Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) har utfärdat en reprimand mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade fått en orderbekräftelse via e-post från ett företag som heter Healy (den personuppgiftsansvarige). Den registrerade informerade den personuppgiftsansvarige via e-post om att företaget använt en felaktig e-postadress. Hon informerade också den personuppgiftsansvarige om sin misstanke att en faktisk kund till den personuppgiftsansvarige använt hennes e-postadress för att göra en beställning. Den personuppgiftsansvarige svarade inte på detta.
Efter detta fick den registrerade även leveransbekräftelser med personuppgifter om den faktiska kunden som gjort beställningen, samt nyhetsbrev från den personuppgiftsansvarige. Dessutom fick den registrerade information på tyska om ett kreditsaldo samt den faktiska kundens lösenord och användarnamn. Som det skulle framgå senare var denna situation resultatet av en felaktig process i den personuppgiftsansvariges databas. I denna databas fanns en kund med samma namn som den registrerade. När den ansvariga medarbetaren hos den personuppgiftsansvarige manuellt skrev in den e-postadress som leveransbekräftelserna skulle skickas till, förväxlade medarbetaren den registrerades e-postadress med den e-postadress som tillhörde den kund som faktiskt hade gjort beställningen.
Den 28 juni 2021 och den 6 juli 2021 begärde den registrerade via e-post att den personuppgiftsansvarige skulle radera hennes e-postadress. I stället för att vända sig till den personuppgiftsansvariges dataskyddsombud skickade den registrerade sina förfrågningar till den personuppgiftsansvariges kundtjänst. Till en början följde den personuppgiftsansvarige inte den registrerades begäran om radering eftersom kundtjänsten ansåg att e-postadressen fortfarande behövdes för att behandla en öppen beställning. Kundtjänsten överförde senare klagomålet till den juridiska avdelningen efter en fördröjning. Efter detta fick den registrerade instruktioner från den personuppgiftsansvarige om att logga in på sitt (obefintliga) kundkonto och fylla i ett formulär.
Den 4 augusti 2021 raderade den personuppgiftsansvarige den registrerades e-post efter att den slutligen blivit medveten om situationen. Den 23 september 2021 fick den registrerade ett e-postmeddelande med ursäkter från den personuppgiftsansvarig. Vid ett ospecificerat datum lämnade den registrerade in ett klagomål till dataskyddsmyndigheten. Den 22 februari 2022 bad dataskyddsmyndigheten den personuppgiftsansvarige att kommentera det aktuella fallet. Den 6 april 2022 bekräftade den personuppgiftsansvarige att företaget skickat e-post till den registrerade och gav sin förklaring till den felaktiga processen med sin databas.
För det första fastställde dataskyddsmyndigheten att det inte fanns någon rättslig grund för behandlingen av den registrerades e-postadress, vilket strider mot artikel 6 GDPR.
För det andra konstaterade dataskyddsmyndigheten att den personuppgiftsansvarige inte svarat på den registrerades begäran om radering inom en månad, vilket resulterade i överträdelser av artiklarna 12.3 och 17 GDPR. Det faktum att den registrerade inte riktade sin begäran om radering till den personuppgiftsansvariges dataskyddsombud utan till dess kundtjänst motiverade inte den personuppgiftsansvariges underlåtenhet att svara i tid. Enligt dataskyddsmyndigheten finns det ingen skyldighet i dataskyddsförordningen för registrerade att lämna in begäran elektroniskt, och det finns inte heller någon skyldighet att skicka begäran endast till en specifik e-postadress, i enlighet med artikel 15.3 GDPR.
Mot bakgrund av ovanstående utfärdade dataskyddsmyndigheten en reprimand mot den personuppgiftsansvarige i enlighet med artikel 58.2 (b) GDPR.