Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 30 000 euro mot en apotekare för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en apotekare (den registrerade) fått en disciplinär påföljd av apotekarförbundet för att ha använt vissa affärsmetoder som är förbjudna inom detta yrke. Den registrerade överklagade detta beslut till flera domstolar vilket ledde till att den personuppgiftsansvarige ändrade yrkesetiska regler.
Efter denna ändring ansåg den registrerade att den disciplinära påföljden nu var olaglig och begärde att den personuppgiftsansvarige skulle radera omnämnandet av den disciplinära påföljden från alla register och sluta behandla dessa uppgifter. Den personuppgiftsansvarige ansåg att den disciplinära påföljden inte gjorts olaglig och vägrade att radera uppgiften från registren. Detta ledde till att den registrerade lämnade in ett klagomål till GBA.
Den registrerade ansåg att det obegränsade lagringen av disciplinära påföljder var olämplig, att den personuppgiftsansvarige hade brutit mot artikel 17 GDPR genom att vägra att radera dennes uppgifter och att principerna i artikel 5 GDPR överträtts. Den personuppgiftsansvarige tillade att den disciplinära påföljden omfattades av begreppet fällande dom i den mening som avses i artikel 10 GDPR.
Vidare förklarade den personuppgiftsansvarige särskilt att obegränsad lagring föreskrevs i nationell lagstiftning och att artikel 17 GDPR innehöll undantag som var tillämpliga i det aktuella fallet. Den personuppgiftsansvarige tillade att denne vidtagit åtgärder för att förbättra behandlingen av uppgifter.
GBA analyserade efterlevnaden av varje princip för varje ändamål med behandlingen. När det gäller behandlingens laglighet ansåg GBA att varje ändamål måste ha en rättslig grund. Behandlingen i fråga hade flera syften och GBA ansåg att det för vissa av dem inte fanns någon lämplig rättslig grund, i strid med artikel 5.1 (a) GDPR, särskilt när den personuppgiftsansvarige felaktigt åberopade nationella bestämmelser.
När det gäller lagringsminimeringen får den inte överskrida vad som är nödvändigt för varje ändamål. Här ansåg GBA att obegränsad lagring inte var nödvändig för alla ändamål, till exempel för att hantera disciplinärenden, att det inte var nödvändigt att lagra uppgifter under en obegränsad period och att den personuppgiftsansvarige brutit mot artikel 5.1 (e) GDPR genom att inte ha en rimlig policy för lagring av personuppgifter.
Vad gäller ändamålsbegränsning ansåg GBA att den personuppgiftsansvarige inte i tillräcklig utsträckning hade specificerat ändamålen, i strid med artikel 5.1 (b) GDPR. Vad gäller uppgiftsminimering drog GBA slutsatsen att artikel 5.1 (c) GDPR hade åsidosatts, särskilt eftersom alla uppgifter som rör en disciplinära påföljd skulle kunna granskas för att kontrollera om en kandidat ska väljas in i apotekarförbundet eller inte, vilket inte var nödvändigt. Vad gäller principen om riktighet ansåg GBA att den personuppgiftsansvarige borde granska de disciplinära påföljderna efter ändringen av bestämmelserna om yrkesetik för att bedöma om påföljden skulle bibehållas. Genom att underlåta att göra detta bröt den personuppgiftsansvarige mot artikel 5.1 (d) GDPR.
När det gäller artikel 10 GDPR följde GBA inte den registrerades argument. GBA ansåg att en mindre disciplinär påföljd som den i det aktuella fallet inte var en fällande brottmålsdom i den mening som avses i artikel 10 GDPR. När det gäller artikel 17 GDPR ansåg GBA att behandlingen var olaglig, vilket innebar att den registrerade hade rätt att begära radering av sina uppgifter enligt artikel 17.1 (d) GDPR utan att undantagen var tillämpliga.
Sammanfattningsvis konstaterade GBA att artikel 5.1 (a), (b), (c), (d) och (e) GDPR hade åsidosatts. GBA beslutade att den personuppgiftsansvarige ska tillmötesgå den registrerades begäran om radering och utfärdat en sanktionsavgift på 30 000 euro.