Die Berliner Beauftragte für Datenschutz und Informationsfreiheit (BlnBDI) har utfärdat en sanktionsavgift på 215 000 euro mot ett företag för överträdelser av dataskyddsförordningen (GDPR).
Av BlnBDI.s pressmeddelande framgår att den personuppgiftsansvarige hade en databas med särskilda kategorier av personuppgifter om sina anställda. Syftet med databasen vara att välja ut de anställda som skulle avskedas i slutet av en provanställningsperiod. Databasen innehöll bland annat information om vissa anställdas psykologiska status och deras benägenhet att gå med i ett fackförbund. En registrerad lämnade in ett klagomål och BlnBDI som inledde en utredning mot företaget.
BlnBDI konstaterade att företaget i strid med artikel 9.2 GDPR olagligen behandlat särskilda kategorier av uppgifter, däribland hälsouppgifter.
BlnBDI konstaterade också att avtalet mellan arbetsgivaren och de anställda inte kunde utgöra en giltig rättslig grund för den aktuella behandlingen. BlnBDI medgav att en arbetsgivare under särskilda omständigheter kan begära att dess anställda tillhandahåller vissa uppgifter, inklusive känsliga sådana. Den aktuella behandlingen i det aktuella fallet var dock inte nödvändig inom ramen för avtalet och stred mot principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR, trots att behandlingen baserades på uppgifter som lämnats direkt av arbetstagarna. Mot bakgrund av ovanstående utfärdade BlnBDI en sanktionsavgift på 215 000 euro mot företaget.