Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 10 000 euro mot ett bostadsbolag för att ha underlåtit att samarbeta med myndigheten inom ramen för ett klagomålsförfarande och därigenom brutit mot dataskyddsförordningen (GDPR).
Av beslutet framgår att DSB fått in ett klagomål mot bostadsbolaget från en person som ansåg att hennes personuppgifter läckt ut i samband med ett e-postutskick om en lägenhetsvisning. DSB begärde flera gånger att bostadsbolaget skulle lämna ett yttrande i ärendet, men bostadsbolaget svarade inte trots påminnelser och telefonsamtal.
DSB konstaterade att bostadsbolaget brutit mot sin skyldighet att samarbeta med myndigheten enligt artikel 31 GDPR. Bostadsbolaget erkände sitt fel och uppgav att det berodde på interna problem med vidarebefordran av brev och kommunikation. Bostadsbolaget vidtog också flera åtgärder för att förbättra sitt dataskydd, bland annat genom att anlita externa rådgivare, utbilda personalen, byta ut dataskyddsombudet och införa ett säkerhetssystem för hantering av myndighetspost.
Bostadsbolaget överklagade dock DSB:s beslut att avvakta med att avsluta ärendet tills EU-domstolen avgjort ett liknande fall (Deutsche Wohnen SE). Bostadsföretaget ansåg att ärendet borde läggas ner på grund av de vidtagna åtgärderna. Den 31 augusti 2022 vilandeförklarade DSB förfarandet till dess att EU-domstolen meddelat sin dom i mål C-807/21, vilken offentliggjordes den 5 december 2023. Den dagen återupptog DSB ärendet och övervägde de villkor och kriterier som ska beaktas för att ålägga sanktionsböter enligt artikel 83 GDPR.
Med beaktande av kriterierna i artikel 83 GDPR och EDPB:s riktlinjer 04/2022 om beräkning av administrativa sanktionsavgifter enligt GDPR beaktade DSB överträdelsen av GDPR och den bostadsbolagets årliga omsättning och fann det lämpligt att utfärda en sanktionsavgift på 10 000 euro.