Datatilsynet kritiserer Matas: Datatilsynet var d. 4. oktober 2018 på varslet tilsynsbesøg hos Matas. Datatilsynet havde fokus på behandlingsgrundlag og persondatasikkerhed, hvilket medførte, at Datatilsynet har udtalt såvel kritik som alvorlig kritik af Matas.

Brugernes samtykke i forbindelse med kundeoprettelse i Club Matas

Datatilsynets alvorlige kritik af Matas vedrørte behandling af personoplysninger i strid med databeskyttelsesforordningens artikel 6, stk. 1. Kritikken bygger på en vurdering af, at der ikke foreligger et gyldigt samtykke til behandlingen af personoplysninger i forbindelse med oprettelse i Club Matas og direkte markedsføring.

Det følger af databeskyttelsesforordningen, at et samtykke skal være informeret, specifikt og frivilligt, før det kan betragtes som gyldigt.

I denne sag vurderede Datatilsynet, at samtykket ikke var frivilligt, fordi det ikke var muligt for brugerne at udvælge hvilke formål, de ønskede at give samtykke til behandling til.

Brugeren skulle således både give samtykke til behandling af personoplysninger i forbindelse med brugerens indmelding i Club Matas og til at modtage direkte markedsføring i et samlet samtykke.

Datatilsynet vurderede endvidere, at samtykket ikke var specifikt, fordi flere af behandlingsaktiviteterne i Matas’ samtykkeløsning ikke var beskrevet tilstrækkeligt klart.

Endelig vurderede Datatilsynet, at samtykkeløsningen ikke i tilstrækkelig grad sikrede, at samtykket var informeret, fordi samtykkeløsningen blandede oplysninger om behandling af personoplysninger sammen med Matas’ generelle vilkår. Datatilsynet udtalte, at al relevant information om behandlingen af personoplysninger vedr. samtykket bør fremgå direkte af samtykketeksten eller, at det alternativt bør fremgå klart af samtykketeksten, hvor den registrerede kan finde den nødvendige information.

Risikovurdering

Datatilsynet udtalte endvidere kritik af, at Matas har behandlet personoplysninger om medlemmerne af deres kundeklub Club Matas efter den såkaldte interesseafvejningsregel uden at kunne påvise, at behandlingen er sket under hensyntagen til de risici, som behandlingen udgør for de registreredes rettigheder og frihedsrettigheder i overensstemmelse med databeskyttelsesforordningens artikel 5, stk. 2, litra f.

Datatilsynets kritik af Matas’ behandling i perioden før 11. september 2018 bygger på en vurdering af, at Matas inden dette tidspunkt ikke har været i stand til at påvise, at virksomhedens behandling af personoplysninger skete under hensyntagen til de risici, som behandlingen udgjorde for de registreredes rettigheder og frihedsrettigheder, og at Matas ikke havde skriftlige risikovurderinger, men blot havde foretaget generelle overvejelser om overholdelsen af de databeskyttelsesretlige regler. Datatilsynet vurderede, at generelle overvejelser ikke levede op til kravet om at identificere risici for de registrerede.

Datatilsynets valg af sanktion

Datatilsynet udtaler i denne sag, at der ved valget af sanktion er lagt vægt på den meget lange sagsbehandlingstid, som skyldes Datatilsynets forhold.

Hvis du har spørgsmål til ovenstående eller ønsker at få set din virksomheds samtykkeerklæring igennem, er du velkommen til at kontakte CLEMENS persondata-eksperter.