Gegevensbeschermingsautoriteit (GBA) har utfärdat en reprimand mot en skola för att skolan av misstag publicerat ett e-postmeddelande om ett avslag på en ansökan på skolans plattform Smartschool. Enligt GBA skedde publiceringen i strid med krav i dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade i maj 2023 sökte en tjänst på en skola. Den registrerade valdes inte ut till tjänsten, men avslagsbeslutet publicerades på den digitala skolplattformen Smartschool. Beslutet gjordes synligt för cirka 150 anställda. Efter händelsen utfärdade ledningen på skolan ett meddelande till skolpersonalen där det angavs att denna konfidentiella information tyvärr offentliggjorts, och de tillade att skolans chef inte deltog i bedömningen av kandidaten och inte heller hade något inflytande på den.
I augusti 2023 tog den registrerade emot ett e-postmeddelande från skolans chef som handlade om hans personliga brev. Av detta drog den registrerade slutsatsen att urvalskommittén under urvalsförfarandet vidarebefordrade hans personliga brev till chefen, som var en tredje part, varpå han lämnade in ett klagomål till GBA.
GBA ansåg att offentliggörandet av Smartschools avslagsbeslut gjorde det möjligt för andra anställda att få tillgång till avslagsbeslutet, vilket resulterade i en obehörig exponering av personuppgifter för tredje part och ett brott mot gällande sekretessregler. Vidare ansåg GBA att med tanke på att offentliggörandet på Smartschool kan ha varit ett misstag, fanns det ingen avsikt att göra avslagsbeslutet allmänt känt. GBA ansåg dock att ett sådant fel kan tyda på att det saknas tekniska och organisatoriska åtgärder för skydd av personuppgifter.
Därutöver misstänkte GBA att interna och konfidentiella dokument, såsom den registrerades CV och personliga brev, vidarebefordrats till tredje parter som inte var inblandade i urvalsprocessen. GBA kunde inte verifiera den exakta inblandningen av den tredje parten, men noterade att skolans chef inte deltog i bedömningen, vilket verkade bekräfta den registrerades påståenden.
Mot denna bakgrund utfärdade GBA en reprimand mot skolan för att ha brutit mot legalitetsprincipen genom att offentliggöra avslagsbeslutet till fel mottagare, vilket inte baserades på en rättslig grund enligt artikel 6.1 GDPR, för ha brutit mot principen om integritet och konfidentialitet enligt artikel 5.1 (c) GDPR genom att skicka den registrerades personuppgifter till fel mottagare, samt för att inte ha vidtagit nödvändiga tekniska och organisatoriska åtgärder enligt artikel 25 GDPR.