Den litauiska tillsynsmyndigheten Data State Inspectorate (DSI) ålade den 26 augusti i år en online-återförsäljare böter om 7 000 EUR för att återförsäljaren inte tillvaratagit en rättighetsförfrågan under GDPR och därefter även underlåtit att samarbeta med tillsynsmyndigheten. Beslutet är vägledande i fråga om den ekonomiska risk det kan innebära att inte ha fungerande processer på plats för hantering av rättighetsförfrågningar från registrerade.
Enskilda som får sina personuppgifter behandlade (registrerade) har genom GDPR rättigheter i förhållande till sådan behandling. Rättigheterna syftar till att de registrerade ska ha insyn i hur och när personuppgifterna behandlas och även ha kontroll över detsamma. För att säkerställa detta har de registrerade bland annat rätt att i vissa fall få sina uppgifter rättade, raderade, blockerade, flyttade till ett annat företag (s.k. dataportabilitet), samt till information om vilka personuppgifter som behandlas (s.k. registerutdrag).
Enligt GDPR ska en personuppgiftsansvarig, vid emottagande av en rättighetsförfrågan, informera den registrerade senast en månad (och under vissa omständigheter inom två månader) efter att begäran mottagits om de åtgärder som vidtagits, eller varför åtgärder inte vidtagits. Den personuppgiftsansvarige får således aldrig ignorera en rättighetsbegäran.
I det aktuella fallet i Litauen kontaktade en registrerad en onlinebutik och begärde att få sina personuppgifter raderade, vilka samlats in i samband med ett köp som den registrerade gjort. Trots upprepade förfrågningar har emellertid bolaget i fråga varken återkopplat till den registrerade eller raderat dennes personuppgifter. Trots begäran om radering mottog istället den registrerade upprepade gånger reklam från bolaget via sms, vilket ledde till att den registrerade anmälde saken till DSI. DSI kom fram till att onlinebutiken åsidosatt sina skyldigheter enligt GDPR och ålade först bolaget att besvara rättighetsförfrågan och när detta inte efterlevdes, även att radera personuppgifterna.
Då bolaget underlät att följa DSI:s åläggande valde DSI att erlägga bolaget att betala böter för brott mot GDPR. Vid fastställandet av bötesbeloppet tog DSI hänsyn till arten och varaktigheten av behandlingen, antalet registrerade personer som åsamkats, graden av samarbete bolaget haft med tillsynsmyndigheten, samt bolagets totala globala årsomsättning under föregående budgetår. Boten landade därefter på 7 000 EUR.
Vill du veta mer om hur just Ditt företag kan införa interna processer för rättighetsförfrågningar, ta kontakt med en IT-advokat.
