Datatilsynet anser att Securitas A/S behandling av personuppgifter skett i överensstämmelse med reglerna i dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade var anställd av Securitas A/S som säkerhetsvakt. En anställning som säkerhetsvakt hos Securitas förutsätter ett godkännande av polischefen (Rigspolitichef). För anställda som utför jourtjänstgöring i samband med kunder med särskilda säkerhetskrav måste anställningen också godkännas av polisens underrättelsetjänst (Politiets Efterretningstjeneste, PET).
I samband med anställningen hos Securitas kontaktades den registrerade av försvarsunderrättelsetjänsten (Forsvarets Efterretningstjänst, FE) eftersom den registrerade nominerats för en säkerhetsprövning och därför ansågs ha fyllt i ett elektroniskt formulär för behandlingen.
Den registrerade klagade till Datatilsynet över att Securitas lämnat ut personuppgifter till FE, eftersom den registrerade uppgav att han eller hon inte samtyckt till ett sådant utlämnande. Den registrerade uppgav att Securitas lämnat ut hans eller hennes personuppgifter, såsom yrkestitel, fullständigt namn och personnummer. Enligt den registrerade har han eller hon inte fyllt i den informationsblankett som Securitas hänvisade till, varför det därför inte lämnats något samtycke. Den registrerade hävdade också att hans eller hennes personuppgifter lämnats ut till FE utan hans eller hennes vetskap.
Securitas hävdade att utlämnandet av den registrerades personuppgifter till både FE och PET var berättigat. Securitas uppgav att den registrerade vid tidpunkten för utlämnandet av personuppgifter var anställd som säkerhetsvakt och att alla sådana jouranställda informeras om kravet på säkerhetsprövning via en kommunikationsportal. Enligt Securitas har den registrerade fyllt i informationsformulär 2 och därmed i en samtyckesförklaring. Securitas hävdade också att ansökan om säkerhetsgodkännande skulle ha avvisats om den registrerade inte hade fyllt i, undertecknat och samtyckt till den.
Datatilsynet konstaterar inledningsvis att samtycke enligt artikel 6.1 (a) GDPR endast sällan kommer att uppfylla kravet på att ha lämnats frivilligt på grund av det ojämlika förhållande som vanligtvis råder mellan arbetsgivare och arbetstagare. På grundval av detta ansåg Datatilsynet att det samtycke som den registrerade och Securitas hänvisade till inte utgjorde ett giltigt samtycke enligt dataskyddsförordningen.
Datatilsynet konstaterade dock att Securitas hade rätt att vidarebefordra den registrerades personuppgifter i enlighet med regeln om intresseavvägning enligt artikel 6.1 (f) GDPR, enligt vilken behandling av personuppgifter kan ske om behandlingen är nödvändig för att tillgodose den personuppgiftsansvariges eller en tredje parts berättigade intressen, utom när dessa intressen åsidosätts av den registrerades intressen eller grundläggande rättigheter och friheter som kräver skydd av personuppgifter.
Datatilsynet betonade att det var nödvändigt att erhålla det relevanta säkerhetsgodkännandet för att Securitas som arbetsgivare skulle kunna säkerställa att den registrerade i egenskap av anställd kunde utföra de uppgifter som var nödvändiga i samband med anställningen.