Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 18 000 euro mot kommun för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en före detta anställd vid kommunen lämnade in ett klagomål till Garante med stöd av GDPR. Den registrerade begärde att kommunen skulle rätta hennes personalakt genom att avlägsna formuleringen ”misslyckades med provanställningen”, som hon ansåg vara felaktig och skadlig. Hon invände även mot offentliggörandet av beslutet om hennes uppsägning samt beslutet om anställning av en ersättare. Därutöver ifrågasatte hon publiceringen av tävlingsrankningar som innehöll personuppgifter och poäng avseende andra sökande.
Kommunen anförde att den hade agerat i god tro, avlägsnat den omtvistade uppgiften och publicerat en rättelse som överenskommits med den registrerade. Kommunen gjorde vidare gällande att skyldigheten till öppenhet motiverade offentliggörandet och hänvisade till vidtagna åtgärder för att begränsa spridningen av personuppgifter, åtgärda tekniska brister, utbilda personal samt involvera dataskyddsombudet.
Garante konstaterade att kommunen hade brutit mot artikel 5 GDPR samt artikel 6.1 (f) GDPR genom att offentliggöra personuppgifter utan giltig rättslig grund och genom att åsidosätta principerna om laglighet, korrekthet, öppenhet och uppgiftsminimering. Enligt Garante gav kraven på öppenhet inte stöd för offentliggörande av personalhandlingar eller handlingar rörande urvals- och rekryteringsförfaranden som innehöll personuppgifter. Även om ett sådant offentliggörande hade varit tillåtet, hade handlingarna i vart fall varit tillgängliga online under längre tid än vad tillämplig lagstiftning medger.
Garante konstaterade vidare att kommunen inte hade gjort någon bedömning av vilka personuppgifter som var nödvändiga att offentliggöra och inte heller vidtagit tillräckliga åtgärder för att förhindra indirekt identifiering. De offentliggjorda handlingarna möjliggjorde identifiering av den registrerade och andra sökande genom uppgifter om anställningsförhållanden och resultat i urvalsprov. Myndigheten underströk att varken partiell anonymisering eller efterföljande rättelser kunde legitimera det ursprungligen olagliga offentliggörandet.
Slutligen konstaterade Garante att kommunen inte hade hanterat den registrerades begäran om att utöva sina rättigheter enligt artiklarna 15–22 GDPR på ett korrekt sätt. Kommunen lämnade inte svar inom föreskriven tid, angav inte skälen för bristande efterlevnad och informerade inte den registrerade om rätten att inge klagomål till tillsynsmyndighet, i strid med artikel 12.3 GDPR samt artikel 16 GDPR.
Beslutet illustrerar att offentliggörande av personuppgifter i personal- och rekryteringsärenden kräver en tydlig rättslig grund och en noggrann bedömning av vilka uppgifter som är nödvändiga att publicera.
TechLaw bistår verksamheter i frågor som rör dataskydd, personuppgiftsansvar och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor om hur dataskyddsreglerna påverkar er verksamhet är ni välkomna att kontakta oss.
Källa: Garante.