Den belgiska dataskyddsmyndigheten Gegevensbeschermingsautoriteit (GBA) har utfärdat en varning mot en personuppgiftsansvarig för överträdelser av dataskyddsförordningen (GDPR). Den personuppgiftsansvarig har också fått ett föreläggande att uppfylla den registrerades begäran om radering av hennes personuppgifter.
Av beslutet framgår att en anställd på ett vårdhem (den registrerade) begärt psykosocial intervention för missbruk och trakasserier av arbetsgivarens ledning. Psykosocial intervention är ett förfarande enligt belgisk arbetsrätt som syftar till att ta itu med psykosociala frågor som arbetstagare tar upp på arbetsplatsen med hjälp av en neutral och extern rådgivare. I det här fallet har den externa rådgivaren utfärdat ett yttrande där man rekommenderar att individuella och kollektiva åtgärder vidtas.
Arbetsgivaren (den personuppgiftsansvarige) satte därefter upp en lapp på en vägg på arbetsplatsen med titeln ”Information till vår personal efter det formella klagomålet om våld och moraliska trakasserier från fru X mot styrelsen + kollektiva åtgärder för att förbättra relationerna och den allmänna organisationen”, där det angetts att den registrerade gjort denna begäran. Den personuppgiftsansvarige skrev också ett öppet brev till personalen där de nämnde den registrerades namn och förklarade att den registrerade gjort denna begäran.
Den 16 januari 2023 begärde den registrerade tillgång till sina uppgifter för att få veta vilken rättslig grund som fanns för behandlingen av hennes personuppgifter. Den personuppgiftsansvarige förklarade att den var skyldig att dela med sig av den externa rådgivarens rekommendation om de kollektiva åtgärderna och att identiteten på den person som framställde begäran ändå var allmänt tillgänglig. Den registrerade ifrågasatte den personuppgiftsansvariges rätt att offentliggöra sina personuppgifter och lämnade därför in ett klagomål till GBA den 23 januari 2023.
GBA hävdade att det inte fanns någon rättslig skyldighet för en arbetsgivare att offentliggöra de kollektiva eller individuella åtgärder som ingår i ett yttrande från en extern rådgivare.
I den anteckning som den personuppgiftsansvarige satt upp på väggen nämndes den registrerades namn och efternamn. GBA noterade att dessa uppgifter inte meddelats i syfte att offentliggöra den kollektiva eller individuella åtgärden utan i informationssyfte. Den personuppgiftsansvarige kunde därför inte åberopa en begäran, eller ens en skyldighet, från den externa rådgivaren att offentliggöra den registrerades för- och efternamn och kunde därför inte åberopa artikel 6.1 (c) GDPR för behandlingen i fråga.
Den personuppgiftsansvariges andra motivering, nämligen att personens identitet som upphovsman till begäran om ingripande redan var känd för personalen, var inte giltig eftersom offentligt tillgängliga uppgifter betraktas som personuppgifter så länge de avser en identifierbar person. Bestämmelserna i dataskyddsförordningen var således tillämpliga i detta fall. På så sätt måste den personuppgiftsansvarige, även om den personuppgiftsansvariges anställda kände till ursprunget till begäran om ingripande, fortfarande förlita sig på en rättslig grund för att behandla den registrerades personuppgifter, även om de var offentligt tillgängliga.
Slutligen genomförde GBA ett avvägningstest för att se om den rättsliga grunden berättigat intresse kunde åberopas men behandlingen inte uppfyllde de tre kumulativa kriterierna.
Därför ansåg GBA att den personuppgiftsansvarige inte behandlade den registrerades uppgifter lagligt. GBA varnade därför den personuppgiftsansvarige för att offentliggörandet av den registrerades namn i ett öppet brev till personalen utan rättslig grund skulle kunna leda till en överträdelse av artiklarna 5.1 (a) och 6.1 GDPR, och den beordrade den personuppgiftsansvarige att uppfylla den registrerades begäran om radering av hennes personuppgifter i god tid och senast 30 dagar efter offentliggörandet av detta beslut.