Danish Data Protection Agency

05/07/2024 | Press release | Distributed by Public on 05/07/2024 05:59

Kritik af Telmore A/S’ behandling af personoplysninger

Kritik af Telmore A/S' behandling af personoplysninger

Dato: 07-05-2024

Datatilsynet har truffet afgørelse i en sag, hvor en borger klagede over Telmore A/S' videregivelse af hans e-mailadresse til Meta Irland. Sagen har været behandlet i Datarådet.

Datatilsynet har modtaget en klage fra en borger, der har klaget over, at Telmore A/S har videregivet hans personoplysninger til Meta Irland. Klagen indeholdt navnlig fire klagepunkter:

  1. Telmores videregivelse af klagers personoplysninger til Meta Irland
  2. Telmores overførsel af klagers personoplysninger til USA
  3. Telmores mangelfulde iagttagelse af sin oplysningspligt
  4. Telmores mangelfulde svar på klagers anmodning om indsigt

Videregivelsen skete ifølge Telmore med henblik på at undtage klager fra virksomhedens målrettede markedsføring på Facebook. Dette skete ved brug af Facebooks Custom Audience-værktøj, hvilket tillader virksomheder at skræddersy deres annoncer til specifikke brugergrupper. Værktøjet fungerer således, at virksomheden videregiver oplysninger - såsom e-mailadresser - om eksempelvis kunder, som sammenholdes med Meta Irlands egne oplysninger om brugere af Facebook. I sagen havde Telmore vurderet, at Meta Irland handlede som databehandler for virksomheden.

Datatilsynet udtaler kritik

I afgørelsen konkluderede Datatilsynet, at Telmores behandling af klagers personoplysninger ikke kunne ske med hjemmel i interesseafvejningsreglen - Datatilsynet valgte på den baggrund at udtale kritik. Derudover blev Telmores vurdering af rollefordelingen mellem virksomheden og Meta Irland tilsidesat af tilsynet, der fastslog, at der i sagen forelå fælles dataansvar. Datatilsynet fandt på den baggrund, at Telmore ikke havde fastlagt sit ansvar for overholdelse af forpligtelserne i databeskyttelsesforordningen som fælles dataansvarlig med Meta Irland. Datatilsynet valgte dog ikke at udtale kritik heraf, idet den manglende fastlæggelse af ansvar skyldtes, at Datatilsynet undtagelsesvist tilsidesatte Telmores vurdering af rollefordelingen.

Ingen yderligere undersøgelse

Datatilsynet konkluderede ydermere, at det ikke var hensigtsmæssigt at fortsætte undersøgelsen af sagens øvrige klagepunkter. Dette skyldtes, at det er en afgørende forudsætning for at kunne iagttage databeskyttelsesreglerne, at man korrekt identificerer sin egen rolle ved behandling af personoplysninger, herunder rollefordelingen med eventuelle samarbejdspartnere. Idet Datatilsynet tilsidesatte Telmores vurdering af denne grundlæggende forudsætning, ville en fortsat undersøgelse ikke give klager korrekte informationer om, hvordan oplysningerne blev behandlet. Datatilsynet lagde endvidere vægt på, at Telmore ikke længere delte klagers e-mailadresse med Meta Irland.

Datatilsynet indskærpede overfor Telmore, at såfremt virksomheden fortsat forventer at benytte Meta Irlands Custom Audience-værktøj, skal virksomheden sikre sig, at der foreligger en såkaldt ordning om fælles dataansvar, der fastlægger parternes respektive ansvar for overholdelsen af forpligtelserne i GDPR.

Vil du vide mere?

Læs hele afgørelsen her.

Læs også, hvordan du beskytter personoplysninger.