Search
Close this search box.

Italien: Geico bötfälls med 40 000 euro för behållit och kommit åt e-postkonton efter att tidigare anställningar upphört

Garante per la protezione dei dati personali (Garante) har bötfällt Geico S.p.A. med 40 000 euro för överträdelser av dataskyddsförordningen (GDPR).

Av beslutet framgår att Geico var arbetsgivare för de tre registrerade i detta ärende. Två av de tre registrerade sade upp sig i slutet av mars 2019, den tredje registrerade sade upp sig i slutet av maj 2019. Deras e-postkonton avaktiverades kort efter det att deras respektive anställningar upphört. Geico arkiverade dem dock inte, vilket innebär att de fortfarande hade tillgång till sina e-postkonton och omdirigerade dem till ett annat konto.

De registrerade märkte att någon upprepade gånger hade tillgång till deras e-postkonton även efter det att deras anställningsavtal upphört tack vare ett automatiserat säkerhetsmeddelandesystem. De registrerade hävdade att detta utgjorde en överträdelse av GDPR, eftersom de inte hade informerats om sådan åtkomst och lämnade därför in ett klagomål till Garante.

Garante bad Geico om ett förtydligande i frågan. I sina synpunkter hävdade Geico att åtkomst till de registrerades e-postkonton var nödvändig för att samla in information för en separat stämning mot dem, eftersom de uppvisade ett misstänkt beteende som potentiellt kunde ha skadat Geico.

Geico förklarade också att detta var en exceptionell omständighet och att sådan behandling var nödvändig för att skydda Geicos rättigheter i samband med den separata stämningsansökan. Geico noterade också att de registrerade i flera meddelanden informerats om företagets operativa förfaranden och policyer avseende bland annat it-verktyg och tjänster. Geico uppgav att dessa policyer gjorts kända för de registrerade i dessa meddelanden.

Garante ansåg att Geico brutit mot principen om korrekthet och öppenhet enligt artikel 5.1 (a) GDPR, eftersom de spridda meddelandena inte innehöll någon information om den behandling som Geico utförde efter anställningens upphörande. Dessutom fick tredje man uppfattningen att de registrerades konton inte längre var aktiva och att deras meddelanden därför inte längre behandlades. Geico har även underlåtit att informera de registrerade om hur deras personuppgifter behandlas och om mottagarna av dem, vilket strider mot artikel 13 GDPR.

Geico kunde inte visa att de registrerade betett sig på ett misstänkt sätt som motiverade Geico agerande. Mot bakgrund av dessa omständigheter beslutade Garante att det inte fanns någon indikation på något specifikt, uttryckligt och legitimt ändamål för själva behandlingen eller dess varaktighet. Garante ansåg därför att Geico handlat i strid med principen om ändamålsbegränsning enligt artikel 5.1 (b) GDPR och principen om uppgiftsminimering enligt artikel 5.1 (c) GDPR. Garante ansåg vidare att Geico även brutit mot artikel 5.1 (e) GDPR genom att inte i sina interna riktlinjer ange hur länge behandlingen ska pågå, utan överlåta detta till den person som ansvarar för institutionen, vilket strider mot principen om lagringsminimering.

Garante ansåg också att Geicos policy att e-post från inaktiverade konton omdirigeras till konton som anges av den ansvariga personen, och inte till en person med tydliga instruktioner, strider mot artikel 5.1 (f) GDPR. Faktum är att ett sådant beteende inte gjorde det möjligt att garantera integriteten och konfidentialiteten för de insamlade uppgifterna.

Mer information

Myndighet: Garante per la protezione dei dati personali (Garante)

Land: Italien

Lagrum: Art. 5 GDPR, art. 13 GDPR, art. 58 GDPR, art. 83 GDPR,

Sanktionsavgift: 40 000 euro

Mottagare: Geico S.p.A

Beslutsnummer: 9909235

Beslutsdatum: 2023-04-27

Källa: Beslut

Relaterade nyheter

Områden

I fokus

Länder

Taggar

Populära kurser

Expertis

Gå kurs med oss

07 MAR

AI – Introduktion till artificiell intelligens

Kursen ger dig de rättsliga förutsättningarna för utveckling, upphandling och användning av AI.

14 MAR

Cybersäkerhet - Introduktion till NIS2-direktviet

En genomgång av de viktigaste reglerna i NIS2-direktivet och kompletterande svensk lagstiftning.

21 MAR

AI - Introduktion till AI-förordningen

En genomgång av de viktigaste reglerna i den nya AI-förordningen och hur du kan använda AI-system på ett lagenligt sätt.