Agencia Espanola Proteccion Datos (AEPD) har utfärdat en reprimand mot civilgardet De La Guardia för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade arbetar för civilgardet men är sjukskriven på grund av stress i arbetet. Under sjukskrivningen fick den registrerade ett e-postmeddelande där den registrerade varnades för ett meddelande som skickats av den personuppgiftsansvarige till den gemensamma e-postadressen i verksamheten där medlemmar i civilgardet uppmanats att lämna tillbaka sina vapen. I meddelandet angavs också att den registrerade bör anmäla sig till befälets psykologkontor för undersökning. Den registrerade lämnade därefter in ett klagomål till AEPD och hävdade att hans privatliv kränkts.
Under förfarandet hävdade den personuppgiftsansvarige att det i e-postmeddelandet inte fanns någon hänvisning till den registrerades diagnos eller andra hälsouppgifter. Den personuppgiftsansvarige hävdade att eftersom den registrerade var frånvarande var sjukskrivningen känd av de andra medlemmarna i civilgardet, oavsett formell kommunikation. Vidare hävdade den personuppgiftsansvarige att denna information var nödvändig för att se till att den överordnade officeren inte utsåg tjänster till den registrerade förrän denne åter var i tjänst.
Den personuppgiftsansvarige hävdade också att den psykologiska bedömningen är ett vanligt förfarande och att den är nödvändig för att kontrollera om civilgardet är i stånd att återuppta sina uppgifter. Dessutom försökte den personuppgiftsansvarige att förlita sig på ett undertecknat formulär för informerat samtycke som godkänner behandlingen av deras medicinska uppgifter, men den registrerade hävdade att det var felaktigt, inte särskilt transparent och inte överensstämde med artikel 13 GDPR. AEPD konstaterade också att den informerade samtyckesblanketten hänvisade till upphävd nationell rätt som gällde före dataskyddsförordningen.
AEPD framhöll att även om det kan vara nödvändigt att informera den registrerades överordnade om ledigheten är det onödigt att lägga till specifika medicinska uppgifter, som exempelvis ett möte på psykologmottagningen. Det hade räckt att informera om att den registrerade inte skulle vara tillgänglig för tjänstgöring på grund av en sjukskrivning, utan att uttryckligen nämna orsaken till sjukskrivningen eller de tester som den registrerade måste genomgå.
Av dessa skäl ansåg AEPD att utlämnandet av informationen om att den registrerade bör anmäla sig till befälets psykologkontor för undersökning var överdriven i förhållande till det avsedda ändamålet med behandlingen enligt artikel 5.1 (c) GPDR och skäl 39 i GDPR.
TechLaw bistår verksamheter i frågor som rör utlämnande av personuppgifter, sekretess och dataskydd. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: AEPD.