Ärenden
Skandia
Uttalande 2022-05-23
Dnr 21-297
Anmälare:
En konsument
Motpart:
Skandia
Frågeställning:
Delning av personuppgifter till tredje part
NIX-nämndens beslut:
Skandia AB har agerat i strid med artikel 21.1 GDPR då Skandia har delat anmälarens personuppgifter till tredje part efter det att anmälaren har begärt att så inte ska ske
Anmälarens uppgifter
Anmälaren har uppgett att han begärt av Skandia den 18 november 2014 och 13 april 2021 samt 25 november 2021 att inte dela hans personuppgifter till tredje part. Anmälaren har uppgett att han trots denna begäran får e-postreklam från Visma till den e-postadress som anmälaren har knuten till Skandia. Anmälaren har till anmälan bifogat en kopia av e-postreklam från Visma skickat den 16 december 2021 som riktar erbjudanden till anmälaren.
Företagets uppgifter
Skandia har inledningsvis uppgett att e-postreklamen som anmälts har skickats till anmälaren i hans egenskap av företagsrepresentant och inte privatperson. Skandia har även uppgett att deras åsikt är att de uppgifter som delats inte utgör en personuppgift. Skandia har uppgett att den uppgift som har delats är e-postadressen, i vilken inte finns något personnamn. Skandia har hänvisat till artikel 4 i den allmänna dataskyddsförordningen (cit. GDPR) där en definition av termen personuppgift ges. Skandias uppfattning är att en fysisk person inte kan identifieras med den aktuella e-postadressen varpå den GDPR inte är tillämplig. Skandia har slutligen beklagat att anmälaren mottagit oönskad e-postreklam och har uppgett att e-postadressen inte kommer ta emot e-postreklam i framtiden.
NIX-nämndens bedömning
Enligt artikel 4 i den allmänna dataskyddsförordningen (cit. GDPR) definieras en personuppgift som varje upplysning som direkt eller indirekt kan identifiera en fysisk person. Enligt EU-domstolens praxis ska frågan om vad som utgör en personuppgift bedömas utifrån den personuppgiftsansvariges rimliga möjligheter att identifiera individen. Det innebär att en uppgift kan vara en personuppgift för en personuppgiftsansvarig men inte för en annan.
Det saknas enligt NIX-nämnden anledning att tro att Skandias behandling av e-postadressen skulle ske helt frikopplat från övriga kunduppgifter. Det förefaller tvärtom vara så att e-postadressen är en integrerad del av ett kund- eller prospektregister vilka innehåller sådana uppgifter som gör att Skandia kan identifiera den fysiska personen som är kopplad till e-postadressen. När omständigheterna är sådana att en e-postadress är registrerad tillsammans med andra kunduppgifter, vilka gör det möjligt att identifiera individen bakom, skall e-postadressen anses utgöra en personuppgift.
NIX-nämnden gör alltså bedömningen att Skandia har haft rimliga möjligheter att identifiera individen och att e-postadressen i förevarande fall därmed utgör en personuppgift. Skandias invändning lämnas därför utan bifall.
Rent generellt så krävs inte något uttryckligt samtycke för att dela personuppgift till tredje part men det omfattas av informationsskyldigheten i artiklarna 13 respektive 14.
Enligt artikel 5.1.a-b i den allmänna dataskyddsförordningen (cit. GDPR) ska behandling av personuppgifter ske på ett lagligt, korrekt och öppet sätt i förhållande till den registrerade. Uppgifterna får endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål och inte senare behandlas på ett sätt som är oförenligt med dessa ändamål. Artikel 6 uppger på vilka grunder behandling av personuppgifter kan vara laglig.
Enligt artikel 21 har den registrerade rätt att invända mot behandling av personuppgifter som grundas på berättigat intresse. Enligt artikel 18 har den registrerade, efter att ha lämnat en sådan invändning som avses i artikel 21, rätt att kräva en begränsning av behandlingen under tiden fram till dess att den personuppgiftsansvarige genomfört en ny intresseavvägning.
I förevarande fall har anmälaren har uppgett att han vid flera tillfällen har bett Skandia att inte dela hans personuppgifter. Skandia har bekräftat att de har delat anmälarens e-postadress till tredje part. Det får anses visat att Skandia har delat en uppgift efter det att anmälaren framställt invändning och krav på begränsning (dvs. att inte dela personuppgiften ifråga).
Det är oklart om Skandia genomfört och kommunicerat en ny intresseavvägning. Skulle så inte vara fallet är Skandia skyldigt att efterkomma begäran om begränsning.
Oaktat det så menar NIX-nämnden att företag i fall som dessa normalt ska följa önskemålet från individen dvs. att avstå delning till tredje part för dennes egen vidare behandling. Enligt art 21 får ett företag inte fortsätta att behandla för ändamålet marknadsföring efter en sådan invändning. Det kan då knappast finnas ett större utrymme såvitt avser delning av personuppgifter för tredje mans marknadsföring.
I det fall då delningen av personuppgifterna till tredje man görs för marknadsföringsändamål får utrymmet för en intresseavvägning med utfall till fördel för personuppgiftsbehandlaren således anses obefintligt.
Skandia har, genom att dela personuppgifter till tredje man för marknadsföringsändamål trots invändning mot detta, överträtt artikel 21.1 i GDPR.
Med detta uttalande är ärendet avslutat.
Detta uttalande har avgivits av ledamöterna Niklas Briselius, Magnus Sjögren, Tina Wahlroth, Eva-Marie Åkesson och Caroline Rudbeck.
Mattias Grundström, Sekreterare