Datatilsynet anser att det finns skäl att rikta kritik mot att OrderYOYO A/S hantering av klagandens begäran om åtkomst och radering inte har skett i enlighet med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att den klagande använt beställningsplattformen OrderYOYO för att beställa mat från en lokal restaurang, men avbeställt köpet innan betalning skett. Den klagande fick därefter ett antal marknadsföringsmeddelanden som skickades av OrderYOYO på uppdrag av restaurangen i fråga. Klaganden skickade en begäran om tillgång och radering till OrderYOYO. Efter att ha väntat på sin begäran i mer än två månader kontaktade den klagande Datatilsynet.
Omedelbart efter att ha mottagit den klagandes begäran om tillgång började OrderYOYO behandla begäran, men när Datatilsynet kontaktade företaget insåg de att svaret av misstag inte skickats till den klagande. OrderYOYO skickade därefter svaret på begäran om tillgång till den klagande.
Datatilsynet konstaterar att den klagandes begäran om tillgång besvarats först i samband med myndighetens behandling av ärendet, och således först fem månader efter det att den klagande begärt tillgång från OrderYOYO. På grundval av detta finner Datatilsynet att OrderYOYO behandling av klagandens begäran om tillgång och radering inte har ägt rum inom ramen för artikel 12.3 GDPR, jfr artiklarna 15 och 17 GDPR. Detta ger Datatilsynet anledning att uttrycka kritik mot företaget.