Hoppa till innehåll

Påföljdsavgift för ett företag med anledning av direktmarknadsföring med robotsamtal utan samtycke

6.7.2021 9.59 | Publicerad på svenska 13.7.2021 kl. 10.54
Pressmeddelande

Påföljdskollegiet vid dataombudsmannens byrå har påfört en administrativ påföljdsavgift till ett tidskriftsförlag för dataskyddsbrott i anknytning till direktmarknadsföring. Förlagsföretaget har bedrivit direktmarknadsföring av en tidning med ett automatiserat samtalssystem, det vill säga med så kallade robotsamtal, utan samtycke av dem som tog emot samtalen. I robotsamtalen har det inte varit möjligt att förvissa sig om att den registrerade kan utöva sina dataskyddsrättigheter. Därtill har den personuppgiftsansvarige och det underleverantörsföretag som ringt direktmarknadsföringssamtal för dess räkning inte uppgjort det behandlingsavtal som dataskyddsförordningen förutsätter för genomförande av direktmarknadsföring.

Dataombudsmannens byrå har mottagit klagomål av fyra personer, i vilka de berättat att de i form av robotsamtal varit föremål för direktmarknadsföring av en tidning som den personuppgiftsansvarige ger ut. De som framfört klagomål har inte kunnat utöva rättigheterna för registrerade enligt dataskyddsförordningen, eftersom roboten till exempel inte förstått frågan om varifrån personuppgifterna om den registrerade fåtts.

Också Konkurrens- och konsumentverket har mottagit ungefär hundra motsvarande klagomål. Klagomålen redogör för att de personer som tagit emot samtal inte heller kunnat utöva sin rättighet till invändning mot behandling av personuppgifter för direktmarknadsföringsändamål.

Samtycket ska vara frivilligt och rättigheterna för registrerade ska kunna utövas

Den personuppgiftsansvarige har enligt egen utsago inhämtat samtycke till direktmarknadsföring bland annat i samband med tidningsprenumerationer på sin webbplats. En tidningsprenumerant måste ha godkänt prenumerations- och avtalsvillkoren, som har omfattat ett samtycke till direktmarknadsföring. Om samtycke till direktmarknadsföring inte getts, har en tidningsprenumeration inte kunnat göras.

Samtycket och inhämtandet av det har inte varit förenligt med dataskyddsförordningen, eftersom samtycke inte inhämtats direkt för direktmarknadsföringen, och det samtycke som inhämtats i samband med prenumerations- och avtalsvillkoren inte varit frivilligt. Därtill har det i villkoren inte på transparent sätt redogjorts på vilka sätt personuppgifter behandlas för direktmarknadsföring. Den personuppgiftsansvarige har inte heller sett till att de registrerade som tagit emot samtal kunnat utöva de rättigheter som hör till dem i samband med direktmarknadsföring.

Dataombudsmannen har i sitt beslut på permanent sätt förbjudit behandling av de personuppgifter som samlats med ovan nämnda samtycke för elektronisk direktmarknadsföring. Företaget har slutat ge ut tidningen i fråga.

Inget behandlingsavtal rörande personuppgifterna hade uppgjorts

Direktmarknadsföringssamtal för den personuppgiftsansvariges räkning har ringts av ett underleverantörsföretag. Underleverantören har då förfarit med en roll som personuppgiftsbiträde. Parterna hade dock inte uppgjort något avtal enligt dataskyddsförordningen, i vilket den personuppgiftsbehandling som personuppgiftsbiträdet utför för den personuppgiftsansvariges räkning fastställts.

Dataombudsmannen gav det företag som verkade som underleverantör en anmärkning med anledning av försummelsen av en skyldighet tillhörande ett personuppgiftsbiträde, eftersom underleverantörens affärsverksamhet baserat sig uttryckligen på direktmarknadsföring för olika huvudmäns räkning.

I påförandet av påföljdsavgiften beaktades den personuppgiftsansvariges ansvar för att uppgöra ett behandlingsavtal

Påföljdskollegiet påförde en administrativ påföljdsavgift på 8 500 euro för den personuppgiftsansvarige. Det som talade för påförande av en administrativ påföljdsavgift var i synnerhet överträdelsens allvar, art, längd och antalet registrerade och uppsåtet i gärningen.

Påföljdskollegiet ansåg att föreläggande av en bot för underleverantörsföretaget, sett till överträdelsens allvar, skulle vara effektivt och varnande, men inte proportionerligt. Huvudansvaret för uppgörandet av ett avtal om behandling av personuppgifter har dock innehafts av den personuppgiftsansvarige, eftersom det handlat om behandling av personuppgifter som sker för den personuppgiftsansvariges räkning. Därtill beaktade kollegiet i sin bedömning företagets omsättning och den konkursansökan som anhängiggjorts hos tingsrätten.

Besluten har ännu inte vunnit laga kraft och de kan överklagas hos förvaltningsdomstolen.

Påföljdskollegiets beslut i Finlex (på finska)

Mer information: 

dataombudsman Anu Talus, anu.talus(at)om.fi, tfn 029 566 6766

Bestämmelser om påföljdskollegiets beslutsfattande och de personuppgiftsansvarigas rättsskydd finns i den nationella dataskyddslagen. Påföljdskollegiet bildas av dataombudsmannen och två biträdande dataombudsmän. Kollegiet är behörigt att påföra administrativa påföljdsavgifter för brott mot dataskyddslagstiftningen. Påföljdsavgifternas maximala belopp får vara fyra procent av företagets omsättning eller 20 miljoner euro.

Tillbaka till toppen