Franska tillsynsmyndigheter har utfärdat en omfattande sanktionsavgift efter en långvarig integritetsutredning kopplad till Deezer-användardata. Böterna efter Deezer-dataläckan visar hur personuppgiftsbiträden förblir fullt ansvariga enligt GDPR, även efter att kommersiella relationer har avslutats. Myndigheterna konstaterade att ett reklambolag behöll och återanvände miljontals poster utan tillstånd, vilket avslöjade allvarliga brister i regelefterlevnaden.
Bakgrund till Deezer-incidenten
Fallet går tillbaka till en säkerhetsincident som påverkade Deezer-användare i mycket stor omfattning. Personuppgifter kopplade till tiotals miljoner konton exponerades efter bristfälliga rutiner för datahantering hos en extern tjänsteleverantör.
Trots att reklambolaget inte längre arbetade med Deezer fortsatte det att lagra användaruppgifter. Detta beslut ökade risken för obehörig åtkomst och bidrog i slutändan till dataexponeringen.
Tillsynsmyndigheterna slog fast att företaget borde ha raderat uppgifterna när avtalet upphörde. Att behålla dem saknade laglig grund och bröt mot grundläggande integritetsprinciper.
GDPR-överträdelser som identifierades av myndigheterna
Den franska dataskyddsmyndigheten identifierade flera brott mot GDPR-kraven under sin utredning.
Företaget behöll användardata långt efter att den inte längre behövdes. Detta stred mot principerna om dataminimering och lagringsbegränsning.
Utredarna fann även att bolaget återanvände uppgifterna internt. Det skedde utan tydliga instruktioner eller rättslig grund som stöd för behandlingen.
Dessutom misslyckades företaget med att föra korrekta register över sina personuppgiftsbehandlingar. Detta försvårade tillsynen och visade på bristande interna kontrollmekanismer.
Varför böterna på 1 miljon euro är viktiga
Böterna efter Deezer-dataläckan skickar en tydlig signal till personuppgiftsbiträden som verkar i Europa. Företag kan inte betrakta användardata som återanvändbara tillgångar när ett avtal upphör.
Myndigheterna tog hänsyn till datamängden och hur länge överträdelserna pågick. Miljontals användare förblev påverkade under en längre tidsperiod.
Tillsynsmyndigheten betonade också att personuppgiftsbiträden delar ansvar med personuppgiftsansvariga. Outsourcing minskar inte de rättsliga skyldigheterna enligt GDPR.
Bredare konsekvenser för databehandlingspraxis
Fallet förstärker tillsynsmyndigheternas ökande fokus på tredjepartsleverantörer. Företag förlitar sig allt oftare på externa aktörer, men ansvaret följer inte automatiskt med åtkomsten.
Organisationer måste säkerställa att samarbetspartner följer strikta rutiner för radering. De måste också regelbundet verifiera efterlevnaden i stället för att enbart förlita sig på avtalsvillkor.
Underlåtenhet att upprätthålla dessa skyddsåtgärder skapar långsiktiga juridiska och reputationsmässiga risker.
Slutsats
Böterna efter Deezer-dataläckan visar hur integritetsmyndigheter fortsätter att tillämpa GDPR med allt större precision. Att behålla och återanvända personuppgifter utan tillstånd utgör en allvarlig överträdelse, oavsett avsikt. För både personuppgiftsbiträden och personuppgiftsansvariga är strikta raderingsrutiner, dokumenterad behandling och kontinuerlig tillsyn inte längre valfria. De är avgörande för regelefterlevnad i dagens regulatoriska miljö.
0 svar till ”Deezer-dataläckan ger reklambolag böter på 1 miljon euro”