U studenom 2022. francusko nadzorno tijelo (CNIL) je obaviješteno o povredi podataka od strane Deezera. Tvrtka je izvijestila da su podaci njezinih korisnika objavljeni na dark webu i da je u to bio uključen njezin bivši izvršitelj, Mobius Solutions Ltd., čije su usluge koristili za provođenje personaliziranih reklamnih kampanja za svoje kupce.
U prosincu 2025. nadzorno tijelo je izreklo kaznu od milijun eura protiv tvrtke Mobius Solutions Ltd. Tvrtka je proglašena odgovornom za povredu podataka koja je utjecala na podatke 46 milijuna korisnika Deezera, koje je obrađivala u ime usluge streaminga glazbe. Iznos kazne određen je s obzirom na ozbiljnost povrede, broja ljudi pogođenih povredom podataka i promet Mobius Solutions Ltd.
Prema CNIL-u, Mobius je zadržao kopiju podataka koje je dostavio voditelj obrade, unatoč obvezi brisanja svih takvih podataka po prestanku suradnje. Iako je tvrtka izjavila da su tri zaposlenika kopirala podatke bez njezina znanja, nadzorno tijelo je i dalje smatralo Mobius odgovornim jer su podaci ostali pohranjeni nakon završetka ugovornog odnosa s Deezerom.
Nadzorno tijelo je utvrdilo da tvrtka nije ispunila svoju obvezu prema članku 28(3)(g) GDPR-a o brisanju podataka nakon završetka ugovora. Osim toga, tvrtka je kopirala i koristila podatke voditelja obrade bez ikakvih uputa, za vlastite svrhe, odnosno za poboljšanje svoje reklamne usluge. Također utvrđeno da ugovor nije sadržavao klauzulu kojom se dopušta takva obrada bez prethodnog odobrenja voditelja. Konačno, tvrtka nije vodila evidenciju aktivnosti obrade, čime je prekršila članak 30 GDPR-a.
Primjenjivost GDPR-a i nadležnost CNIL-a
Kako bi mogao sankcionirati Mobius Solutions Ltd. iako nije osnovan na teritoriju Europske unije, CNIL je utvrdio da obradu koju provodi u svojstvu izvršitelja obrade, a koja se sastoji od analize, segmentacije i pohrane korisničkih podataka Deezera, treba klasificirati kao praćenje ponašanja pojedinaca.
Mehanizam suradnje predviđen GDPR-om ne primjenjuje se u ovom slučaju, jer tvrtka nema poslovnicu na teritoriju države članice Europske unije. CNIL ima nadležnost provjeriti sukladnost postupaka obrade koje Mobius Solutions Ltd. provodi u ime Deezera na francuskom teritoriju.
Ova odluka nudi dvije važne lekcije. Prvo, brisanje podataka nije isto što i puko „uklanjanje“ iz produkcijskog okruženja. Čak i ako se podaci aktivno ne koriste, ova vrsta „brisanja“ neće biti dovoljna da se izbjegnu kazne. Drugo, izvršitelji često podcjenjuju da i oni mogu biti predmet istraga i kazni. Iako primarna odgovornost za obradu ostaje na voditelju, izvršitelji se i dalje mogu suočiti s odgovornošću, posebno za radnje poduzete izvan okvira ugovornog odnosa.
Voditelji obrade imaju veliku odgovornost prema izvršiteljima te je ključno redovno provoditi audite odabranih poslovnih partnera, a prije sklapanja ugovora o suradnji potrebno je provesti valorizaciju. Naravno, voditelji obrade moraju paziti na Ugovor o obradi i dijeljenju podataka.
