Den italienska dataskyddsmyndigheten, Garante per la protezione dei dati personali (“Garante”), har bötfällt Bolzano kommun med 84 000 euro för brott mot artiklarna 5.1 a och c, 6, 9, 13 och 35 i dataskyddsförordningen (“GDPR”).
Av beslutet framgår att en tidigare anställd i Bolzano kommun lämnat in ett klagomål till tillsynsmyndigheten mot kommunen. Den förre detta medarbetaren klagade bland annat på att kommunen behandlade personuppgifter relaterade till hans internetanvändning under arbetstid. Medarbetaren ska ha fått ett meddelande om att ett disciplinförfarande inletts genom vilket kommunen anklagat honom för att använda Facebook i mer än 40 minuter och YouTube i mer än 3 timmar under hans arbetstid, samt för att använda kommunens dator för privata ändamål.
Garantes utredning visade att kommunen använt ett system för att kontrollera och filtrera anställdas internetsurfning i ungefär ett decennium, med månadsvis lagring av data. Kommunen hade också skapat särskilda rapporter för nätverkssäkerhetsändamål. Systemet samlade därutöver in information som inte hade med de anställdas yrkesverksamhet att göra och som rörde deras privatliv.
Enligt Garante har Bolzano kommun agerat i strid med GDPR:s principer om uppgiftsminimering, laglighet och ändamålsbegränsning (artikel 5 GDPR). Kommunen borde snarare enligt Garante ha vidtagit mindre påträngande åtgärder för att förhindra privat användning av internet. Garante påpekade också att behovet av att minska risken för missbruk av internetanvändning på arbetsplatsen inte får leda till en fullständig eliminering av de registrerades integritet, även i de fall där anställda använder nätverkstjänster som tillhandahålls av arbetsgivaren.
Garante ansåg vidare att Bolzano kommun inte informerat anställda om kommunens insamling av internethistorik, vilket strider mot informationsskyldigheten enligt artikel 13 i GDPR. Därutöver framkom ytterligare brister i kommunens behandling av anställdas uppgifter vid begäran om extraordinära läkarundersökningar som gjordes med hjälp av en särskild blankett. Enligt kommunens rutiner skulle formuläret kontrolleras av varje medarbetares chef, vilket innebär en olaglig behandling av hälsodata (artikel 9 GDPR). Slutligen konstaterade Garante att Bolzano kommun inte genomfört nödvändiga konsekvensbedömningar avseende dataskydd i enlighet med artikel 35 GDPR.