Agencia Espanola Proteccion Datos (AEPD) har bötfällt Sean Serios S.L med 12 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att den registrerade lämnat in ett klagomål mot utbildningsakademin Sean Serios för att olagligt ha publicerat den registrerades personuppgifter på en webbplats. Offentliggörandet innehöll resultat av ett urvalsförfarande i vilket den registrerade deltagit i. Mer specifikt innehöll dokumentet en förteckning med namn, efternamn, anonymiserade ID-nummer och kategorier som tilldelats deltagarna. Förteckningen gjorde det möjligt att identifiera hälsouppgifter om funktionshinder.
Därutöver motsvarade förteckningen det preliminära offentliggörandet av resultaten från den galiciska hälso- och sjukvården (SERGAS), den myndighet som är behörig för undersökning och urval av kandidater. De båda listorna var olika, och Sean Serios gjorde därför en omarbetning av den officiella listan genom att välja ut några kandidater, gruppera dem i kategorier, dela upp deras betyg (studier, arbetslivserfarenhet, andra aktiviteter) och tilldela dem en plats enligt deras totala poäng.
AEPD inledde ett sanktionsförfarande mot Sean Serios på grund av en påstådd överträdelse av artikel 6.1 GDPR för avsaknad av rättslig grund för behandling av personuppgifter, inklusive särskilda kategorier av personuppgifter. Dessutom påstods publikationen inte innehålla obligatorisk information om uppgifternas ursprung eller rätten att göra invändningar.
Som svar hävdade Sean Serios att den rättsliga grunden var ett berättigat intresse eftersom akademin erbjöd utbildningskurser och publikationen på ett tydligt sätt visade deltagarna vilken ställning de hade uppnått. Sean Serios hävdade att det inte rörde sig om en behandling som utfördes inom ramen för deras normala verksamhet eftersom den endast gjordes en gång, i samband med det specifika urvalsförfarandet. Ett annat argument var att informationen hade offentliggjorts av SERGAS och att kandidater som deltog i det offentliga urvalsförfarandet förväntade sig att deras uppgifter skulle offentliggöras på grund av skyldigheten till öppenhet.
I första hand konstaterade AEPD att offentliggörandet av de registrerades för- och efternamn på en webbplats ansågs vara behandling av personuppgifter. Dessa uppgifter gjorde det möjligt att identifiera de registrerade eftersom förteckningen innehöll namn på personer som uppfyller kraven för att registrera sig i en viss kategori, och fler element som gör det möjligt för en bredare publik att identifiera dem.
När det gäller påståendet om uppgifternas offentliga karaktär, eftersom de offentliggjorts på SERGAS webbplats, ansåg AEPD att en webbplats inte är en offentligt tillgänglig källa. Om uppgifterna dessutom gjordes tillgängliga av en offentlig enhet för ett specifikt ändamål måste den personuppgiftsansvariges förteckning bygga på sin egen rättsliga grund. När det gäller begreppet offentligt tillgängliga källor reglerar dataskyddsförordningen det i samband med rätten till information när uppgifterna inte samlades in från den registrerade. Under alla omständigheter måste uppgifter som finns i en offentligt tillgänglig källa ha en rättslig grund för vidare behandling.
När det gäller det berättigade intresset noterade AEPD att det i artikel 29 i arbetsgruppens yttrande 6/2014 anges att det är nödvändigt att ta hänsyn inte bara till den registrerades grundläggande rättigheter och friheter utan även till dennes intressen och att “legitimt” innebär behovet av behandling och användningen av den minst invasiva metoden för att uppnå samma mål. Sean Serios kunde till exempel ha informerat endast deltagarna om resultaten men valde att informera allmänheten i allmänhet.
När det gäller konsekvensbedömningar av uppgifter betonade AEPD vilka faktorer som ska ingå, till exempel parternas förhandlingsposition (särskilt den personuppgiftsansvariges), om det finns en rimlig förväntan på ytterligare behandling, hur den personuppgiftsansvarige behandlar uppgifterna (inklusive om det finns profilering eller inte) och behovet av en avvägning mellan den registrerades rättigheter och intressen och den personuppgiftsansvariges berättigade intresse, vars resultat måste visa att det sistnämnda är övervägande, vilket är det enda fallet där man kan förlita sig på artikel 6.1 (f) GDPR.
I det aktuella fallet konstaterade AEPD inte att Sean Serios intresse övervägde den registrerades rättigheter av följande skäl. Behandlingen var inte nödvändig för de ursprungliga insamlingsändamålen, de registrerade informerades inte om offentliggörandet av resultaten på webbplatsen, känsliga uppgifter ingick i förteckningen, principen om begränsning av lagringstiden överskreds (offentliggörandet pågick i mer än tre månader), konsekvensbedömningen var ofullständig och det fanns ingen information om rätten att göra invändningar, vilket är obligatoriskt när man åberopar berättigat intresse som rättslig grund för behandlingen enligt artikel 21.1 GDPR.
Mot denna bakgrund bötfällde AEPD Sean Serios med 12 000 euro för en överträdelse av artikel 6.1 GDPR på grund av att det saknades en giltig rättslig grund för behandlingen.