Datatilsynet har beslutat att polisanmäla Nordbornholms Byggeforretning ApS för vidarebefordran av brottsuppgifter om en tidigare anställd till två av företagets kunder i strid med artiklarna 5 och 6 i dataskyddsförordningen (“GDPR”). Datatilsynet rekommenderar böter på 400 000 danska kronor.
År 2018 kontaktades Datatilsynet av en registrerad som klagade på att hans tidigare arbetsgivare, Nordbornholms Byggeforretning, omotiverat informerat två av företagets kunder om att han begått brott under anställningen och erkänt att han begått dem, samt i detalj beskrivit det påstådda händelseförloppet.
Enligt företagets dataskyddsombud hade Nordbornholms Byggeforretning i en sådan situation ett berättigat intresse av att lämna ut information om den tidigare anställdes uppsägning till företagets kunder för att informera kunderna om att arbetstagaren som ett resultat av detta inte kunde ingå avtal för företagets räkning.
Enligt Datatilsynet måste en del av den information som vidarebefordrats bedömas som uppgifter om brott, eftersom det gäller uppgifter om ett brott som anmälts till polisen. Sådan information får enligt Datatilsynet endast lämnas ut om det finns en rättslig grund för detta.
Datatilsynet anser att Nordbornholms Byggeforretning i ett fall som detta haft ett berättigat intresse av att lämna ut information om avskedandet av den tidigare medarbetaren till sina kunder och att informera kunderna om att personen inte längre hade rätt att ingå avtal för företagets räkning.
Enligt Datatilsynet måste det anses legitimt att informera sina kunder om att en anställd som tidigare undertecknat företaget inte längre är anställd, och därmed inte längre kan ingå avtal för företagets räkning. Detaljerade beskrivningar av anklagelserna mot den tidigare medarbetaren, såsom information om hur mycket pengar den tidigare medarbetaren förskingrat, ansåg Datatilsynet emellertid inte vara nödvändiga för att fullfölja det berättigade intresset enligt GDPR. Behandlingen av dessa uppgifter var därför olaglig.