Datenschutzbehörde (DSB) har utfärdat en sanktionsavgift på 12 100 euro mot en fotbollsklubb för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en fotbollsklubb anordnat en fotbollsliga. På fotbollsklubbens webbplats fanns offentligt tillgängliga spelarprofiler för personer som deltagit minst en gång i en match i ligan. Dessa profiler innehöll namn, foto, nationalitet, spelarens gula och röda kort under innevarande säsong med mera. I spelarprofilen angavs också vilka matcher en person deltagit i.
En registrerad skickade ett e-postmeddelande till fotbollsklubben med en begäran om radering av sina personuppgifter. Fotbollsklubben svarade att han av statistiska skäl inte kunde tillmötesgå begäran. Den registrerade lämnade därefter in ett klagomål till DSB och hävdade att denne ville att uppgifterna, som behandlades offentligt och kunde hittas av sökmotorer, skulle raderas eftersom denne inte längre spelade fotboll och därför inte hade några planer på att någonsin mer delta som spelare i den fotbollsliga som anordnades av klubben. Behandlingen av uppgifterna var därför inte längre nödvändig.
DSB biföll den registrerades klagomål och konstaterade att fotbollsklubben brutit mot den registrerades rätt till radering genom att avslå hans begäran. DSB ålade klubben att inom tre veckor radera den registrerades uppgifter och att inte lämna ut uppgifterna till andra parter.
Efter de tre veckorna fanns namnet och all matchstatistik fortfarande tillgänglig på den registrerades spelarprofil. I stället för fotot visade spelarprofilen en ikonbild med beteckningen Ej offentligt synlig. Information om bland annat klubb, födelseår, status och nationalitet fanns inte längre kvar.
Efter överklagande fastställde även den federala förvaltningsdomstolen Bundesverwaltungsgericht (BVerwG) DSB:s beslut av den 12 april 2023, vilket bekräftade att fotbollsklubben måste radera den registrerades uppgifter. I maj 2022 inledde DSB det administrativa straffrättsliga förfarandet och begärde att fotbollsklubben skulle motivera sina handlingar och förklara sina ekonomiska förhållanden. Klubben svarade inte.
Efter en genomgång av ärendet, och BVerwG:s dom i ärendet, konstaterade DSB att klubben åsidosatt sina skyldigheter enligt artikel 25 GDPR genom att inte vidta lämpliga tekniska och organisatoriska åtgärder. Dessa åtgärder ska säkerställa att personuppgifter om spelare som deltagit i minst en match i fotbollsklubbens liga, vid en nödvändig radering raderas fullständigt från den allmänt tillgängliga databasen på klubbens webbplats.
Vidare konstaterade DSB att den registrerades personuppgifter inte längre var nödvändiga för de ändamål för vilka de samlats in eller på annat sätt behandlats i den mening som avses i artikel 17.1 (a) GDPR. Fotbollsklubben hade inte heller angett någon särskild rättslig grund enligt artikel 6.1 GDPR för att fortsätta behandlingen av uppgifterna trots flera förfrågningar från DSB.
Vidare lämnade fotbollsklubben inte in något undantag från raderingen av den registrerades uppgifter enligt artikel 17.3 GDPR. Undantaget för arkiveringsändamål av allmänt intresse enligt artikel 17.3 (d) GDPR var inte tillämpligt enligt DSB, eftersom anonymisering varken skulle göra det omöjligt att förstå spelresultaten eller allvarligt försämra dem. DSB konstaterade därför att klubben bröt mot artikel 17 GDPR genom att inte till fullo tillmötesgå en registrerads begäran om radering.
Slutligen konstaterade DSB att myndigheten har rätt att förelägga fotbollsklubben att efterkomma den registrerades begäran om att utöva sina rättigheter enligt GDPR. I detta fall följde fotbollsklubben endast delvis DSB:s förelägganden. Även om den registrerades spelarbild och viss information raderats, var den registrerades namn och all annan information fortfarande allmänt tillgänglig på fotbollsklubbens webbplats. Klubben hade således inte följt DSB:s föreläggande enligt artikel 58.2 (c) GDPR.