Geen DPIA bij profiling
De Italiaanse gegevensbeschermingsautoriteit legde La Rinascente een boete op van €300.000 voor het niet garanderen van een veilige verwerking van persoonsgegevens, voor het niet uitvoeren van een DPIA voordat er profielen van klanten werden opgesteld en voor het niet adequaat informeren over de bewaartermijn van gegevens.
Wat was het geval?
De betrokkene was een klant van de winkel La Rinascente, de verantwoordelijke voor de verwerking, en had een klantenkaart, de "Rinascentecard". In juli 2021 bezocht ze een winkel en had ruzie met een medewerker. Later diezelfde dag ontving ze een e-mail met de melding dat een nieuwe klantenkaart met succes was geactiveerd. Op de nieuwe kaart, die ze nooit had aangevraagd, werden haar persoonlijke gegevens gewijzigd en haar naam werd veranderd in "Donzella Svampita" (ongeveer "Domme Dame"). Toen nam ze contact op met de Klantenservice, die haar vertelde dat de Rinascentecard, die jaren geleden geactiveerd was, geannuleerd was en vervangen door de nieuwe kaart, met de nieuwe naam zoals hierboven aangegeven. Ze voelde zich beledigd en diende een klacht in bij de Italiaanse gegevensbeschermingsautoriteit. De gegevensbeschermingsautoriteit vroeg eerst om informatie van de verantwoordelijke voor de verwerking over de mogelijke inbreuk op de gegevens. Later besloot ze de feiten verder te onderzoeken en een inspectie ter plaatse uit te voeren.
Tijdens deze inspectie stelde de Italiaanse gegevensbeschermingsautoriteit andere kwesties vast, namelijk: a) het gebrek aan informatie over de overdracht van persoonsgegevens van websitebezoekers aan Facebook-Meta voor reclame- en profileringsdoeleinden; b) het gebrek aan een DPIA voorafgaand aan profileringsactiviteiten; c) het gebrek aan informatie over de opslagperiode van persoonsgegevens van klanten die zijn geregistreerd in het loyaliteitsprogramma.
Over het ontbreken van een DPIA, verklaarde La Rinascente dat zijn marketingactiviteiten werden uitgevoerd op basis van onbewerkte en onverwerkte gegevens, zonder deductieve of inferentiële analyse van gedrag of identificatie van correlaties met betrekking tot algemene gedragsclusters. Volgens haar was een DPIA in deze context niet vereist.
De gegevensbeschermingsautoriteit stelde echter vast dat de verwerkingsverantwoordelijke wel profileringsactiviteiten uitvoerde omdat, zoals beschreven in haar memorandum, deze activiteiten bestaan uit "het beoordelen van consumptiegewoonten en het uitvoeren van marktanalyses en onderzoek om haar commerciële aanbiedingen te verbeteren en klanten promoties en uitnodigingen te sturen die zijn afgestemd op hun voorkeuren". De gegevensbeschermingsautoriteit herinnerde eraan dat als twee of meer van de criteria van de EDPB-richtsnoeren voor DPIA aanwezig zijn, de verantwoordelijke voor de verwerking de beoordeling moet uitvoeren. In het onderhavige geval constateerde de DPA dat twee van deze criteria aanwezig waren, namelijk: de analyse van consumentengedrag voor profilering en de grootschalige verwerking van persoonsgegevens. Daarom oordeelde het gegevensbeschermingsautoriteit dat de verwerkingsverantwoordelijke een DPIA had moeten uitvoeren, wat niet is gebeurd. Om deze reden constateerde de gegevensbeschermingsautoriteit een schending van artikel 35, lid 1 AVG.
Klik hier voor meer informatie