Den lokala domstolen i Pfaffenhofen har beslutat att ett företag ska betala 300 euro till en registrerad för brott mot artiklarna 6 och 14 i dataskyddsförordningen (“GDPR”).
Enligt domstolen har företaget skickat ett e-postmeddelande innehållandes reklam för FFP 2-masker till den registrerade, utan att den registrerade tidigare haft någon kommersiell eller personlig relation med företaget. Enligt företaget hittade de den registrerades e-postadress i en offentlig databas på internet.
I sitt beslut slog domstolen fast att företaget behandlat den registrerades e-postadress utan rättslig grund för behandling enligt artikel 6 GDPR. Domstolen slog även fast att företaget lämnat den registrerade information för sent vilket strider mot artikel 14 GDPR. Enligt domstolen har en personuppgiftsansvarig skyldighet att informera en registrerad om behandling av personuppgifter, om uppgifter som inte samlats in från den registrerade direkt, enligt bestämmelserna i artikel 14.1-2. Enligt artikel 14.3 (a) och (b) GDPR måste informationen lämnas inom rimlig tid efter att personuppgifterna erhållits, men inte senare än en månad, eller om personuppgifterna ska användas för kommunikation med den registrerade senast vid tidpunkten för den första kommunikationen med den registrerade.
Då företaget inte följt dessa bestämmelser konstaterade domstolen att den registrerade har rätt till ersättning för icke-materiell skada på 300 euro enligt artikel 82 GDPR.