Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 100 000 euro mot ett telekommunikationsföretag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var kund hos ett telekommunikationsföretag som ensidigt ändrat den registrerades abonnemang och fakturor. Det mänskliga felet angavs som orsak till dessa ändringar. Den registrerade lämnade in en begäran om tillgång enligt artikel 15 GDPR till företaget och angav att denne var intresserad av uppgifter från den exakta perioden och information om vilka anställda som haft tillgång till uppgifterna och av vilken anledning. Den registrerade önskade uttryckligen ett svar i tabellformat.
Den registrerade fick delvis anonymiserade uppgifter som rör dennes avtal med företaget. Företaget avslöjade varken identiteten på de anställda som har tillgång till den registrerades uppgifter eller syftet med denna tillgång. Eftersom företagets svar inte var tillfredsställande lämnade den registrerade in ett klagomål till GBA. I ett svar på klagomålet klargjorde företaget att begäran om tillgång avsåg uppgifter om en anställd hos företaget. På grund av detta besvarades inte begäran på det sätt som den registrerade förväntade sig.
GBA konstaterade att även om den registrerade redan har vissa uppgifter innan begäran om tillgång gjordes påverkade det inte den registrerades rätt till tillgång. I artikel 12.3 GDPR anges förutsättningarna för att bland annat avslå den registrerades begäran om tillgång. Inget av de skäl som anges i den bestämmelsen var tillämpligt i det aktuella fallet. GBA konstaterade därför att företaget inte var befriad från sin skyldighet att till fullo besvara en begäran om tillgång bara för att den registrerade redan har tillgång till uppgifterna.
GBA konstaterade dock att den registrerades begäran om att få information om de specifika anställda som har tillgång till uppgifterna var ogrundad. Uppgifter av det slaget kunde lämnas ut om det fanns ett övervägande intresse hos den registrerade. Den registrerade har dock inte visat något intresse av att få tillgång till information om företagets anställda. Företaget var därför inte skyldig att inkludera uppgifter om anställda i sitt svar på begäran om tillgång.
GBA konstaterade dock att företaget underlät att hantera begäran om tillgång i enlighet med artikel 12.2 GDPR. Den elektroniska kommunikationskanal som användes av företaget innehöll inte funktionen för att svara på den registrerades meddelanden. Dessutom hanterade företagets anställda inte begäran om tillgång på ett korrekt sätt. Av detta skäl besvarades begäran om tillgång efter tidsfristen i artikel 12.3 GDPR. Enligt GBA utgjorde ett sådant agerande en grov försummelse av företagets skyldigheter. Företaget bröt därmed mot artikel 15 GDPR.