En före detta anställd på ett företag upptäckte att hennes tidigare arbetsgivare hade publicerat en bild på henne i samband med en rekryteringskampanj på företagets hemsida och sociala medier. Hon hade inte godkänt detta och jobbade under den tiden på en konkurrent till företaget. Hon begärde att företaget skulle radera alla hennes bilder och inte använda dem i framtiden, något som företaget vägrade. Då beslutade hon att skicka in ett klagomål till den belgiska dataskyddsmyndigheten.
Dataskyddsmyndigheten konstaterade först att en persons namn och bild klassificeras som personuppgifter enligt GDPR. Dataskyddsmyndigheten konstaterar sedan att företaget saknar laglig grund för behandlingen. Eftersom anställningskontraktet, innehållandes rätten att publicera bilder, slutade gälla två år innan behandlingen, när den anställda sa upp sig, samt att publiceringen av bilderna inte kunde anses vara nödvändigt för anställningskontraktet, kunde inte företaget förlita sig på någon laglig grund. Myndigheten fann inte heller att det var nödvändigt för personuppgiftsansvariges berättigade intresse eftersom det inte ansågs nödvändigt att publicera tidigare anställda. Eftersom företaget inte raderade uppgifterna efter begäran bröt de även mot rätten till radering enligt GDPR. Den belgiska dataskyddsmyndigheten konstaterar därmed att företaget har begått en överträdelse av GDPR och beordrar det att radera uppgifterna inom 30 dagar.
