Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 2 000 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR) vid behandling av tidigare anställdas personuppgifter.
Bakgrund
Av beslutet framgår att två före detta anställda lämnat in klagomål till Garante med uppgifter om att deras namn och kontaktuppgifter fortsatt användes i rubriker i företagets informationsutskick efter att anställningarna upphört. Klagandena anförde att företaget trots information om detta inte raderat uppgifterna. Företaget höll enligt klagandena även de registrerades e-postkonton aktiva i upp till sju månader efter anställningarnas upphörande. De registrerade begärde dessutom tillgång till intyg avseende deltagande i en grundutbildning från 2009, vilket företaget inte lämnat ett tillräckligt svar om.
Företaget anförde som försvar att fortsatt användning av existerande informationsutskick varit temporär i avvaktan på ny version, att e-postkontona inte utgjort företagskonton och inte använts för officiell kommunikation, samt att kursintygen inte fanns i företagets besittning och endast var giltiga i fyra år. Företaget hävdade vidare att begäran om intyg hade inkommit via ombud och därmed inte kunde likställas med en direkt begäran enligt artikel 15 GDPR.
Myndighetens bedömning
Garante konstaterade att fortsatt behandling av de registrerades namn och kontaktuppgifter i informationsutskick, efter anställningarnas upphörande, saknade rättslig grund. Myndigheten bedömde att sådan behandling inte kunde stödjas på att behandlingen var nödvändig för fullgörande av avtal enligt artikel 6.1 (b) GDPR eller rättsliga förpliktelser enligt artikel 6.1 (c) GDPR eftersom det vid tidpunkten inte förelåg något gällande anställningsavtal eller rättsliga arbetsrättsliga förpliktelser som motiverade fortsatt användning.
Garante fann även överträdelse av principen om korrekthet i artikel 5.1 (a) GDPR samt av rätten till radering enligt artikel 17 GDPR. Eftersom personuppgifterna inte längre var nödvändiga för ändamål kopplade till anställningen, förelåg enligt myndigheten en skyldighet att radera uppgifterna. Vidare konstaterade Garante bristande efterlevnad av informations- och kommunikationsskyldigheten i artikel 12 GDPR, då den registrerade inte fick tydlig information eller stöd för utövandet av sina rättigheter, och att företaget enligt den framlagda dokumentationen fortsatte använda uppgifterna även efter att radering begärts via ombud.
Avseende bevarandet av e-postkonton fann myndigheten att det inte framkommit tillräckliga omständigheter för att fastslå en överträdelse i denna del.
Gällande begäran om tillgång till kursintyg konstaterade Garante en överträdelse av artiklarna 12 och 15 GDPR. Bolaget hade enligt myndigheten inte lämnat ett tillräckligt och korrekt svar på tillgångsbegäran. Myndigheten betonade att ansvariga måste informera den registrerade om att handlingar inte längre kan tillhandahållas och ange skälen därtill, samt informera om rätten att inge klagomål till tillsynsmyndighet. Att handlingarna inte längre fanns tillgängliga på grund av att de upphört att gälla befriade inte bolaget från skyldigheten att hantera begäran korrekt.
Slutligen avfärdade Garante bolagets invändning att en begäran från ombud inte omfattades. Med hänvisning till EDPB:s riktlinjer 01/2022 om de registrerades rättigheter framhöll myndigheten att en biträdande tredjepart kan företräda den registrerade, under förutsättning att den personuppgiftsansvarige vid behov kan kontrollera ombudets befogenhet och identitet.
Praktiska konsekvenser
Beslutet påminner om vikten av tydliga rutiner för hantering av personuppgifter vid avslutade anställningar, inklusive radering av uppgifter som inte längre har rättslig grund, samt att begäranden om registerutdrag eller radering hanteras korrekt och inom rimlig tid, oavsett om de inkommer direkt eller via ombud.
Relaterad expertis
TechLaw bistår verksamheter med juridisk rådgivning i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Garante.