Agencia Espanola Proteccion Datos (AEPD) har utfärdat en sanktionsavgift sammanlagt på 15 000 euro mot Grupo Norconsulting S.L. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Norconsulting (den personuppgiftsansvarige) den 15 januari 2020 skickat ett rekryteringsföretag som är etablerat i Spanien och som har avtalsrelationer med olika annonsplattformar som Linkedin, Infojobs eller Xing AAA, ett e-postmeddelande till en registrerad från Tyskland (den registrerade). Syftet med detta e-postmeddelande var att annonsera riktade jobberbjudanden till den registrerade.
Samma dag skrev den registrerade tillbaka till den personuppgiftsansvarige och begärde i) tillgång till informationen enligt artikel 15.1 GDPR, ii) radering av uppgifterna enligt artikel 17 GDPR, iii) meddelande till mottagarna av dessa uppgifter enligt artikel 19 GDPR, och iv) radering av dessa uppgifter från de webbplatser där de publicerats enligt artikel 17.2 GDPR.
Den 4 februari 2020 svarade den personuppgiftsansvarige den registrerade och förklarade att företaget fått den registrerades kontakt via annonsplattformar som den registrerade var eller hade varit registrerad på. Den personuppgiftsansvarige uppgav att företaget skulle radera den registrerades e-postadress från sina register.
Den registrerade kontaktade den personuppgiftsansvarige via e-post den 4 februari 2020, 15 mars 2020 och 31 mars 2020 och förklarade att svaret inte var giltigt enligt dataskyddsförordningen. Den 31 mars 2020 lämnade den registrerade in ett klagomål till den tyska dataskyddsmyndigheten i Berlin i ärendet. I enlighet med artikel 56.1 GDPR och med tillämpning av de förfaranderegler som är tillämpliga på gränsöverskridande ärenden överförde dataskyddsmyndigheten i Berlin ärendet till den spanska dataskyddsmyndigheten i egenskap av ansvarig tillsynsmyndighet.
Under förfarandets gång hävdade den personuppgiftsansvarige att företaget fått den registrerades e-postadress från avtalspartner till vilka den registrerade gått med på att dela med sig av sina uppgifter. Den personuppgiftsansvarige uppgav också att företaget raderat den registrerades e-postadress efter dennes begäran.
AEPD konstaterade att den personuppgiftsansvarige behandlade åtminstone den registrerades namn, efternamn, e-postadress, yrkesprofil och preferenser i fråga om jobberbjudanden. AEPD konstaterade vidare att den personuppgiftsansvarige svarat på den registrerades första e-postmeddelande på ett generiskt sätt och uppgav varifrån uppgifterna kom, och att företaget inte besvarade något av den registrerades ytterligare e-postmeddelanden. AEPD konstaterade således att den personuppgiftsansvarige inte svarat adekvat på den registrerades begäran, vilket strider mot artikel 15 GDPR.
AEPD ansåg att den personuppgiftsansvariges försummelse var en försvårande omständighet, eftersom den personuppgiftsansvarige inte svarade på minst två ytterligare förfrågningar från den registrerade. Vidare tog AEPD hänsyn till att den personuppgiftsansvariges huvudsakliga verksamhet var att behandla personuppgifter. AEPD ansåg som en förmildrande omständighet att den personuppgiftsansvarige svarade den registrerade, även om det inte skedde på ett adekvat sätt. AEPD ålade därför den personuppgiftsansvarige en sanktionsavgift på 10 000 euro för denna överträdelse och ett föreläggande om att följa reglerna inom 30 dagar.
Vad gäller rätten till radering konstaterade AEPD att den personuppgiftsansvarige raderat den registrerades e-postadress, men nämnde inget om de återstående personuppgifterna. AEPD drog därför slutsatsen att den personuppgiftsansvarige inte svarat på den registrerades begäran på ett adekvat sätt, vilket var en överträdelse av artikel 17 GDPR.
AEPD ansåg att avsaknaden av svar på den registrerades begäran var en försvårande omständighet. Vidare tog AEPD hänsyn till att den personuppgiftsansvariges huvudsakliga verksamhet var att behandla personuppgifter. AEPD ansåg som en förmildrande omständighet att den personuppgiftsansvarige raderade den registrerades e-postadress. AEPD har utfärdat en sanktionsavgift på 5 000 euro därför den personuppgiftsansvarige för denna överträdelse och ett föreläggande att följa reglerna inom 30 dagar.
TechLaw bistår verksamheter i frågor som rör dataskydd, den registrerades rättigheter och rätten till radering. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.