade till själva köpet samlas in. Uppgifter om e-postadress och personnummer görs inte tillgängliga för de övriga koncernbolagen, utan stannar hos det insamlande bolaget.

I de fall det är möjligt knyts uppgifter i beteendedatabasen och kunddatabasen samman, vilket innebär att användarens datorbeteende paras ihop med dennes adress- och köpuppgifter.

Enligt IMY står det klart att de kompletterade beteendeprofilerna, alltså beteendeprofiler som kopplas samman med kunddatabasen utgör personuppgiftsbehandling. Motsvarande bedömning görs beträffande de ”enkla” beteendeprofilerna, trots att de inte paras samman med en viss person. Denna behandling utgör profilering i dataskyddsförordningens mening.

Det krävs då att det finns en rättslig grund för behandlingen. Som framgår ovan har Bonnier News valt att stödja sig på en intresseavvägning för denna hantering – alltså att bolagets intressen väger tyngre än den registrerades och att behandlingen är nödvändig för marknadsföringen.

IMY finner att bolaget har ett berättigat intresse för behandlingen och att behandlingen är nödvändig för intresset. Myndigheten bedömer dock att den registrerades intresse väger tyngre än bolagets. I stället måste bolaget använda sig av kundernas samtycke. Bolaget har därför behandlat personuppgifter i strid med dataskyddsförordningen. Bolaget kan däremot använda intresseavvägning som rättsliga grund när det samkör olika personuppgifter som inte innefattar surfhistorik och använder dessa uppgifter för marknadsföringsutskick via post eller telefonförsäljning.

På grund av de konstaterade bristerna ska bolaget betala en administrativ sanktionsavgift på 13 miljoner kronor. Som förmildrande omständighet beaktar IMY att bolaget har vidtagit omfattande åtgärder för att begränsa intrånget.

Ladda ner dokument

Namn Storlek Ladda hem

DI-2019-11737.pdf

300 KB
Instans
Övriga instanser
Rättsområden
Compliance - konsumentskydd, Fri rörlighet, Förvaltningsrätt, Personuppgifter och integritet, Övrig europeisk rätt, Tillstånd och tillsyn