Ett företag i Tyskland lagrade lagrade känsliga personuppgifter utan tillräckligt hög säkerhet samt hade lagrat känsliga personuppgifter för länge. GDPR skiljer på vanliga, integritetskänsliga och känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter om hälsa, religion eller politiska åsikter.
I detta fall handlade det om uppgifter om hälsa, vilket många företag lagrar. Exempelvis information om sjukfrånvaro. Exempel på integritetskänsliga personuppgifter är kreditkortsuppgifter. Däremot är inga uppgifter om ekonomi en känslig personuppgift enligt GDPR.
Lagrade känsliga personuppgifter utan tillräckligt hög säkerhet
Företaget hade lagrat uppgifter om sina anställdas fysiska och psykiska hälsa och det var mer information än vad som var lagligt. I och med att det rör sig om känsliga personuppgifter, är det viktigt att tänka på att det krävs mer säkerhetsåtgärder enligt GDPR.
Det är inte tillåtet att registrera orsaken till varför en anställd blir sjuk. Det är tillräckligt att skriva att personen ifråga är sjuk, för att kunna registrera exempelvis sjukfrånvaro.
Säkerheten brast också, vilket var en anledning till varför företaget fick en sanktionsavgift. Den tyska motsvarigheten till IMY gav en sanktionsavgift på 15 000 euro till företaget. I och med att det är känsliga personuppgifter måste säkerheten vara hög. I detta fall var registret innehållande de känsliga personuppgifterna tillgängligt online, utan någon god säkerhet eller system för autentisering.
Här kan du läsa mer om detta ärendet via European Data Protection Boards hemsida.