Det var efter att Integritetsskyddsmyndigheten, IMY, uppmärksammade att Bonnier News AB och andra bolag inom Bonnierkoncernen behandlar personuppgifter för marknadsföringsändamål med stöd av en intresseavvägning som myndigheten inledde sin granskning av bolaget.

IMY beskriver det personuppgiftssamarbete som sker inom koncernens 15 bolag enligt följande.

”De anslutna bolagen samlar in personuppgifter från sina kunder och personer som besöker bolagens webbplatser. De insamlade uppgifterna överförs till två koncerngemensamma databaser, en kunddatabas (KDB) och en beteendedatabas (beteendedatabasen). I dessa databaser skapas profiler om enskilda personer. Till profilerna knyts även information hämtad från Bisnode Sverige AB.”

Personuppgifterna i beteendedatabasen behandlas i syfte att visa anpassat innehåll och anpassade annonser i koncernbolagens digitala tjänster, såsom Dagens Nyheter och Expressen. De uppgifter som samlas in från kunderna är bland annat den besökta sidans webbadress, kategori och innehållstagg. Även användarens enhetstyp, IP-adress och surfbeteende lagras. Efter 30 dagar gallras informationen.

I kunddatabasen lagras personuppgifterna i syfte att användas för koncernbolagens marknadsföring av egna produkter och tjänster genom fysisk post och telefonförsäljning. Uppgifter om kundens namn, adress, telefonnummer, personnummer, e-postadress liksom uppgifter kopplade till själva köpet samlas in. Uppgifter om e-postadress och personnummer görs inte tillgängliga för de övriga koncernbolagen, utan stannar hos det insamlande bolaget.

I de fall det är möjligt knyts uppgifter i beteendedatabasen och kunddatabasen samman, vilket innebär att användarens datorbeteende paras ihop med dennes adress- och köpuppgifter.

Enligt IMY står det klart att de kompletterade beteendeprofilerna, alltså beteendeprofiler som kopplas samman med kunddatabasen utgör personuppgiftsbehandling. Motsvarande bedömning görs beträffande de ”enkla” beteendeprofilerna, trots att de inte paras samman med en viss person. Denna behandling utgör profilering i dataskyddsförordningens mening.

Det krävs då att det finns en rättslig grund för behandlingen. Som framgår ovan har Bonnier News valt att stödja sig på en intresseavvägning för denna hantering – alltså att bolagets intressen väger tyngre än den registrerades och att behandlingen är nödvändig för marknadsföringen.

IMY finner att bolaget har ett berättigat intresse för behandlingen och att behandlingen är nödvändig för intresset. Myndigheten bedömer dock att den registrerades intresse väger tyngre än bolagets. I stället måste bolaget använda sig av kundernas samtycke. Bolaget har därför behandlat personuppgifter i strid med dataskyddsförordningen. Bolaget kan däremot använda intresseavvägning som rättsliga grund när det samkör olika personuppgifter som inte innefattar surfhistorik och använder dessa uppgifter för marknadsföringsutskick via post eller telefonförsäljning.

På grund av de konstaterade bristerna ska bolaget betala en administrativ sanktionsavgift på 13 miljoner kronor. Som förmildrande omständighet beaktar IMY att bolaget har vidtagit omfattande åtgärder för att begränsa intrånget.