Garante per la protezione dei dati personali (Garante) har utfärdat en sanktionsavgift på 30 000 euro mot Gestore Dei Servizi Energetici – Gse S.p.A. för överträdelser av dataskyddsförordningen (GDPR).
Av beslutet framgår att en registrerad har lämnat in ett klagomål till Garante mot hans tidigare arbetsgivare Gestore Dei Servizi Energetici. Den registrerade begärde att få tillgång till sin personliga prestationsutvärdering från 2019 och 2020. I oktober 2021 skickade den registrerade ett e-postmeddelande till företagets allmänna e-postadress och skickade även ett meddelande till en personaldirektör. Eftersom Gestore Dei Servizi Energetici inte svarade skickade den registrerade en påminnelse i december 2021.
I mars 2022 skickade den registrerade samma begäran till det dataskyddsombud som utsetts av Gestore Dei Servizi Energetici. I sitt svar från april 2022 uppgav dataskyddsombudet att Gestore Dei Servizi Energeticis behöriga personalavdelning tagit hand om hans begäran om tillgång och att den skulle förse den registrerade med den begärda informationen. Efter att ytterligare en tidsperiod förflutit utan att begäran besvarats begärde den registrerade i maj 2022 att dataskyddsombudet skulle beordra Gestore Dei Servizi Energetici att tillmötesgå begäran.
Gestore Dei Servizi Energetici hävdade att de två första e-postmeddelanden som skickades av den registrerade inte gick genom dataskyddsombudets officiella brevlåda som inrättats för detta ändamål. Dessutom noterade de att de begärda uppgifterna redan var kända för den registrerade, eftersom han blev medveten om dem under sin feedbackintervju. I september 2022 försåg personalavdelningen den registrerade med den begärda informationen.
Garante konstaterade att Gestore Dei Servizi Energetici inte i tid försett den registrerade med en kopia av hans personliga prestationsutvärderingsfil trots att han flera gånger försökt få tillgång till informationen. I själva verket vidarebefordrade Gestore Dei Servizi Energetici handlingarna till den registrerade först efter att ha fått veta att den registrerade lämnat in ett formellt klagomål och med en avsevärd försening, i strid med de skyldigheter som föreskrivs i artiklarna 12 och 15 GDPR.
Garante avvisade Gestore Dei Servizi Energeticis argument att de första ansökningarna om tillgång inte skickats till dataskyddsombudets officiella brevlåda som inrättats för detta ändamål. Gestore Dei Servizi Energetici kan inte befrias från ansvar eftersom den registrerade inte informerades om att begäran om tillgång skulle ha skickats till dataskyddsombudets adress, och begäran om tillgång slutligen tillgodosetts i september 2022 av personalavdelningen.
När det gäller Gestore Dei Servizi Energetici argument att den registrerade redan informerats om sina prestationer under feedbackintervjun, konstaterade Garante att en begäran om tillgång mycket väl kan lämnas in även för uppgifter som den registrerade redan innehar eller känner till. I artikel 15 GDPR föreskrivs i själva verket inte någon begränsning av vilka uppgifter om den registrerade som det är tillåtet att få tillgång till. Garante ger uttryckligen den registrerade möjlighet att lämna in mer än en begäran om tillgång, såvida inte begäran blir överdriven eller repetitiv till sin natur.