Garante per la protezione dei dati personali (Garante) har utfärdat en reprimand mot den italienska centralbanken Banca d’Italia för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en anställd vid Banca d’Italia, under ett rekryteringsförfarande, av misstag skickat ett e-postmeddelande till 500 mottagare, där varje kandidats e-postadress var tydligt synlig. Genom att använda alternativet kopia (CC) i stället för hemlig kopia (BCC) avslöjade den anställde de arbetssökandes e-postadresser för varandra.
E-postmeddelandet i fråga innehöll allmän information, inklusive en begäran om feedback. Den anställde informerade inte personen som ansvarade för dataskydd på Banca d’Italia varför banken initialt inte vidtagit några åtgärder efter incidenten. Inte heller mottagarna framförde några klagomål mot banken.
När Banca d’Italia fick kännedom om överträdelsen skickade banken ett nytt e-postmeddelande till de arbetssökande och instruerade dem att radera e-postmeddelandet med de synliga adresserna och att inte använda dem eller lämna ut dem till tredje part. Banca d’Italia hävdade också att händelsen var en isolerad händelse och att den inte återspeglade de organisatoriska åtgärder som banken tillämpar för att skydda personuppgifter.
Garante ansåg att e-postadresserna var personuppgifter eftersom deltagarna kunde identifieras genom dessa e-postadresser enligt artikel 4.1 GDPR. Genom att lämna ut sådan information hade Banca d’Italia genomfört en behandling enligt artikel 4.2 GDPR utan att det fanns någon rättslig grund för detta, vilket utgjorde en överträdelse av artiklarna 5.1 (a) och 6 GDPR.
Garante beaktade dock det faktum att Banca d’Italia genomfört tekniska och organisatoriska säkerhetsåtgärder efter att de fått vetskap om incidenten, och att detta var den första överträdelsen. Dessutom hörde de uppgifter som lämnats ut inte till särskilda kategorier av uppgifter enligt artikel 9 GDPR. Garante drog därför slutsatsen att omständigheterna kring överträdelsen kvalificerade den som en mindre överträdelse enligt definitionen i skäl 148 i GDPR och utfärdade en reprimand enligt artikel 58.2 (b) GDPR.