IMY, som är en förkortning av Integritetsskyddsmyndigheten, har fattat ett beslut efter fördröjning med att radera personuppgifter efter begäran. Enligt GDPR, även kallad för dataskyddsförordningen, ska företag radera personuppgifter på begäran utan onödigt dröjsmål. Om det inte sker utan onödigt dröjsmål eller inom de tidsramar som framgår i GDPR, kan IMY utfärda en sanktion för brott mot GDPR.
Beslut efter fördröjning med att radera personuppgifter
Företaget menar att det har fått in en begäran om att radera personuppgifter från en registrerad, men att begäran inte kom från mejlen som var kopplad till den registrerades konto. Istället kom det från en annan mejladress. Företaget svarade genom att begära att personen skulle styrka sin identitet, genom att uppvisa bevis. Personen kontaktade då företaget igen och bad dem återigen att radera personuppgifterna. Denna gång med bevisning om att det var rätt person i fråga samt genom post, istället för genom mejl. Företaget raderade då personuppgifterna. Däremot fick personen veta detta genom tillsynsärendet. Företaget hade inte meddelat personen direkt om vilka åtgärder som vidtagits.
Detta ärende blev avslutat utan någon åtgärd från IMY. Ett företag har rätt att begära bevisning för att kunna bekräfta att det är rätt person som begär att få sina personuppgifter raderade. I detta fall hade företaget rätt att begära detta innan de vidtog åtgärder och raderade uppgifterna, vilket IMY konstaterade.
Det finns andra tillsynsärenden där en person har begärt att få sina personuppgifter raderade och företaget har dröjt me det. I sådana fall har IMY istället beslutat att ge en så kallad reprimand (anmärkning). I värsta fall kan ett företag behöva betala höga sanktionsavgifter, vid brott mot GDPR. Bedömningen av konsekvensen grundar sig i en helhetsbedömning där man bland annat analyserar samtliga omständigheter. Dessutom kan åtgärderna som företaget har vidtagit i efterhand spela en viktig roll i bedömningen.