Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 6 000 euro mot Conservatorio Santa Cecilia di Roma för överträdelser av dataskyddsförordningen (GDPR) och Codice della privacy.
Av beslutet framgår att en studentförening vid Conservatorio Santa Cecilia di Roma (den personuppgiftsansvarige) hållit en sammankomst via Zoom. En okänd person sparade en inspelning av sammankomsten på en USB-minne och lämnade enheten i lokalen, där den hittades och visades för skolans rektor. Rektorn ansåg att en av skolans elever (den registrerade) kränkt skolans rykte under sammankomsten. Av denna anledning inledde skolan ett disciplinärt förfarande mot eleven och utsåg en expert som transkriberade elevens uttalanden på inspelningen. Den registrerade lämnade därefter in ett klagomål till Garante.
I sitt försvar konstaterade den personuppgiftsansvarige att rektorer har disciplinära befogenheter över elever enligt italiensk lag och att de har rätt att utreda elevers uppförande utanför skolan. Av denna anledning hävdade den personuppgiftsansvarige att skolan behandlade den registrerades uppgifter som ett led i skolans myndighetsutövning enligt artikel 6.1 (e) GDPR. Den personuppgiftsansvarige hävdade också att eleverna inte kunde förvänta sig någon integritet under sammankomsten eftersom länkar till Zoom-mötet var allmänt tillgängliga på sociala medier.
Garante ansåg att rektorn inte haft befogenhet att få tillgång till personuppgifter som slumpmässigt upptäcktes på ett borttappat USB-minne. Av denna anledning ansåg Garante att den ursprungliga insamlingen av uppgifterna saknade rättslig grund enligt artikel 6 GDPR. Följaktligen konstaterade Garante att all ytterligare behandling av uppgifterna under det disciplinära förfarandet, inklusive utlämnande av uppgifterna till den auktoriserade experten, också saknade rättslig grund och stred mot principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR. Garante klargjorde också att den offentliga och öppna karaktären av sammankomsten inte var relevant, eftersom det sätt på vilket uppgifterna samlades in i detta fall (slumpmässig upptäckt av ett felplacerat föremål) inte kunde utgöra ett tillräckligt skäl för att legitimera behandlingen av personuppgifter. Av dessa skäl ansåg Garante att den personuppgiftsansvarige brutit mot artiklarna 5.1 (a), 5.1 (b) och 6 GDPR samt artikel 2-ter i Codice della privacy.
Garante upptäckte också under sin granskning att rektorn var den personuppgiftsansvariges dataskyddsombud vid tiden för klagomålet. Garante ansåg att detta utgjorde en överträdelse av artikel 38.6 GDPR, eftersom den personuppgiftsansvarige befann sig i en intressekonflikt. I detta avseende hänvisade Garante till sina egna riktlinjer och sin rättspraxis, samt till artikel 29-arbetsgruppens riktlinjer (numera Europeiska dataskyddsstyrelsen, (EDPB).
TechLaw bistår verksamheter i frågor som rör personuppgiftsincidenter, informationssäkerhet, lagring av personuppgifter och tekniska skyddsåtgärder enligt GDPR. Läs mer om vår expertis inom dataskydd och integritet.
Har ni frågor är ni välkomna att kontakta Carina Berg, partner och jurist specialiserad inom dataskydd och affärsjuridik i teknikintensiva verksamheter.
Källa: Garante.