Agencia Española de Protección de Datos (AEPD) har utfärdat en sanktionsavgift på 120 000 euro mot ett företag för brister i säkerhetsåtgärder och åtkomstbegränsning vid hantering av personuppgifter i strid med dataskyddsförordningen (GDPR).
Bakgrund
Av beslutet framgår att flera anställda i bolaget anmälde trakasserier på arbetsplatsen. Arbetsgivaren inledde därefter ett internt förfarande för att utreda klagomålen.
I samband med att resultaten av utredningarna kommunicerades skickades beslut och bilagor till berörda personer utan att uppgifterna anonymiserades eller redigerades. Detta innebar att mottagarna fick tillgång till uppgifter om samtliga klagomål, inklusive namn, arbetsuppgifter och befattningar för de berörda personerna. Uppgifterna kom därefter att spridas vidare internt, bland annat genom meddelanden i arbetsrelaterade chattgrupper. Två av de personer som lämnat in klagomål anmälde händelsen till AEPD.
Myndighetens bedömning
AEPD konstaterade att bolaget brutit mot artikel principen om integritet och konfidentialitet enligt artikel 5.1 (f) GDPR genom att sprida personuppgifter om både anmälare och anmälda via e-post till en vidare mottagarkrets än vad som var nödvändigt, inklusive fackliga företrädare och berörda anställda.
AEPD understök vidare att det saknades betydelse att vissa mottagare redan varit kända till identiteterna då varje ytterligare spridning utgör en självständig behandling som måste vara nödvändig och rättfärdigad enligt GDPR.
Vid fastställandet av sanktionsavgiften beaktade AEPD bland annat uppgifternas känsliga karaktär och den särskilda integritetskänslighet som följer av trakasseriärenden i arbetslivet. Den ursprungliga sanktionsavgiften om 200 000 euro reducerades till 120 000 euro efter att företaget erkänt överträdelsen och gjort en omgående betalning.
Praktiska konsekvenser
Beslutet visar att arbetsgivare måste säkerställa att personuppgifter som behandlas i interna utredningar hanteras med särskild försiktighet. Även intern spridning av uppgifter kan innebära en överträdelse av GDPR om uppgifterna inte begränsas till de personer som behöver dem.
Relaterad expertis
TechLaw bistår verksamheter i frågor som rör dataskydd och regelefterlevnad enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Vill ni diskutera hur dataskyddsreglerna bör tillämpas i er verksamhet är ni välkomna att kontakta oss.
Källa: AEPD.