En registrerad lämnade in ett klagomål till den slovenska dataskyddsmyndigheten mot ett företag för att ha vidarebefordrat och avslöjat låntagares personuppgifter till deras arbetsgivare. Den registrerades identifierings-, finansiella och ekonomiska data behandlades på grund av ett säkerhetsfel av den ansvariga personen, en chef på riskhanteringsenheten.
Dataskyddsmyndigheten konstaterade att den personuppgiftsansvarige inte uppfyllde villkoren för laglig behandling enligt GDPR. Eftersom de registrerade inte hade samtyckt till att deras personuppgifter delades med deras arbetsgivare, bröt den ansvariga personen hos arbetsgivaren mot bestämmelser i den slovenska dataskyddslagen genom att bryta mot de grundläggande principerna för databehandling. Dessutom misslyckades direktören med att upprätthålla säkerhetsåtgärder vilket ledde till att låntagarnas data delades med deras arbetsgivare. Underlåtenheten att genomföra lämpliga tekniska och organisatoriska åtgärder för att säkerställa säkerheten för låntagarnas personuppgifter utgör ett brott mot den personuppgiftsansvariges skyldighet enligt GDPR.
Eftersom överträdelsen inträffade inom ramen för direktörens affärsverksamhet och på uppdrag av den juridiska person som de representerade, bör ansvaret enligt slovensk lagstiftning tilldelas den ansvariga individen som begick överträdelsen. Som ett resultat utfärdade myndigheten en varning till både direktören och dess arbetsgivare.