Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 50 000 euro mot Regione Lombardia för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att Garante genomförde en utredning på eget initiativ mot Regione Lombardia för att kontrollera efterlevnaden av behandlingen av uppgifter från de registrerade, inklusive uppgifter som hanteras i samband med distansarbete. Utredningen visade att Regione Lombardia loggade all surfaktivitet från de anställdas datorer samt metadata från de anställdas arbetsmejl. Loggarna lagrades i 12 månader och metadata från e-postmeddelanden i 90 dagar. De lagrade uppgifterna omfattade de anställdas försök att komma åt svartlistade webbplatser. Uppgifterna var föremål för strikta åtkomstkontroller och analyserades enbart för cybersäkerhetsändamål.
Vid tidpunkten för undersökningen lagrades navigeringsloggar och e-postmetadata utan att fackföreningar involverades, även om samråd med fackföreningarna pågick och en överenskommelse senare nåddes och formaliserades. Garante undersökte också Regione Lombardias användning av ett ärendehanteringssystem som tillhandahölls av ett personuppgiftsbiträde. Myndigheten fann att öppna ärenden lagrades på obestämd tid i systemet. Regione Lombardia stängde senare av systemet, upphörde att samarbeta med personuppgiftsbiträdet och uppmanade leverantören att radera alla uppgifter som rörde tjänster som tillhandahölls regionen.
Garante ansåg att insamlingen och lagringen av webbläsarloggar och e-postmetadata utgjorde system för fjärrövervakning av anställda i den specifika betydelsen i italiensk arbetsrätt. Myndigheten konstaterade att Regione Lombardia inte uppfyllde kraven för att införa ett sådant system enligt arbetsrätten och att behandlingen av uppgifter om anställda inte omfattades av något undantag enligt italiensk lag. Av dessa skäl drog Garante slutsatsen att insamlingen och lagringen av webbläsarloggar och e-postmetadata stred mot arbetsrätten och saknade rättslig grund i strid med artiklarna 5.1 (a), 6 och 88 GDPR.
Myndigheten konstaterade dessutom att Regione Lombardia lagrade navigeringsloggar under alltför lång tid, vilket stred mot artiklarna 5.1 (c), 5.1 (e) och 25 GDPR, och att regionen samlade in information som inte var relevant för de anställdas arbete i strid med artikel 5.1 (c) GDPR. Myndigheten påpekade också att Regione Lombardia underlät att genomföra en konsekvensbedömning avseende dataskydd enligt artikel 35 GDPR och bröt mot artiklarna 5.1 (c), 25 och 28 GDPR genom att tillåta leverantörerna av ärendehanteringssystemet att lagra öppna ärenden, inklusive anställdas namn, under alltför lång tid samt genom att underlåta att upprätta personuppgiftsbiträdesavtal.
Garante utfärdade därför en sanktionsavgift på 50 000 euro och beordrade Regione Lombardia att åtgärda sina överträdelser. Myndigheten krävde särskilt att regionen anonymiserar uppgifter om åtkomst till svartlistade webbplatser, begränsar lagringen av navigeringsloggar till 90 dagar genom att antingen anonymisera eller radera loggarna, pseudonymiserar navigeringsloggar genom att kryptera namnet på användaren av varje företagsdator, kräver att leverantörerna av ärendehanteringssystemet pseudonymiserar uppgifter samt begränsar tillgången till uppgifterna till ett fåtal anställda med ansvar för incidenthantering och ger dessa utbildning i dataskydd.