Gegevensbeschermingsautoriteit (GBA) tillrättavisar personuppgiftsansvarig för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad den 2 december 2019 lämnat in en begäran om tillgång till personuppgifter till den personuppgiftsansvarige. Den 31 december 2019, nästan en månad senare, meddelade den personuppgiftsansvarige den registrerade att bolaget skulle använda möjligheten i artikel 12.3 GDPR att förlänga den normala tidsfristen på en månad med ytterligare två månader. Den 3 mars 2020 lämnade den registrerade in ett klagomål till GBA eftersom inget svar lämnats vid den tidpunkten.
Den 2 september 2020, nästan tio månader efter det att den registrerade hade lämnat in den ursprungliga begäran om tillgång, lämnade den personuppgiftsansvarige ett svar. Den registrerade klagade dock över att den personuppgiftsansvarige inte besvarat alla frågor från den registrerade. Frågorna gällde förekomsten av eventuella läckor av personuppgifter, den personuppgiftsansvariges säkerhetsprotokoll och slutligen vidtagna tekniska och organisatoriska åtgärder i samband med den personuppgiftsansvariges anställdas eller entreprenörers behandling. Den personuppgiftsansvarige vägrade att besvara dessa frågor med hänvisning till att de inte omfattas av artikel 15.1 GDPR.
Den 29 september 2020 klargjorde den personuppgiftsansvarige sin ståndpunkt för GBA. Den personuppgiftsansvarige medgav att den registrerade inte fått något svar i rätt tid eftersom den personuppgiftsansvariges anställde med ansvar för den registrerades akt varit långtidssjukskriven. Begäran om tillgång glömdes sedan helt enkelt bort, enligt den personuppgiftsansvarige.
GBA upprepade först de rättsliga kraven i artikel 15 GDPR. I synnerhet betonade GBA vikten av rätten till tillgång enligt artikel 15 GDPR, eftersom denna rättighet gör det möjligt för de registrerade att kontrollera att varje behandling är laglig och att vid behov få de behandlade personuppgifterna rättade eller raderade.
Vid bedömningen av fakta i ärendet bekräftade GBA att den personuppgiftsansvarige inte svarat på begäran om tillgång inom den fastställda tidsfristen, inte heller efter förlängningen. Det faktum att den ansvarige medarbetaren varit långtidssjukskriven och att begäran om tillgång helt enkelt glömdes bort var inte en giltig ursäkt för att den personuppgiftsansvarige inte uppfyllde sina skyldigheter gentemot den registrerade. Detta förfarande utgjorde överträdelser av artiklarna 15.1, 12.3 och 12.4 GDPR. GBA tillrättavisade den personuppgiftsansvarige för dessa överträdelser.
När det gällde den personuppgiftsansvariges vägran att besvara frågor ansåg GBA att dessa frågor faktiskt inte omfattas av artikel 15 GDPR varför den personuppgiftsansvariges svar därför inte var ofullständigt.