Ett företag underlättade inte utövandet av den registrerades rättigheter. Företaget fick därför en reprimand eftersom att de bland annat inte:
- gav den registrerade tillgång till dennes personuppgifter utan onödigt dröjsmål,
- rättade adressen efter begäran från den registrerade utan onödigt dröjsmål, och
- underlättade processen att rätta de felaktiga personuppgifterna.
Istället bad företaget den registrerade personen i fråga att skapa ett nytt konto.
Företaget underlättade inte utövandet av den registrerades rättigheter
Den klagande bad företaget att ändra hemadressen som denne registrerat i musiktjänsten i fråga, vilket företaget inte kunde göra. Kundtjänsten berättade att det inte är möjligt, och att personen själv måste skapa ett nytt konto. Företaget har berättat att det inte gick att utföra ändringen på grund av tekniska orsaker. Däremot har företaget utvecklat en ny version av det så kallade familjekontot som den klagande hade. På den nya versionen är det möjligt för användarna att redigera sin adress, till skillnad från den gamla versionen.
Tillsynen i ärendet blev utförd av den svenska tillsynsmyndigheten, Integritetsskyddsmyndigheten (IMY). Däremot hade den registrerade lämnat in klagomålet till tillsynsmyndigheten i Tyskland, som i sin tur överlämnade ärendet till Sverige. Överlämningen blev utförd i enlighet med dataskyddsförordningens bestämmelser om samarbete vid behandling av personuppgifterna som är gränsöverskridande.
Företaget behandlade personuppgifter i strid mot följande artiklar i GDPR (dataskyddsförordningen):
Gav inte tillgång till den klagandes personuppgifter utan onödigt dröjsmål (Artiklarna 12.3 och 15 GDPR)
Det framgår i artikel 12.3 GDPR att företaget ska vidta åtgärder senast en månad efter den personuppgiftsansvarige mottagit begäran från den registrerade. Dessutom kan personuppgiftsansvariga under vissa särskilda omständigheter förlänga tidsfristen ytterligare två månader. Företaget i fråga gav inte tillgång till den klagandes personuppgifter utan onödigt dröjsmål och bröt därför mot artikeln.
I artikel 15 GDPR framgår det en registrerad har rätt att få veta om personuppgifter blir behandlade (rätten till tillgång till information). Därefter ska den personuppgiftsansvarige överlämna kompletterande information. Dessutom ska den personuppgiftsansvarige överlämna en kopia av personuppgifterna som blir behandlade enligt artikel 15.3 GDPR.
Enligt bedömningen från tillsynsmyndigheten, var det inte tillräckligt med att hänvisa till en online-tjänst som bolaget tillhandahöll och därmed hade de gjort sig skyldiga till överträdelse av de ovan nämnda artiklarna.
Rättade inte adressen utan onödigt dröjsmål (Artikel 12.2 GDPR)
Företaget bad den klagande att skapa ett nytt användarkonto, istället för att underlätta denne att få sin adress korrigerad. Enligt kundtjänsten på företaget kunde de inte ändra adressen och därför hade de nekat personen att få adressen ändrad. Företaget förklarade att det inte var tekniskt genomförbart, men erbjöd att skapa ett nytt användarkonto kostnadsfritt och överföra allt innehåll samt därefter radera det gamla kontot. Däremot ville den klagande inte detta. Det framgår i artikel 12.2 GDPR att den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter.
Underlättade inte utövandet av den registrerades rättigheter (Artiklarna 12.3 och 16 GDPR)
Behandlingen stred mot artikel 12.2 GDPR när den klagande inte fick tillräcklig hjälp för att utöva sin rättighet enligt artikel 16 GDPR (rätten till rättelse). Företaget rättade inte adressen utan onödigt dröjsmål efter mottagandet av begäran om rättelse.
Om ett företag behandlar personuppgifter som är felaktiga eller ofullständiga, har den registrerade rätt att få dem rättade, kompletterade eller raderade. Detta ska ske utan onödigt dröjsmål och framgår i artikel 16 GDPR.
Enligt bedömningen av tillsynsmyndigheten var det inte tillräckligt av företaget att erbjuda ett nytt användarkonto kostnadsfritt eller hänvisning till företagets standardinformation om behandlingen av personuppgifterna och hur de registrerade kan utöva sina rättigheter.
