Gegevensbeschermingsautoriteit (GBA) har utfärdat en sanktionsavgift på 40 000 euro mot en personuppgiftsansvarig för överträdelser av dataskyddsförordningen (GDPR). Den personuppgiftsansvarig får även en reprimand för företagets behandling av personuppgifter.
Av beslutet framgår att den registrerade den 18 augusti 2021 undertecknat två avtal med den personuppgiftsansvarige om att utveckla en webbplats och spela in reklamvideor. För att diskutera detaljerna i uppdraget hade den registrerade och den personuppgiftsansvarige flera telefonsamtal, som spelades in av den personuppgiftsansvarige.
Efter att parterna börjat att ha meningsskiljaktigheter om avtalen utövade den registrerade sin rätt till tillgång enligt artikel 15 GDPR flera gånger, den sista gången den 21 mars 2022. Den registrerade ville särskilt ha information om de inspelade telefonsamtalen. Den personuppgiftsansvarige vägrade flera gånger att tillhandahålla en kopia av inspelningarna, men bjöd in den registrerade till sitt kontor för att lyssna på inspelningarna där.
Den den registrerade lämande in ett klagomål till GBA och hävdade att telefonsamtalen spelats in olagligt och att den personuppgiftsansvarige hindrat honom från att utöva sin rätt till tillgång.
Efter en genomgång av ärendet bedömde GBA först den personuppgiftsansvariges rättsliga grund enligt artikel 6.1 (b) GDPR. GBA höll med den personuppgiftsansvarige om att telefoninspelningarna var nödvändiga för att fullgöra avtalet och drog slutsatsen att det var effektivt att spela in telefonsamtalen för att dokumentera kundens preferenser. Nödvändighetskravet var därför uppfyllt, i enlighet med artiklarna 5.1 (a) och 6.1 GDPR.
Därefter bedömde GBA att rätten till en kopia, som anges i artikel 15.3 GDPR, inte bör behandlas som en ytterligare rättighet, utan som ett sätt att få tillgång till sina personuppgifter. GBA konstaterade att den personuppgiftsansvarige i detta fall borde ha tillhandahållit en kopia av inspelningarna. Vidare konstaterade GBA att den registrerades skäl för att begära tillgång inte bör betraktas som ett villkor för att ge tillgång.
Slutligen bedömde GBA den personuppgiftsansvariges argument om att skydda sin know-how eller sina affärshemligheter. GBA hänvisade till skäl 63 GDPR och angav att GDPR inte innehöll någon definition av företagshemlighet, och tittade därför på definitionen i belgisk lag. GBA drog slutsatsen att telefoninspelningarna inte kvalificerade som företagshemligheter enligt belgisk lag.
Med beaktande av ovanstående punkter drog GBA slutsatsen att den personuppgiftsansvarige brutit mot artiklarna 12.2 och 15 GDPR eftersom denne inte svarat på begäran om tillgång på ett adekvat sätt.
När det gäller informationen om inspelningen, även om telefoninspelningen nämndes i avtalen och i den personuppgiftsansvariges integritetspolicy, fanns det ingen information om de rättsliga grunderna, ändamålen med behandlingen och lagringsbegränsningen enligt kraven i artikel 13.1, 13.2 och 13.2 (a) GDPR. GBA tillade därför att den personuppgiftsansvarige brutit mot artiklarna 5.1 (a), 12.1, 12.2, 13.1 (c) och 13.2 (a) GDPR.
GBA ansåg också att den personuppgiftsansvarige brutit mot artiklarna 5.2, 24.1 och 25 GDPR eftersom företaget inte kunnat bevisa att det vidtagit tillräckliga tekniska och organisatoriska åtgärder för att följa artiklarna 12.2, 15, 12.1, 13.1 (c) och 13.2 (a) GDPR. Efter att ha beaktat flera försvårande och förmildrande omständigheter utdömde GBA en sanktionsavgift på 40 000 euro och utfärdade en reprimand.