Den österrikiska dataskyddsmyndigheten har utfärdat en straffsanktion på €12,100 efter överträdelse av GDPR. Den ansvariga hade organiserat en fotbollsliga där hemsidan tillhandahöll profiler för de deltagande spelare med uppgifter som deras namn, nationalitet och statistik under säsongen. Den klagande hade deltagit i ligan men senare valt att sluta spela fotboll. Ungefär ett år efter att han slutat bad han den personuppgiftsansvariga att radera hans personliga information från hemsidan. Den ansvariga svarade då att det inte var möjligt eftersom de behövde spara hans personuppgifter av statistiska skäl.
Dataskyddsmyndigheten beordrade hemsidan att ta bort alla personuppgifter om den klagande. Efter ett antal veckor fanns profilen fortfarande kvar, men hemsidan hade dolt bilden och tagit bort möjligheten att se ytterligare information kring fotbollsspelaren. Den klagande valde då att ta ärendet till domstol som stödde dataskyddsmyndighetens beslut. Organisatörens argument att personuppgifterna behövde sparas så att fotbollsligan kunde hålla koll på övergångar och nyskapade konton ansågs inte vara relevanta. Den personuppgiftsansvariga ignorerade domstolens utslag.
Eftersom den personuppgiftsansvarige ignorerade domstolens beslut, inledde myndigheten ett administrativt brottmålsförfarande. Dataskyddsmyndigheten menar att personuppgifterna som den personuppgiftsansvariga lagrade inte längre var nödvändiga för det ursprungliga syftet eftersom den registrerade inte hade spelat fotboll i ligan på flera år. Den ansvariga misslyckades även med att hänvisa till en ny laglig grund för att fortsätta lagringen. Myndigheten menar att hemsidans beslut att dölja en del av informationen endast delvis uppfyllde myndighetens krav. Av denna anledning utdömde dataskyddsmyndigheten en straffsanktion på €12,100 till den österrikiske fotbollsligan.
