Den italienska dataskyddsmyndigheten Garante per la protezione dei dati personali (Garante) har bötfällt Costampress S.p.A. med 10 000 euro för överträdelse av artiklarna 5.1 (a), 12 och 13 i dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad lämnat in ett klagomål till Garante mot sin tidigare arbetsgivare Costampress (en tillverkare av aluminiumkomponenter). Den klagande hävdade att företaget, när hans anställningsförhållande hade avslutats, hade underlåtit att radera den e-postadress som företaget hade tilldelat honom, och att han inte hade fått tillgång till företagets bärbara dator och de personuppgifter som fanns i den.
Costampress svarade på dessa påståenden och uppgav att den klagande efter uppsägningen ensidigt hade raderat all kommunikation i sitt e-postkonto. Costampress förklarade också att företaget, för att skydda sina berättigade intressen, inrättat ett automatiskt svarssystem som skulle meddela användarna att den klagande e-postlåda var avaktiverad, med en alternativ e-postadress för att skicka meddelanden om den verksamhet som den klagande utförde inom företaget. Enligt Costampress varade detta i en och en halv månad, varefter själva e-postkontot helt avaktiverades.
Vidare uppgav Costampress att när anställningsförhållandet upphörde gavs den klagandes bärbara dator till en sakkunnig it-konsult för en granskning. Detta grundade sig enligt företaget på en berättigad misstanke om att hårddisken innehöll element som skulle kunna användas för att motbevisa äktheten av dokument som var föremål för en separat rättslig tvist mellan den klagande och företaget vid en specialiserad affärsdomstol i Venedig.
Under Garantes granskning av ärendet lyfte myndigheten farhågor om den personuppgiftsbehandling som utförts på den klagandes hårddisk då det saknades interna rutiner om hur Costampress it-system skulle hanteras av de anställda. Företaget bemötte dessa farhågor och konstaterade att en av de uppgifter som anförtrotts den klagande just varit att utarbeta dessa rutiner, som aldrig blev helt färdiga under hans tjänstgöring.
När det gäller den påstådda underlåtenheten att radera den klagandes e-postkonto på företaget noterade Garante först och främst att företaget inte haft tillgång till den kommunikation som fanns i den klagandes e-postlåda efter anställningsförhållandets upphörande, eftersom kommunikationen hade raderats av den klagande när han avskedades. Garante tog också hänsyn till det faktum att e-postkontot endast förblev delvis aktivt med ett automatiskt omdirigeringsmeddelande i en och en halv månad, innan det permanent avaktiverades. Garante fann därför inga överträdelser av reglerna i dataskyddsförordningen när det gäller denna del av påståendet.
När det gäller behandlingen av uppgifter som fanns i klagandens bärbara dator på företaget betonade Garante återigen avsaknaden av bestämmelser eller information till de anställda om företagets hantering, eventuella kontroller och ingrepp på dessa datorer, liksom på andra verktyg som tillhandahölls arbetstagarna som en del av deras anställningsförhållande. Garante fastställde att det inte var av betydelse att uppgiften att utarbeta dessa bestämmelser var klagandens ansvar under hans tjänstgöring, eftersom allt ansvar som härrör från arbetstagarens bristande efterlevnad av de rättsliga skyldigheterna i fråga om dataskydd i slutändan faller på företaget, eftersom rollen som personuppgiftsansvarig tillskrivs företaget självt och inte arbetstagaren.
Garante ansåg dessutom att skyldigheten att tillhandahålla den information om insamling av personuppgifter som avses i artikel 13 GDPR åligger den personuppgiftsansvarige, som återigen är arbetsgivaren inom ramen för ett anställningsförhållande. Garante konstaterade dessutom att skyddet för privatlivet även omfattar arbetsplatsen, eftersom gränsen mellan arbets- och yrkessfären och den strikt privata sfären inte alltid kan dras tydligt. På denna punkt citerade Garante rättspraxis från EU-domstolen för de mänskliga rättigheterna som anser att artikel 8 i europakonventionen om de mänskliga rättigheterna skyddar privatlivet utan att göra skillnad mellan privat- och yrkessfären.
På grundval av dessa överväganden ansåg Garante att behandlingen av personuppgifter i den företagsdator som tilldelats den klagande i avsaknad av interna rutiner och information om hanteringen av de anställdas it-verktyg stred mot principen om laglighet, korrekthet och öppenhet enligt artikel 5.1 (a) GDPR samt mot den registrerades rätt till information enligt artiklarna 12 och 13 GDPR, och utfärdade ett bötesbelopp på 10 000 euro mot företaget.