I juli 2023 utförde en anställd vid en ambassad i Belgien en obehörig granskning av det nationella registret för att få information om en barndomsvän. När den berörda personen upptäckte den misstänkta åtkomsten, utövade hon sin rätt till tillgång enligt GDPR och begärde att få veta vem som hade genomfört granskningen. Efter att inte ha fått svar skickade personen en påminnelse. Den 22 augusti 2023 bekräftade ambassadens dataskyddsombud mottagandet av begäran och vidarebefordrade den till den relevanta avdelningen. Dataskyddsombudet informerade personen om att det skulle ta mer än en månad att bearbeta begäran på grund av att externa förfaranden till ambassaden tar längre tid.
När personen skickade ett e-postmeddelande till ambassaden och förklarade att hon skulle lämna in ett klagomål till den belgiska dataskyddsmyndigheten om hon inte fick svar innan månadens slut svarade dataskyddsombudet samma dag. Ombudet meddelade att granskningen visat att konsultationen hade utförts privat av en barndomsvän till personen, som också var anställd vid ambassaden och ville återuppta kontakten. Dataskyddsombudet angav att konsultationer för annat än konsulära syften var förbjudna och skulle leda till administrativa sanktioner. De uppgav dock inte vem personen i fråga var. Efter detta lämnade personen in ett klagomål till dataskyddsmyndigheten.
Angående det sena svaret på tillgångsbegäran konstaterade myndigheten att GDPR kräver att den ansvarige svarar utan onödigt dröjsmål och inom en månad från mottagandet av begäran. Myndigheten ansåg att svaret var försenat och översteg tidsgränsen avsevärt, då det tog tre och en halv månad för ambassaden att svara. Ambassaden bekräftade mottagandet av begäran en månad efter att personen utövat sin rätt. Myndigheten påpekar dock att tidsfristen för att svara börjar gälla när ansvarige mottagit begäran genom sina officiella kanaler, inte när de faktiskt blir medvetna om begäran.
När det gäller begäran om att få veta identiteten på den anställde som genomfört granskningen, konstaterade myndigheten att GDPR inte ger en generell rätt att få tillgång till information om identiteten på anställda som utför verksamhet under ansvariges ledning, om inte den informationen är avgörande för att personen effektivt ska kunna utöva sina rättigheter under GDPR. Dataskyddsmyndigheten ansåg dock att i det här fallet, där granskningen genomfördes privat av en barndomsvän och inte under ambassadens ledning, var begäran ofullständig eftersom ambassaden inte avslöjade den anställdes identitet och inte gav något rättfärdigande för detta. Dataskyddsmyndigheten utfärdade därför en varning mot ambassaden för bristande efterlevnad av GDPR.
