Švedsko nadzorno tijelo (IMY) objavilo je svoju odluku br. DI-2019-11737, izdanu 26. lipnja 2023., u kojoj je izreklo kaznu od 13 milijuna SEK (približno 1,1 milijun eura) jednoj od vodećih švedskih medijskih kuća, Bonnier News AB, zbog kršenja Opće uredbe o zaštiti podataka (GDPR).
Bonnier je profilirao svoje klijente i web posjetitelje bez njihovog pristanka.
Nakon istrage, IMY je istaknuo da je Bonnier prikupljao osobne podatke iz baze podataka na razini cijele grupe u svrhe uspostave zajedničkog registra kupaca, provjere jesu li podaci točni i ažurni te stavljanja osobnih podataka na raspolaganje pridruženim tvrtkama za plasiranje vlastitih proizvoda i usluga pridruženih tvrtki. Konkretnije, IMY je pojasnio da su informacije prenesene u baze podataka o ponašanju prikupili Bonnierovi partneri putem kolačića postavljenih na korisničke terminale.
Sukladno tome, IMY je utvrdio da je Bonnier obrađivao osobne podatke za profiliranje subjekata i takve profile učinio dostupnima pridruženim tvrtkama za prikazivanje reklama, te dao podatke za kontakt kupaca pridruženim tvrtkama za potrebe telefonskog marketinga i izravnog marketinga. To uključuje, na primjer, informacije o kupnjama u različitim tvrtkama u Grupi i ponašanje tijekom „surfanja“, tj. kako su korisnici interneta „surfali“ na web stranicama tvrtki. U nekim slučajevima, ovi se podaci također kombiniraju s drugim osobnim podacima koji se kupuju izvana, kao što su informacije o spolu kupca, posjedovanju automobila u kućanstvu i poštanskom broju, kao i statističkim podacima na temelju područja prebivališta pojedinca, kao što je životni stil, kupovna moć i tip stambenog prostora.
Stoga je IMY utvrdio da je Bonnier prekršio članak 6. stavak 1. GDPR-a.
Bonnier je naveo da se oslanja na ravnotežu interesa za ovakvo rukovanje osobnim podacima, odnosno da je tvrtka procijenila da njeni interesi nadmašuju interese ispitanika i da je obrada nužna za marketing.
"Ispitanici ne mogu očekivati da se njihovi podaci o ponašanju prikupljaju u marketinške svrhe samo zato što posjećuju web stranicu. Niti mogu očekivati da se njihovi podaci o ponašanju kombiniraju s podacima iz druge zasebne kupnje ili podacima dobivenim iz drugih registara u svrhe kontaktiranja radi telefonske prodaje ili izravnog marketinga. Takvo opsežno profiliranje zahtijeva, prema procjeni IMY-a, privolu. Ravnoteža interesa ne može se koristiti kao pravna osnova za takvu obradu osobnih podataka, kaže Ulrika Bergström, IMY.
Međutim, Bonnier može koristiti ravnotežu interesa kao pravnu osnovu kada tvrtka kombinira različite osobne podatke koji ne uključuju povijest pregledavanja i koristi te informacije za marketinške poruke putem pošte ili telefonske prodaje. To je zato što je Grupa poduzela različite mjere osiguravanje prava na privatnost.
U svojoj procjeni visine kazne IMY je, između ostalog, uzeo u obzir da je tvrtka poduzela opsežne mjere za ograničavanje zadiranja u osobni integritet ispitanika.
Budući da Bonnier ima klijente u mnogim zemljama, ova odluka je donesena u suradnji s drugim nadzornim tijelima za zaštitu podataka u EU.
