Garante per la protezione dei dati personali (Garante) har bötfällt I Model s.r.l. med 10 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad gjort en begäran om radering hos I Model (den personuppgiftsansvarige). Den registrerade begärde först radering av alla sina personuppgifter den 26 augusti 2020 och sedan igen den 17 december 2020. Även om han fick formella svar på dessa framställningar om att hans personuppgifter hade raderats, var han medveten om att företaget fortfarande behöll denna information, eftersom han fortsatte att få sms-meddelanden om jobberbjudanden.
Den 22 december 2020 lämnade den registrerade in ett klagomål till Garante. Den registrerade hävdade att han hade rätt att få sina personuppgifter i företagets register raderade och att den personuppgiftsansvariges vägran att radera uppgifterna utgjorde en överträdelse av dataskyddsförordningen.
Som svar på den klagandes påståenden hävdade den personuppgiftsansvarige för det första att den registrerade skickat sin begäran till en tidigare anställds e-postadress och inte till företagets officiella adress. Den tidigare anställdes e-postadress hade dock raderats och den personuppgiftsansvarige kunde därför inte kontrollera den relevanta korrespondensen. För det andra förnekade den personuppgiftsansvarige att företaget tagit emot begäran om radering. Slutligen ansåg den personuppgiftsansvarige att överträdelsen under alla omständigheter orsakats av ett förbiseende eller ett mänskligt fel och “definitivt inte av företagets vilja att kränka och/eller missbruka den klagandes uppgifter”. Den personuppgiftsansvarige bekräftade också att de relevanta personuppgifterna raderats.
Efter att ha undersökt klagomålet konstaterade Garante att den personuppgiftsansvarige endast lämnat två formella svar på begäran om radering, där företaget förklarade att de tagit bort uppgifterna från sändlistan, men att företaget i själva verket fortsatte att lagra och behandla uppgifterna.
Som svar på den personuppgiftsansvariges första argument (inaktiv e-postadress) konstaterade Garante att eftersom den registrerade skickat sin begäran till en e-postadress med ett domännamn som slutade med @i-model.it hade den registrerade en berättigad förväntan på ett effektivt svar från den personuppgiftsansvarige. I artikel 12.2 GDPR anges dessutom att den personuppgiftsansvarige ska underlätta utövandet av den registrerades rättigheter. När det gäller det andra argumentet (inga bevis för att begäran hade skickats) bekräftade Garantes undersökning att e-postmeddelandena från den registrerade innebar att den personuppgiftsansvarige tagit emot begäran, och att den registrerade därefter fått de formella svaren. Som svar på det sista argumentet (mänskligt fel) påpekade Garante att den personuppgiftsansvarige inte lagt fram några bevis för det fel som påstods ha lett till den olagliga lagringen av den registrerades uppgifter.
Dessutom, och bortsett från den registrerades särskilda begäran, konstaterade Garante också att den registrerades samtycke till behandlingen av personuppgifter aldrig samlats in från början, vilket gjorde den efterföljande behandlingen olaglig på grund av avsaknad av lämplig rättslig grund enligt artikel 6.1 GDPR.
Mot bakgrund av ovanstående ansåg Garante att den personuppgiftsansvarige agerat i strid med dataskyddsförordningen, särskilt artiklarna 17 och 6.1 GDPR. I enlighet med sina befogenheter enligt artikel 58.2 GDPR och i enlighet med artikel 83 GDPR ålades den personuppgiftsansvarige böter på 10 000 euro.