Ärenden
Sambla
Uttalande 2024-04-17
Dnr 24-015
Anmälare:
En konsument
Motpart:
Sambla
Frågeställning:
Behandling av personuppgifter
NIX-nämndens beslut:
Ärendet lämnas utan åtgärd
Anmälarens uppgifter
Anmälaren har uppgett att Sambla ringt honom i marknadsföringssyfte trots att han begärt att hans personuppgifter ska raderas.
Företagets uppgifter
Sambla har uppgett att det stämmer att anmälaren kontaktat Sambla och då begärt att bli borttagen den 22 maj 2023. Samma dag återkopplade Sambla och bad anmälaren att återkomma med svar på ett antal kontrollfrågor då Sambla i förekommande ärenden behöver säkerställa anmälarens identitet. Anmälaren återkom aldrig till Sambla. Den 28 december 2023 kontaktade anmälaren Sambla återigen och bad om att bli borttagen.
Sambla informerade då anmälaren att Sambla inte kan radera anmälarens personuppgifter då anmälaren använt Samblas tjänst den 31 maj 2022 och Sambla då har en rättslig förpliktelse att spara kundkännedomsuppgifter i fem år i enlighet med penningtvättsdirektivet. Sambla vill också poängtera att rätten att bli raderad inte är en absolut rättighet och då Sambla har laglig grund att lagra uppgifter i enlighet med Artikel 6 GDPR är Samblas bedömning att anmälaren i den här situationen inte har rätt att bli borttagen. Sambla informerade dock anmälaren att Sambla kan avregistrera anmälaren från samtlig marknadsföring. Anmälaren avregistrerades omedelbart och har därefter inte kontaktats via telefon, mejl eller sms av Sambla. Sambla har vidare uppgett att anmälaren sedan 28 december 2023 är borttagen från Samblas marknadsföringskanaler.
NIX-nämndens bedömning
Behandling av personuppgifter
EU:s förordning om personuppgifter (GDPR) reglerar bland annat hur ett företag får behandla personuppgifter i sin verksamhet. Av artikel 5 framgår ett krav på att behandlingen av personuppgifter ska vara laglig. Artikel 6 räknar upp på vilka grunder en verksamhet kan behandla personuppgifter.
Om personuppgifterna behandlas för direkt marknadsföring har den registrerade enligt artikel 21.2 rätt att när som helst invända mot behandling av personuppgifter som behandlas i sådant syfte. Enligt artikel 21.3 ska personuppgifterna inte längre behandlas för direkt marknadsföring om den registrerade invänder mot sådan behandling. Enligt artikel 17.1 c har den personuppgiftsansvarige en skyldighet att utan onödigt dröjsmål radera den registrerades personuppgifter om den registrerade invänder mot behandlingen i enlighet med artikel 21.2. Det sistnämnda gäller dock inte i den utsträckning personuppgifterna behandlas för något annat ändamål. Rätten att bli raderad innebär alltså inte att alla uppgifter omedelbart måste raderas.
I ärendet är det ostridigt att anmälaren kontaktat Sambla för att begära att få sina personuppgifter raderade. Vid det första tillfället har anmälaren enligt Samblas uppgifter inte fullgjort sin identifiering och därav har inte Sambla kunnat ta bort anmälarens uppgifter. NIX-nämnden anser det rimligt att Sambla begärt någon typ av identifiering av konsumenten men poängterar att GDPR uppger att viss identifikation kan begäras men att denna inte får göra borttagande orimligt svårtillgängligt för konsumenten.
I övrigt har inte framkommit annat än att Samblas behandling av personuppgifter avsett ändamål som följer av tvingande lagstiftning och att det därmed inte föreligger en skyldighet att radera uppgifterna i fråga. Det kan förtydligas att uppgifterna, mot individens invändning, då inte även får användas för ändamålet marknadsföring.
Med detta uttalande är ärendet avslutat.
Detta uttalande har avgivits av nämndens sekreterare.
NIX-nämnden
Mattias Grundström, Sekreterare