Den nederländska dataskyddsmyndigheten har utfärdat böter mot rekryteringsbyrån Ambitious People Group (APG) för att de inte följde raderingsbegäran från tre registrerade personer. APG, som opererar under fem olika varumärken, samlar in namn, adresser, e-postadresser, telefonnummer, födelsedatum och CV från jobbsökare för att matcha dem med relevanta jobb och lagrar denna information i en databas. Trots upprepade begäran om radering från tre personer fortsatte APG att skicka e-post med lediga tjänster.
Efter en undersökning konstaterade dataskyddsmyndigheten att de interna procedurer för hantering av raderingsbegäran var bristfälliga. APG hävdade att de registrerade personerna inte använde den särskilt utformade e-postadressen för raderingsbegäran som fanns i deras policy, utan skickade begäran direkt till rekryterarna de fick mail ifrån. Företaget har sedan dess uppdaterat sina rutiner för att säkerställa att alla sådana begäran vidarebefordras korrekt.
Dataskyddsmyndigheten fastslog att APG hade skyldighet att uppfylla raderingsbegäran utan onödigt dröjsmål och inom en månad enligt GDPR. Att begäran skickades till rekryterarna istället för den särskilda e-postadressen ändrade inte denna skyldighet. Företaget är ansvarigt för sina anställdas handlingar, inklusive att förhindra mänskliga misstag. Med hänsyn till att överträdelserna troligtvis orsakades av mänskliga misstag och att APG har förbättrat sina rutiner, ansåg dataskyddsmyndigheten att den ursprungliga bötesbeloppet på €130,000 var för högt. Därför utfärdade myndigheten istället en böter på €6,000.
