Ett företag fick en reprimand för att inte ha uppfyllt informationskravet när en tidigare kund begärt att få kortuppgifter raderade. Företaget som bedriver en musiktjänst där kunderna betalar på prenumeration menar att det är ett annat företag som behandlar kortuppgifterna, eftersom kunden använt en tredje parts betaltjänst för att betala. Personen hade inlett en gratismånad och företaget krävde därför kortuppgifter för att starta den kostnadsfria prenumerationen, vilket personen inte gav direkt till företaget i fråga, utan gjorde det genom en tredje parts betaltjänst.
Reprimand för att inte ha uppfyllt informationskravet
Den klagande begärde att få sina kortuppgifter raderade, vilket är en rättighet enligt GDPR. Däremot menade företaget att de inte behandlade uppgifterna som begäran i fråga avsåg. Företaget menade att de använde intresseavvägning som rättslig grund för behandlingen. Därför menar företaget att tillbakadragande av samtycket inte gäller, då samtycke inte är den rättsliga grunden för behandlingen i fråga. Företaget anser att det är nödvändigt för att motverka bedrägeri, vilket utgör ett berättigat intresse. Dessutom har även allmänheten ett berättigat intresse för att förhindra bedrägeri.
Efter att den klagande begärde att få uppgifterna raderade, svarade företaget och berättade att de inte lagrar kortuppgifterna. Däremot informerade företaget inte om vilken rättslig grund de använde. Företaget anger att orsaken till detta var eftersom personen aldrig frågat efter det eller nämt GDPR vid förfrågan.
Tillsynsmyndigheten påpekade de tre villkor som måste vara uppfyllda för att kunna stödja en behandling på intresseavvägning som rättslig grund, enligt artikel 6.1 GDPR:
- Första villkoret: Den personuppgiftsansvarige eller en tredje part måsta ha ett berättigat intresse till behandlingen i fråga.
- Andra villkoret: Behandlingen måste vara nödvändig för ändamålet avseende det berättigade intresset.
- Tredje villkoret: Det berättigade intresset måste väga tyngre än den registrerades intressen eller grundläggande rättigheter och friheter.
Företaget uppfyllde alla ovan angivna tre krav enligt tillsynsmyndigheten (Integritetsskyddsmyndigheten). De hade ett berättigat intresse för att kunna motverka bedrägeri, det var nödvändigt i förhållande till ändamålet och det berättigade intresset hos företaget vägde tyngre. Med anledning av detta hade företaget rätt att fortsätta behandla personuppgifterna och därmed hade inte den registrerade rätt att få koruppgifterna i fråga raderade.
Företaget fick däremot en reprimand på grund av att de inte uppfyllt informationskravet i GDPR. Företaget informerade bland annat aldrig om vilket ändamål de hade med behandlingen och hänvisade till att den registrerade aldrig frågade om detta. Däremot ansåg tillsynsmyndigheten att personen var tydlig att det gällde kortuppgifterna och ändamålet de får bli behandlade för. Därför hade företaget inte uppfyllt informationskravet. Enligt tillsynsmyndigheten var det fråga om en mindre överträdelse och företaget har sagt att det var en engångsföreteelse.