Gegevensbeschermingsautoriteit (GBA) konstaterar att anställds användning av personlig utrustning i arbetet inte utgjorde en överträdelse av dataskyddsförordningen (GDPR).
Av beslutet framgår att under en utfrågning i samband med en asylansökan tog en anställd vid kontoret för generalkommissarien för flyktingar och statslösa personer (den personuppgiftsansvarige) fotografier med sin privata telefon av sökandens (den registrerade) sociala nätverk. Fotografierna lades till i hans akt.
Den registrerade undrade om detta var standardpraxis och vad som hände med bilderna på mobiltelefonen. Den personuppgiftsansvarige svarade den registrerade att den anställde bara ville hans bästa, dvs. ett effektivt och snabbt förfarande. Den registrerade var inte nöjd och lämnade in ett klagomål till GBA.
I sitt försvar betonade den personuppgiftsansvarige att verksamheten förser sina anställda med arbetsutrustning och att det inte finns någon Bring Your Own Device-policy. Användningen av en privat mobiltelefon var därför inte tillåten. Den personuppgiftsansvarige betonade att denna praxis varken är utbredd eller officiell och att detta har meddelats den anställde i fråga, liksom alla andra anställda, för att förhindra att liknande situationer uppstår. Den personuppgiftsansvarige tillade också att bilderna raderades omedelbart efter intervjunerna.
GBA slog fast att fotografering med en privat mobiltelefon utgjorde behandling av personuppgifter enligt artiklarna 4.1 och 4.2 GDPR och att arbetsgivaren var personuppgiftsansvarig enligt artikel 4.7 GDPR, oavsett om den anställde agerade i strid med eller i enlighet med interna förfaranden.
GBA noterade att medvetenhetsåtgärderna för att förhindra ytterligare incidenter utgjorde god praxis. När det gäller användningen av privata telefoner uppgav GBA att implementera en Bring Your Own Device-policy för arbetsrelaterade aktiviteter inte är ett problem i sig men att en sådan policy kan medföra vissa risker, varför en riskbedömning krävs, särskilt vid hantering av personuppgifter i ett känsligt sammanhang, såsom en asylansökan.
I detta fall drog GBA slutsatsen att ingenting pekade mot en överträdelse av dataskyddsförordningen, oavsett om användningen av personlig utrustning stred mot den personuppgiftsansvariges policy. GBA påminde om att bilderna togs till förmån för den registrerade och omedelbart togs bort från den personliga enheten när lagring inte längre krävdes.