Italien: Comune di Villasimius får 4 000 euro i sanktionsavgift för att olagligen ha publicerat namn och omdömen om arbetssökande på sin webbplats

Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 4 000 euro mot Comune di Villasimius överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Comune di Villasimius anordnat ett offentligt urvalsförfarande för att anställa en chef för en av sina enheter. Den registrerade deltog i detta förfarande och delade personuppgifter med Comune di Villasimius, såsom sitt CV, sitt födelsedatum och sitt examensbevis.

Comune di Villasimius publicerade protokollet från styrelsemötet där kandidaterna utvärderades på sin webbplats. Detta dokument innehöll de ovannämnda personuppgifterna. Den registrerade begärde att Comune di Villasimius skulle radera personuppgifterna, men kommunen svarade inte. Den registrerade lämnade därför in ett klagomål till Garante.

Comune di Villasimius påpekade att de efter Garantes meddelande tagit bort dokumentet från webbplatsen. Vidare noterade Comune di Villasimius att den registrerade inte skickat sin begäran om radering till dataskyddsombudets e-postadress, utan till den personliga e-postadressen för kommunens generalsekreterare vid en tidpunkt då den rollen var vakant. Slutligen hävdade Comune di Villasimius att de publicerat dokumentet för att uppfylla sina skyldigheter i fråga om öppenhet.

Garante konstaterade först och främst att en offentlig myndighet endast får behandla personuppgifter enligt artikel 6.1 (c) eller 6.1 (e) GDPR. I det aktuella fallet hävdade Comune di Villasimius att de har en rättslig skyldighet att offentliggöra utvärderingen av den registrerade för att uppfylla de krav på öppenhet som fastställs i nationell förvaltningsrätt.

Garante konstaterade dock att även om en tidigare version av den tillämpliga lagen föreskrev publicering av det aktuella dokumentet, föreskriver den som var i kraft vid tidpunkten för överträdelsen endast en skyldighet att offentliggöra den slutliga rangordningen, dvs. endast namnet på den person som framgångsrikt valts ut. Garante konstaterade därför en överträdelse av artiklarna 5.1 (a) och 6 GDPR.

Slutligen konstaterade Garante att Comune di Villasimius inte i tid besvarat den registrerades begäran om radering utan gjorde det först när Garante inledde förfarandet. Därför konstaterades en överträdelse av artikel 17 GDPR i kombination med artikel 12.3 GDPR.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 6 GDPR, art. 12 GDPR, art. 17 GDPR, art. 58 GDPR, art. 83 GDPR

Sanktionsavgift: 4 000 euro

Mottagare: Comune di Villasimius

Beslutsnummer: 10050145

Beslutsdatum: 2024-07-04

Källa: Beslut

Relaterade nyheter

Kostnadsfritt webbinarium om klassning av AI-system enligt AI-förordningen

Under webbinariet går vi igenom hur AI-system bedöms enligt AI-förordningens olika risknivåer och vad det innebär för din verksamhet.