Ett företag raderade inte personuppgifter i tid och lämnade felaktig information om att de hade raderat uppgifterna när det inte hade skett. Enligt GDPR har registrerade rätt att få sina personuppgifter raderade vid begäran och det ska ske utan onödigt dröjsmål. Företaget ska besvara begäran och utföra raderingen inom en månad från och med att de mottagit begäran. Däremot har ett företag i vissa fall rätt att förlänga tidsfristen med ytterligare två (2) månader. Dessutom ska företaget informera den registrerade om den vidtagna åtgärden efter utförandet.
Raderade inte personuppgifter i tid och lämnade felaktig information i sitt svar
Klagomålet inkom till den spanska tillsynsmyndigheten, som överlämnade ärendet till den svenska. Detta har skett i enlighet med dataskyddsförordningens bestämmelser om samarbete vid behandling som är gränsöverskridande.
Den registrerade hade tagit bort sitt användarkonto till en tjänst och ville även få företaget att sluta skicka e-postmeddelelanden som inte var begärda. Därför bad den registrerade företaget ett flertal gånger att radera personuppgifterna och upphöra med att skicka meddelandena. Men företaget gjorde aldrig detta, trots att de varje gång bekräftade att de hade raderat uppgifterna och informerat att den registrerade inte skulle få fler meddelanden. Den registrerade hade även klickat på länken för att ”Avprenumerera” från e-postmeddelandena som fanns i varje utskick, men det fungerade inte heller.
Företaget raderade vissa av personuppgifterna vid begäran, men hanterade däremot inte meddelandet som en begäran att få personuppgifterna raderade enligt GDPR. Därför fortsatte företaget att skicka e-postmeddelanden efter att de mottagit begäran om att få personuppgifterna raderade. Det skedde inom en månad, vilket är inom ramen för tidsfristen. Däremot konstaterade tillsynsmyndigheten att det var en tydlig begäran om radering av personuppgifter enligt GDPG. Därmed har företaget brutit mot bestämmelsen i GDPR. Dessutom meddelade företaget individen i fråga att de hade raderat personuppgifterna när de inte hade gjort det. Detta utgjorde också en överträdelse mot bestämmelser i GDPR.
Förbättrat sina processer efter tillsynen
Efter tillsynen från Integritetsskyddsmyndigheten har företaget förbättrat sina processer. De har bland annat förstärkt sina rutiner för identifiering av GDPR-ärenden, när de mottar en begäran om radering. Dessutom har de bland annat utökat sin utbildning till kundtjänsten. Med andra ord har de vidtagit organisatoriska och tekniska åtgärder för att kunna hantera sådana ärenden i framtiden i enlighet med GDPR.
Konsekvensen för överträdelserna blev en reprimand. Tillsynsmyndigheten konstaterade att det var en fråga om mindre överträdelser. Dessutom har företaget vidtagit åtgärder för att förhindra liknande incidenter i framtiden.
