25/04 2019
 

Känsliga uppgifter om gravida kvinnor och nyblivna mödrar spreds utan deras vetskap

 
 
Den brittiska dataskyddsmyndigheten (”ICO”) har i början av april utdömt böter ännu en gång – en av de största böterna hittills. Denna gång rör det sig om ett företag/en klubb (”Bounty”) som erbjuder appar och annat stöd till gravida kvinnor och nyblivna mödrar. 

Bakgrund

Kvinnorna erbjuds medlemskap hos Bounty antingen online eller offline, ibland direkt på ett sjukhus i samband med födseln. Det är frivilligt att ange e-postadress och telefonnummer men obligatoriskt med namn och postadress. Ingen information om hur personuppgifterna kommer att behandlas lämnas när man anmäler sig offline, men däremot online. Personer som anmält sig offline får i stället informationen i ett bekräftelsemail.

Den huvudsakliga anledningen till att Bounty granskades var att de upptäckts lämna ut sina medlemmars personuppgifter till tredje parter, i vissa fall utan att informera om det. ICO:s utredning fokuserade på 4 av totalt 39 tredje parter; under ett år lämnade Bounty ut information om drygt 14 miljoner individuella användare till dessa parter, och det rörde inte bara ordinära personuppgifter såsom namn utan även uppgifter såsom graviditetsstatus, datum för barnets födsel, barnets kön och huruvida medlemmen är ”förstagångsmamma”. De fyra stora parter som tog del av dessa uppgifter rörde sig inom branscherna marknadsföring och profilering, kreditupplysning och telekom. I sin integritetspolicy hade Bounty inledningsvis endast informerat om att de kunde komma att dela uppgifter med ”utvalda tredje parter” men så småningom uppdaterat med en lista över vilka tredje parter det rörde sig om.

ICO:s bedömning 

ICO menade att det inte var tillräckligt att skicka ut ett bekräftelsemail med en länk till integritetspolicyn till de som registrerat sig offline. De samtycken som samlades in under perioden innan de tredje parterna angavs explicit ansåg ICO inte heller skulle ses som giltiga, eftersom det inte rörde sig om specifika och informerade samtycken, och användarna kunde inte rimligen förvänta sig utlämnandet och den efterföljande behandlingen av deras personuppgifter. Individer som registrerar sig för medlemskap i en graviditets- och föräldraklubb kan inte rimligen förvänta sig att deras personuppgifter ska lämnas ut till kreditupplysnings-, marknadsförings- och profileringsföretag, varför Bounty inte hade någon berättigad anledning att agera som de gjorde. Bountys affärsmodell syntes vara motiverad av ekonomisk vinst.

Storleken på bötesbeloppet, vilket landade i 400 000 pund, grundade sig i följande faktorer:
  • Ett ”extraordinärt högt” antal påverkade individer.
  • Vissa individers uppgifter delades många gånger med många olika organisationer: 17 gånger under ett år ansåg ICO var oproportionerligt mycket.
  • Den olagliga behandlingen pågick under en lång tid (7 månader för online-registreringar, 11 månader för offline-registreringar).
  • De registrerade var särskilt utsatta: mödrar och deras små barn. Att dela barns födelsedatum och kön med tredje parter kan förenkla skapandet av en framtida marknadsföringsprofil av dessa barn, vilket innebär att barnet tidigt förlorat sin möjlighet att samtycka till sådan behandling.
  • De registrerade kunde inte rimligen förvänta sig den behandling som utförts, med tanke på medlemskapets natur och det faktum att de inte explicit informerades om utlämnandet.
  • De uppgifter som påverkades var känsliga.
  • De påverkade individerna förlorade kontrollen över sina personuppgifter.

Mer information

Vill du veta mer om reglerna kring informationsskyldigheten, utlämnande av personuppgifter eller andra dataskyddsfrågor? Kontakta oss på info@intechrity.se så hjälper vi dig.
 
Mer information om ICO:s granskning hittar du genom att klicka här.