Datatilsynet har uttryckt allvarlig kritik mot att NCC Danmark A/S behandling av personuppgifter inte utförts i enlighet med reglerna i dataskyddsförordningen (“GDPR”) om laglig behandling av personuppgifter och känsliga personuppgifter, och att NCC inte fullgjort sin informationsskyldighet avseende de personuppgifter som NCC samlat in om sina anställda.
Av beslutet framgår att NCC sagt upp en anställd och att uppsägningen blivit ett ärende vid arbetsdomstolen med hänvisning till anti-organisatoriskt beteende vid tidpunkten för uppsägningen. Ärendet hade samtidigt uppmärksammats av media.
Vid en intern genomgång i ett e-postmeddelande till flera av sina anställda behandlade NCC personuppgifter om uppsägningen i form av namn, skäl för uppsägningen, tidigare anställningsförhållanden och medlemskap i fackförening. NCC motiverade genomgången i e-postmeddelandet med den turbulens som orsakats av medias täckning av ärendet.
Datatilsynet konstaterade att NCC:s behandling av personuppgifter och känsliga personuppgifter i e-postmeddelandet inte utförts i enlighet med reglerna i GDPR, eftersom NCC inte visat att företaget haft ett berättigat intresse av att informera om uppsägningen och om den anställdas tidigare anställningsförhållande. NCC hade vidare inte rätt att behandla informationen om den pågående konflikten med en viss fackförening, eftersom det finns ett absolut förbud mot behandling av uppgifter som rör facklig tillhörighet, och att inget av undantagen från förbud enligt GDPR var tillämpligt i ärendet.
Vidare konstaterade Datatilsynet att NCC inte hade fullgjort sin informationsskyldighet till sina anställda, eftersom det inte var tillräckligt att personuppgiftspolicyn för anställda fanns tillgänglig på intranätet om den registrerade inte särkilt hänvisats till att ta del av policyn.