Agencia Espanola Proteccion Datos (AEPD) har bötfällt Servicios Especiales S.A med 80 000 euro för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett krav mot sin tidigare arbetsgivare Servicios Especiales för olaglig överföring av uppgifter om sitt tidigare fackföreningsmedlemskap. Enligt den registrerade skickade Servicios Especiales ett rekommenderat brev till CGT Union där de förklarade att den registrerade varit arbetstagarrepresentant i en annan fackförening (Sindicato Unitario de Huelva) och att detta kunde leda till en oförenlighet med den nuvarande nomineringen i CGT Union.
Dessutom hävdade den registrerade att uppgift om medlemskap i fackföreningen tillsammans med andra uppgifter också delats med media. Den registrerade visade ett brev från Servicios Especiales där det stod att “[den registrerades] disciplinära uppsägning skedde innan CGT Union utnämnde den registrerade till företagets fackliga sektionssekreterare, eftersom den registrerade var medlem i Sindicato Unitario de Huelva när den registrerade avskedades”. Dessutom publicerades i ett annat medium att den registrerade avskedats av disciplinära skäl.
Mot bakgrund av ovanstående inledde AEPD ett sanktionsförfarande. Servicios Especiales hävdade att delningen av uppgifter om medlemskap i fackföreningar skett inom ramen för ett gemensamt rättsligt samarbete mellan Servicios Especiales och arbetstagarna som utnyttjar sin rätt till fackföreningsfrihet. Att den registrerade omnämnts i detta samspel berodde enligt Servicios Especiales på personens relation till både fackföreningar och företaget, och att den information som delats hade direkt effekt på rätten till fackföreningsfrihet.
AEPD konstaterade initialt att uppgifter om fackföreningsmedlemskap utgör känsliga uppgifter i den mening som avses i artikel 9 GDPR. AEPD hänvisade till artikel 9.1 GDPR som förbjuder behandling av dessa särskilda kategorier av personuppgifter. Enligt AEPD innehåller artikel 9.2 GDPR en förteckning över undantag från detta förbud. Ett av dessa undantag tillåter behandling av känsliga uppgifter för att bedöma de anställdas arbetsförmåga. Dessutom anges i artikel 9.3 GDPR att behandlingen ska vara tillåten om den utförs av eller under ansvar av en yrkesutövare som omfattas av tystnadsplikt.
AEPD konstaterade vidare att artikel 6 GDPR innehåller de rättsliga grunderna för laglig behandling. Därför fastställer dessa två artiklar enligt AEPD omständigheterna för laglig behandling av de allmänna respektive särskilda kategorierna av uppgifter.
AEPD hänvisade även till EDPB:s (tidigare Artikel 29-gruppen) riktlinjer om automatiserat individuellt beslutsfattande och profilering, där det anges att personuppgiftsansvariga endast får behandla känsliga uppgifter om ett av villkoren i artikel 9.2 GPDR är uppfyllt, utöver något av villkoren i artikel 6 GDPR.
I detta fall hävdade Servicios Especiales enligt AEPD att de hade ett berättigat intresse av att behandla uppgifterna och bad därför inte om den registrerades samtycke. Ett berättigat intresse, även om Servicios Especiales haft ett sådant, kan dock enligt AEPD inte utgöra en rättslig grund för behandling av känsliga uppgifter.
Med hänsyn till detta drog AEPD slutsatsen att Servicios Especiales inte haft en giltig rättslig grund för behandlingen av uppgifter om medlemskap i fackföreningar. AEPD bötfällde därför Servicios Especiales med på 80 000 euro för överträdelser av artiklarna 6 och 9 GDPR, ett belopp som sänktes till 64 000 euro på grund av frivillig betalning.