Dataskyddsmyndigheten i Cypern undersökte ett klagomål från en registrerad som hade begärt att få sina personuppgifter raderade från en hemsida. Den registrerade skickade två e-postmeddelanden och begärde att hans uppgifter skulle raderas men påstod att han inte fick något svar från den personuppgiftsansvarige.
Den personuppgiftsansvarige uppgav att deras supportpersonal hade svarat den registrerade vid båda tillfällena och informerat om de tillgängliga alternativen för att inaktivera eller radera kontot samt erbjudit ytterligare information om vad varje alternativ innebar. Dessutom tillhandahölls en länk i slutet av meddelandet som hänvisade den registrerade till en onlineplattform, tredje part, där han behövde verifiera sin e-postadress. Den registrerade vidtog dock inga ytterligare åtgärder enligt de tillhandahållna instruktionerna. Den registrerade anklagade ändå den personuppgiftsansvarige för att inte ha uppfyllt rätten till radering enligt GDPR och lämnade in ett klagomål. Klagomålet lämnades in till den tyska tillsynsmyndigheten, men eftersom den personuppgiftsansvarige var baserad i Cypern, tog den cypriotiska dataskyddsmyndigheten över undersökningen av klagomålet.
Myndigheten fann att den personuppgiftsansvarige hade brutit mot GDPR eftersom den inte informerade den registrerade om att begäran om radering inte hade uppfyllts inom den angivna tidsramen. Trots att den registrerade fick en länk till en dedikerad plattform, uppfylldes inte hans begäran om radering i enlighet med GDPR. Dessutom hade företaget brutit mot GDPR genom att inte tillhandahålla tillräcklig information under besöket på den tredje parts onlineplattform, samt eftersom rätten till radering inte till slut uppfylldes.
Med anledning av ovanstående beordrade myndigheten att omedelbart uppfylla begäran om raderingen och ålade en sanktionsavgift på €1,500 för överträdelsen av GDPR.
