Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 10 000 euro mot en leverantör av en onlineplattform för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den personuppgiftsansvarige i stor skala samlat in offentligt tillgängliga kontaktuppgifter till tiotusentals läkare utan ett samtycke. Dessa uppgifter publicerades sedan på den personuppgiftsansvariges onlineplattform. Plattformen skilde mellan gratisprofiler och betalprofiler för läkare. När det gäller betalprofiler har läkarna och den personuppgiftsansvarige ingått ett avtal, vilket inte är fallet när det gäller gratisprofiler.
En grupp läkare, som inte hade något avtal med den personuppgiftsansvarige, begärde radering enligt artikel 17.1 GDPR via ett rekommenderat brev till den personuppgiftsansvarige den 25 oktober 2021.
Den personuppgiftsansvarige uppgav att brevet inte hade tagits emot vid den tidpunkten och uppgav att brevet skickades under en nedstängningsperiod under vilken anställda och chefen arbetade hemifrån. Den personuppgiftsansvarige påstod sig slutligen ha mottagit begäran om radering den 13 januari 2022, eftersom de registrerades brev då hittats i en posthög, varefter den personuppgiftsansvarige hanterat dem den 14 januari 2022.
Därefter lämnade de registrerade in ett klagomål till GBA mot den personuppgiftsansvarige. De registrerade hävdade att den personuppgiftsansvarige brutit mot artiklarna 5.1 (a), 5.2 och 6 GDPR. Vidare hävdade de att den personuppgiftsansvarige brutit mot GDPR genom att radera deras personuppgifter för sent.
Den personuppgiftsansvarige hävdade att denne, med avseende på gratisprofiler, hade en rättslig grund enligt artikel 6.1 (f) GDPR, eftersom denne hade ett berättigat intresse av att behandla uppgifterna. De intressen som den personuppgiftsansvarige åberopade var 1) yttrande- och informationsfrihet enligt artikel 11 i stadgan och den belgiska konstitutionen, samt 2) den personuppgiftsansvariges ekonomiska intresse, baserat på näringsfriheten.
GBA påminde om att personuppgifter enligt artikel 5.1 (a) GDPR måste behandlas på ett lagligt sätt. Detta innebär att behandlingen måste ha en rättslig grund enligt artikel 6 GDPR. Eftersom den personuppgiftsansvarige hävdat att företaget hade berättigade intressen enligt artikel 6.1 (f) GDPR, med avseende på de gratisprofilerna, att behandla informationen fortsatte GBA med att bedöma balansen mellan den personuppgiftsansvariges och de registrerades intressen.
När det gäller att bedöma intresseavvägningen, enligt EU-domstolens rättspraxis (C-708/18), måste den personuppgiftsansvarige ta hänsyn till den registrerades rimliga förväntningar om att deras personuppgifter inte kommer att behandlas, när de inte rimligen kan förvänta sig ytterligare behandling. I detta fall konstaterade GBA att de klagande inte rimligen kunde förvänta sig att deras uppgifter skulle behandlas vidare för andra ändamål, eftersom läkarnas kontaktuppgifter inledningsvis, med deras samtycke, publicerades på deras egen, företagets eller sjukhusets webbplats.
GBA betonade vidare att näringsfriheten, såsom den erkänns i artikel 16 i stadgan, inte är obegränsad och att den slutar där andra grundläggande rättigheter, såsom rätten till skydd av personuppgifter, börjar. Därefter konstaterades att den personuppgiftsansvariges intressen inte vägde tyngre än de registrerades intressen. Följaktligen kunde den personuppgiftsansvarige inte åberopa ett berättigat intresse, eftersom de registrerades intressen vägde tyngre än den personuppgiftsansvariges eller den tredje partens intressen.
GBA ansåg följaktligen att den personuppgiftsansvarige brutit mot artikel 6.1 (f) GDPR med avseende på gratisprofilerna. Vad gäller betalprofiler noterade GBA att klagomålet endast rör behandlingen av personuppgifter i samband med gratisprofiler med avseende på läkare som just inte vill ha ett sådant avtal (betalprofiler) med den personuppgiftsansvarige.
När det gäller att agera på de registrerades begäran om radering i rätt tid, noterade GBA att under nedstängningsperioden var distansarbete starkt rekommenderat, inte obligatoriskt. Därför ansåg GBA att den personuppgiftsansvarige inte var oförmögen att följa upp e-post. Den personuppgiftsansvarige ansågs inte ha vidtagit lämpliga åtgärder för att underlätta de registrerades rätt till radering av uppgifter, vilket utgör en överträdelse av artikel 12.2 GDPR. Till följd av detta genomfördes inte rätten till radering av uppgifter i rätt tid, i enlighet med artikel 12.3 GDPR. Denna bristande efterlevnad konstaterades vara resultatet av underlåtenheten att underlätta utövandet av de registrerades rättigheter. GBA konstaterade därför att det hade skett en överträdelse av artikel 12.2 GDPR.
Slutligen utfärdades en sanktionsavgift mot den personuppgiftsansvarige med 10 000 euro för brott mot artiklarna 5.1 (a) och 6.1 (f) GDPR vad gäller lagligheten av behandlingen, samt mot artiklarna 12.2 och 17.1 GDPR för att inte ha vidtagit lämpliga åtgärder för att underlätta för de registrerade att utöva sina rättigheter.