En användare av ett bolags tjänster bad att få sina kortuppgifter raderade. Bolaget hade efter en intressebedömning rätt att fortsätta behandla kortuppgifterna. Bolaget hade däremot i sin kommunikation med användaren inte tillräckligt motiverat sina svar eller informerat om vart användaren kunde klaga vid missnöje. Integritetsskyddsmyndigheten beslutade efter tillsyn enligt dataskyddsförordningen (GDPR) att meddela bolaget en officiell tillrättavisning.
En tidigare användare av en betalningsprenumeration av musikstreamingtjänster har flera gånger begärt att få sina kortuppgifter raderade. Detta för att kunna registrera kortet för en gratis provperiod av tjänsten åt sin son. Bolaget själva behandlade inte kortuppgifterna, utan det externa betalningsföretaget som användaren registrerat sina uppgifter hos. Bolaget behandlar endast identifikationsinstrument för betalkort som används vid registrering av kostnadsfria provperioder för att identifiera om ett kort redan använts.
Kortuppgifter är personuppgifter enligt dataskyddsförordningen (GDPR) och därför ska den registrerade ha rätt att få sina personuppgifter raderade av den personuppgiftsansvarige. Det gäller dock inte om den personuppgiftsansvarige kan visa berättigade skäl för behandlingen som väger tyngre än den registrerades intressen.
Integritetsskyddsmyndigheten (IMY) anser att bolaget har ett berättigat intresse med personuppgiftsbehandlingen för att motverka bedrägerier avseende kostnadsfria provperioder. Därutöver var uppgifterna minimerade och behandlingen nödvändig för att motverka bedrägerier. Enligt IMY kan en användare förvänta sig sådan personuppgiftsbehandling och uppgifterna är inte särskilt integritetskänsliga. Av den anledningen väger bolagets intresse, att motverka bedrägerier, tyngre än användarens intresse att använda kortuppgifterna igen för en gratis provperiod. Bolaget har därför haft rätt att fortsätta behandla uppgifterna och klaganden har därmed inte rätt till radering enligt GDPR.
Kommunikationen från bolaget till användaren kritiserar dock IMY. Bolaget har i sina svar inte informerat om rättslig grund för behandlingen, intresseavvägning eller möjligheten att klaga till tillsynsmyndigheter. Enligt bolaget har användaren fått information om detta genom bolagets integritetspolicy. Att bolaget hänvisat till sin integritetspolicy är inte tillräckligt enligt IMY, eftersom det handlar om ett individualiserat beslut. Med bakgrund av detta har bolaget behandlat personuppgifter i strid med GDPR och IMY ger bolaget en reprimand, en officiell tillrättavisning.
__________________________________
Författare: Stephanie Ohlsson, Allt om Juridik
Källa: Blendow Lexnova
Foto: Linus Sundahl-Djerf / SvD / TT