Företaget har inte givit en person tillgång till sina personuppgifter i tid, vilket IMY (Integritetsskyddsmyndigheten) konstaterar i sitt beslut efter att de utfört en tillsyn mot företaget. Med andra ord har företaget genom sin behandling av personuppgifter, inte följt artikel 12.3 i GDPR (dataskyddsförordningen).
Företaget har inte givit en person tillgång till sina personuppgifter
Tillsynen rörde två klagomål, där personerna har velat få tillgång till sina personuppgifter från företaget, vilket registrerade har rätt till enligt GDPR. Om en person begär att få veta vilka personuppgifter ett företag behandlar om denne, ska den som är personuppgiftsansvarig lämna ut informationen. Utlämnandet av informationen ska ske utan onödigt dröjsmål enligt GDPR. Däremot ska det inte ske senare än en månad räknat från och med att personen har begärt utlämnandet. I vissa fall kan det vara tillåtet att tiden är längre än en månad. Exempelvis om ärendet är komplicerat eller om det är många som begär att få ta del av informationen samtidigt. Om en förlängning är nödvändig, måste det dock skriftligen informeras till personen ifråga inom den första månaden och informationen måste bli lämnad inom totalt högst tre månader.
IMY konstaterade att företaget gav tillgång till uppgifterna som personen begärt efter fem månader, vilket är allt för lång tid efter begäran. Med andra ord har utlämnandet av personuppgifterna inte skett ”utan onödigt dröjsmål”. Företaget hävdade att det var många som begärde ut informationen, vilket resulterade i längre väntetider.
Konsekvens för företaget på grund av brott mot GDPR
I vissa fall kan IMY utfärda en sanktionsavgift till företag som bryter mot GDPR. Däremot gör de en enskild bedömning i varje fall och beaktar alla de olika omständigheterna. I detta fall kom IMY fram till att det är en fråga om en mindre överträdelse. Därför valde de att utfärda en reprimand istället för en sanktionsavgift.