Datatilsynet anser att det finns skäl att framföra allvarlig kritik mot att Nuuday A/S behandling av personuppgifter inte har skett i enlighet med reglerna i 11 § dataskyddslagen samt artiklarna 12.2 och 15 i dataskyddsförordningen (GDPR).
Av beslutet framgår bland annat att Datatilsynet tagit emot ett klagomål från en registrerad avseende Nuudays behandling av personuppgifter. Klagomålet kom efter att den registrerade ringt Nuuday för att höra om det gick att få bredband på hans adress. I detta sammanhang ombads den registrerade att uppge sitt personnummer. Därefter kontaktade den registrerade Nuuday via e-post och begärde svar på varför och på vilken grund företaget hade samlat in hans personnummer. I samma veva begärde den registrerade tillgång till den information som företaget behandlade om honom. Den registrerade fick dock ett slutgiltigt svar på sin begäran om tillgång först drygt ett halvår efter det att begäran gjordes.
I samband med Datatilsynets utredning av ärendet medgav Nuuday att bolaget varken hade ett syfte eller laglig grund för att samla in den registrerades personnummer och att den registrerade inte heller hade fått tillgång till sina personuppgifter i rätt tid. Anledningen till att den registrerade ombetts att uppge sitt personnummer var ett fel från en anställd på Nuuday.
På grundval av vad som anförts i målet utgår Datatilsynet från att Nuuday inte haft befogenhet att hämta ut den registrerades personnummer genom telefonsamtalet den 4 december 2020, eftersom Nuuday själv har erkänt detta. Datatilsynet finner därför att Nuudays behandling av den registrerades personnummer skett i strid med 11 § dataskyddslagen.
Datatilsynet utgår vidare från att Nuuday svarat på den registrerades begäran om tillgång daterad den 5 december 2020 först den 3 maj 2021. Svaret innehöll dock inte all information eftersom Nuuday behandlat vidare information om den registrerade. Mot denna bakgrund finner Datatilsynet att Nuudays svar på klagandens begäran om tillgång inte skett i enlighet med artiklarna 12.1 och 15 GDPR.
Sammantaget finner Datatilsynet anledning att uttrycka allvarlig kritik mot Nuuday eftersom företaget omotiverat samlat in uppgifter om den registrerades personnummer, och även svarat på en begäran om tillgång från den registrerade för sent.